Reglamento de Protección de datos. ¿todo por hacer?

Hoy por fin entra en vigor el Reglamento Europeo de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE) y como tantas veces, pasa, pareciera que todo está por hacer. No vamos negar desde el despacho que hay tarea que hacer, puesto que se modifican algunos conceptos de esta materia para garantizar la privacidad de los datos personales, pero, aunque sea para ir contracorriente, pero también es justo reconocer que hay mucho camino hecho. Ciertamente, el avance de las tecnologías y los medios electrónicos de relación y comercio, exigen nuevas regulaciones.

Así, existen grupos de empresas que almacenan datos con una finalidad comercial o que realizan campañas de comunicación colectiva y esas tienen una mayor afectación con este cambio. Pero ¿es este el escenario de la mayor parte de las empresas? Para responder a esta pregunta y dar algunas orientaciones, nos gustaría transmitiros algunas consideraciones generales para aclarar la nueva regulación y la situación que comienza en los próximos días.

En primer lugar, muchas empresas pueden asumir que si hasta la fecha tenían integrada una política correcta de protección de datos, con la aplicación apropiada de las medidas de seguridad y garantizando la privacidad de los datos, una parte del camino está hecho. Es cierto que el Reglamento Europeo incorpora algunas exigencias formales novedosas que hay que cumplir, pero sobre todo tiene la finalidad de garantizar la privacidad de las personas en un entorno en el que el tráfico de datos y la definición de perfiles son cada vez más frecuentes. Y eso muchas empresas ya lo están haciendo.

El régimen de protección de datos aplicable desde el día 25 de mayo viene a otorgar a cada organización una responsabilidad más individualizada en la gestión de los datos, pretendiendo que cada empresa o institución incorpore a todos sus procesos, desde el inicio y por defecto, la necesidad de velar por la privacidad. Se trata, por tanto, de un cambio en cierto modo cultural que debe suponer que en cada eslabón de la empresa se tenga perfectamente asimilada la importancia de velar por la privacidad, del mismo modo que se hace, por ejemplo, con la seguridad física y los riesgos laborales.

Al tiempo que se impone esta nueva forma de trabajar, el Reglamento Europeo resulta menos formal que la normativa vigente en España hasta ahora, diferenciando claramente las exigencias aplicables a las grandes organizaciones, a las empresas que traten datos a gran escala o a quienes utilicen datos sensibles; y reconociendo que las medidas que cada empresa debe adoptar dependen de la naturaleza concreta de sus datos, del riesgo que se pueda generar, de su esfuerzo económico, etc.

Por tanto, el reglamento propicia, como decimos, un cambio cultural que ha de trasladarse a los procesos de trabajo. Que exista una cultura de protección de los datos personales, unos medios para ello, y una capacidad de demostrar que esos medios se están poniendo en marcha, conforme a un principio de proactividad que proclama la nueva norma. Lo esencial, por tanto, es no quedarse parado, seguir (o comenzar en su caso) el camino.

Con todo y con eso, es cierto que existen algunas nuevas exigencias formales que hay que observar y cuyo cumplimiento hay que ser capaz de acreditar:

-          En primer lugar, el cambio más relevante es que el tratamiento de datos que se ampare en el consentimiento del titular exige que ese consentimiento sea expreso. Además, el titular de los datos debe estar perfectamente informado de la finalidad para el uso de sus datos, la naturaleza de los mismos, etc. De ahí que se estén llevando a cabo las campañas de comunicación por parte de muchas empresas, solicitando el consentimiento explícito a la nueva política de privacidad que han implantado.

A este respecto, hacer dos matizaciones: una, que el consentimiento prestado con anterioridad a la entrada en vigor del Reglamento sigue siendo válido; y dos, que el consentimiento no es el único supuesto que ampara el tratamiento de los datos, puesto que también se considera lícito el tratamiento que venga impuesto por el cumplimiento de un contrato, de una ley, o incluso aquel que sea necesario para las finalidades legítimas de la empresa (en este caso no debe haber una afectación a los derechos y libertades del titular del dato). Así, la propia Directora de la AEPD, en reciente entrevista, afirmó que “El consentimiento no es la única base para el tratamiento. Esa es una, pero otra puede ser un interés legítimo de una empresa. Por ejemplo, si tienes una hipoteca hemos dicho que perfectamente dentro del interés legítimo puede ser que el banco te envíe información comercial o productos financieros relacionados con su actividad y no haga falta para eso el consentimiento explícito”.

Llevado esto a la práctica de la mayoría de las pequeñas y medianas empresas, o instituciones de tamaño análogo, la normativa que entra en vigor exige una revisión de la forma en la que se ha obtenido el consentimiento de los titulares de los datos, las finalidades que han sido expresamente aceptadas por ellos, y sobre todo la constancia documental de ese consentimiento.

-          Otra de las exigencias formales se refiere también a la relación con el interesado. La información que se facilita al titular de los datos debe ser clara y comprensible. Además, se reconocen nuevos derechos que el titular de los datos puede ejercitar, como son el derecho de supresión (“derecho al olvido”) y el derecho a la portabilidad de los datos o a la limitación del tratamiento; que se suman a los tradicionales derechos de acceso, oposición, rectificación y cancelación (derechos ARCO).

Esta exigencia requerirá la revisión de los formularios de información mediante los que se recogen los datos personales.

-          Designación de un Delegado de Protección de Datos. Se trata de una figura que puede ser interna o externa a la organización, que tiene la función de revisar el cumplimiento de la política de privacidad, dar cauce a los interesados para el ejercicio de sus derechos y reclamaciones, etc. No es una figura obligatoria para todas las entidades, sino solamente para aquellas que tengan más de 250 trabajadores, que traten datos a gran escala o datos sensibles.

Los mismos criterios determinan la exigencia de mantener un registro interno de actividades de tratamiento, que viene a ser un documento en el que se recojan todas las circunstancias relativas a los ficheros de datos, sus usos, finalidades, medidas de seguridad, etc.

En todo caso, como decíamos más arriba, junto a la adopción de estas medidas iniciales, lo más importante es que la empresa sea capaz de adoptar en todos sus procesos una verdadera política de privacidad, que se revise y mejore periódicamente. Nosotros entendemos esta política dentro del marco del tratamiento ético y de cumplimiento normativo (compliance) que constituirá base de trabajo y garantía de calidad para el futuro de las empresas. Sugerimos pues una mirada amplia sobre esta cuestión.

Desde el Despacho nos ponemos a vuestra disposición para todo este proceso.