Reglamento de Protección de datos. ¿todo por hacer?
Hoy por fin entra en vigor el
Reglamento Europeo de Protección de Datos (Reglamento
(UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016,
relativo a la protección de las personas físicas en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos y por
el que se deroga la Directiva 95/46/CE) y como tantas veces, pasa,
pareciera que todo está por hacer. No vamos negar desde el despacho que hay
tarea que hacer, puesto que se modifican algunos conceptos de esta materia para
garantizar la privacidad de los datos personales, pero, aunque sea para ir
contracorriente, pero también es justo reconocer que hay mucho camino hecho.
Ciertamente, el avance de las tecnologías y los medios electrónicos de relación
y comercio, exigen nuevas regulaciones.
Así, existen grupos de empresas que
almacenan datos con una finalidad comercial o que realizan campañas de
comunicación colectiva y esas tienen una mayor afectación con este cambio. Pero
¿es este el escenario de la mayor parte de las empresas? Para responder a esta
pregunta y dar algunas orientaciones, nos gustaría transmitiros algunas
consideraciones generales para aclarar la nueva regulación y la situación que
comienza en los próximos días.
En primer lugar, muchas empresas
pueden asumir que si hasta la fecha tenían integrada una política correcta de
protección de datos, con la aplicación apropiada de las medidas de seguridad y
garantizando la privacidad de los datos, una parte del camino está hecho. Es
cierto que el Reglamento Europeo incorpora algunas exigencias formales
novedosas que hay que cumplir, pero sobre todo tiene la finalidad de garantizar
la privacidad de las personas en un entorno en el que el tráfico de datos y la
definición de perfiles son cada vez más frecuentes. Y eso muchas empresas ya lo
están haciendo.
El régimen de protección de datos
aplicable desde el día 25 de mayo viene a otorgar a cada organización una responsabilidad más individualizada
en la gestión de los datos, pretendiendo que cada empresa o institución
incorpore a todos sus procesos, desde el
inicio y por defecto, la necesidad de velar por la privacidad. Se trata,
por tanto, de un cambio en cierto modo
cultural que debe suponer que en cada eslabón de la empresa se tenga
perfectamente asimilada la importancia de velar por la privacidad, del mismo
modo que se hace, por ejemplo, con la seguridad física y los riesgos laborales.
Al tiempo que se impone esta
nueva forma de trabajar, el Reglamento Europeo resulta menos formal que la
normativa vigente en España hasta ahora, diferenciando claramente las
exigencias aplicables a las grandes organizaciones, a las empresas que traten
datos a gran escala o a quienes utilicen datos sensibles; y reconociendo que
las medidas que cada empresa debe adoptar dependen de la naturaleza concreta de
sus datos, del riesgo que se pueda generar, de su esfuerzo económico, etc.
Por tanto, el reglamento
propicia, como decimos, un cambio cultural que ha de trasladarse a los procesos
de trabajo. Que exista una cultura de protección de los datos personales, unos
medios para ello, y una capacidad de demostrar que esos medios se están
poniendo en marcha, conforme a un principio
de proactividad que proclama la nueva norma. Lo esencial, por tanto, es no
quedarse parado, seguir (o comenzar en su caso) el camino.
Con todo y con eso, es cierto que
existen algunas nuevas exigencias formales que hay que observar y cuyo
cumplimiento hay que ser capaz de acreditar:
-
En primer lugar, el cambio más relevante es que
el tratamiento de datos que se ampare en el consentimiento del titular exige que ese consentimiento sea
expreso. Además, el titular de los datos debe estar perfectamente informado
de la finalidad para el uso de sus datos, la naturaleza de los mismos, etc. De
ahí que se estén llevando a cabo las campañas de comunicación por parte de
muchas empresas, solicitando el consentimiento explícito a la nueva política de
privacidad que han implantado.
A este respecto,
hacer dos matizaciones: una, que el consentimiento prestado con anterioridad a
la entrada en vigor del Reglamento sigue siendo válido; y dos, que el
consentimiento no es el único supuesto que ampara el tratamiento de los datos,
puesto que también se considera lícito el tratamiento que venga impuesto por el
cumplimiento de un contrato, de una ley, o incluso aquel que sea necesario para
las finalidades legítimas de la empresa (en este caso no debe haber una
afectación a los derechos y libertades del titular del dato). Así, la propia
Directora de la AEPD, en reciente entrevista, afirmó que “El consentimiento no es la única base para el
tratamiento. Esa es una, pero otra puede ser un interés legítimo de una
empresa. Por ejemplo, si tienes una hipoteca hemos dicho que perfectamente
dentro del interés legítimo puede ser que el banco te envíe información
comercial o productos financieros relacionados con su actividad y no haga falta
para eso el consentimiento explícito”.
Llevado esto a
la práctica de la mayoría de las pequeñas y medianas empresas, o instituciones
de tamaño análogo, la normativa que entra en vigor exige una revisión de la
forma en la que se ha obtenido el consentimiento de los titulares de los datos,
las finalidades que han sido expresamente aceptadas por ellos, y sobre todo la
constancia documental de ese consentimiento.
-
Otra de las exigencias formales se refiere
también a la relación con el interesado. La información que se facilita al
titular de los datos debe ser clara y comprensible. Además, se reconocen nuevos derechos que el titular de los
datos puede ejercitar, como son el derecho de supresión (“derecho al
olvido”) y el derecho a la portabilidad de los datos o a la limitación del
tratamiento; que se suman a los tradicionales derechos de acceso, oposición,
rectificación y cancelación (derechos ARCO).
Esta exigencia
requerirá la revisión de los formularios de información mediante los que se
recogen los datos personales.
-
Designación de un Delegado de Protección de Datos. Se trata de una figura que puede
ser interna o externa a la organización, que tiene la función de revisar el
cumplimiento de la política de privacidad, dar cauce a los interesados para el
ejercicio de sus derechos y reclamaciones, etc. No es una figura obligatoria para
todas las entidades, sino solamente para aquellas que tengan más de 250
trabajadores, que traten datos a gran escala o datos sensibles.
Los mismos
criterios determinan la exigencia de mantener un registro interno de
actividades de tratamiento, que viene a ser un documento en el que se recojan
todas las circunstancias relativas a los ficheros de datos, sus usos,
finalidades, medidas de seguridad, etc.
En todo caso, como decíamos más
arriba, junto a la adopción de estas medidas iniciales, lo más importante es
que la empresa sea capaz de adoptar en todos sus procesos una verdadera
política de privacidad, que se revise y mejore periódicamente. Nosotros
entendemos esta política dentro del marco del tratamiento ético y de
cumplimiento normativo (compliance)
que constituirá base de trabajo y garantía de calidad para el futuro de las
empresas. Sugerimos pues una mirada amplia sobre esta cuestión.
Desde el Despacho nos ponemos a
vuestra disposición para todo este proceso.
Comentarios
Publicar un comentario