ekon Data Protection Lawyer
Ya a caballo entre los siglos XVI y XVII, el filósofo inglés Francis Bacon avanzaba que “el conocimiento es poder”, e inmersos en plena Transformación Digital dicho concepto no ha hecho más que afianzarse. La información es un recurso estratégico a nivel empresarial y las nuevas tecnologías, entre ellas las soluciones de gestión empresarial, han posibilitado el aprovechamiento de grandes cantidades de datos, traduciéndose en una mayor inteligencia de negocio.
Pero el control de dicha información era más sencillo antes. Cuando nuestros datos estaban únicamente en formato papel era mucho más fácil protegerlos. La evolución de las nuevas tecnologías ha facilitado la incorporación de nuestros datos a ficheros informáticos de fácil copia y distribución. Es cierto que el tratamiento de datos en la empresa cuenta con infinidad de posibilidades; pero también con algunas incertidumbres que en muchas ocasiones nos llevan a no saber quién tiene o quien tratan nuestros datos personales o profesionales, ni qué hacen con ellos.
Por este motivo, en mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), una nueva normativa de carácter europeo y de efecto directo en cada estado miembro que supone una gestión completamente distinta a la que se viene implementando actualmente y a la que es imprescindible que las empresas y organizaciones vayan adaptando sus procesos de gestión empresarial. No cumplir correctamente con el RGDP, que será de aplicación obligatoria a partir del 24 de mayo de 2018, puede conllevar sanciones de hasta un 4% del volumen de facturación anual global de una empresa o hasta multas de 20 millones de euros, en función de la infracción. Bajo mi punto de vista, los aspectos más relevantes del RGPD son los que presento a continuación:
- Fin de Consentimiento tácito. El Reglamento General de Protección de Datos requiere que las personas cuyos datos se tratan presten su consentimiento mediante una manifestación inequívoca o una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito que permitía la normativa española. Por tanto los consentimientos obtenidos con anterioridad a la fecha de aplicación del RGPD sólo seguirán siendo válidos si se obtuvieron respetando los criterios de este nuevo Reglamento.
- Obligación a dar más información. En materia de información, el RGPD incluye cuestiones adicionales que actualmente no son requeridas por la normativa española. Así pues, durante este periodo transitorio las organizaciones deberían empezar a proporcionar la información adicional en sus páginas web o aprovechando los canales de comunicación regulares que puedan mantener con sus clientes. Estas buenas prácticas contribuirían a reducir el número de casos en que las cláusulas informativas presenten carencias cuando el Reglamento sea de aplicación. Al mismo tiempo, es aconsejable que las organizaciones vayan adaptando sus políticas informativas a lo dispuesto por el Reglamento, como por ejemplo proporcionar los datos del Delegado de Protección de Datos en los casos en que sea obligatorio o cuando las organizaciones decidan voluntariamente nombrarlo.
- Medidas Tecnológicas para la Privacidad desde el diseño y por defecto. Todo proyecto, ya sea comercial, de creación de una página web, de desarrollo de entorno tecnológico, etc. debe evaluar desde el inicio de su diseño y por defecto — Privacy by design & by default— los riesgos que pueden comportar para la privacidad de los datos personales que incorporará. Además debe verificar que se han puesto en marcha las medidas necesarias para eliminarlos o mitigarlos y, por último, que en todo momento los tratamientos de datos se ajusten a la normativa de protección de datos en vigor
- Evaluaciones previas de impacto sobre la protección de datos. La realización de Evaluaciones de Impacto sobre la protección de datos, aplicables de forma obligatoria en ciertos tratamientos — a gran escala, de datos de especial protección, en entidades públicas, etc.,— tiene carácter previo a la puesta en marcha de los mismos. Su objetivo es minimizar los riesgos que un tratamiento de datos plantea para los ciudadanos con el fin de evitar vulneración de derechos y libertades de las personas físicas. Comenzar a incorporar este sistema a la actuación de empresas y organizaciones no sólo va a permitirles ser más competitivas y eficientes en el momento en que resulte obligatorio sino que también les permitirá asegurar el cumplimiento no ya del futuro Reglamento, sino incluso de la actual normativa.
- Certificaciones. El Reglamento concede una atención especial a la implantación de esquemas de certificación y abre diversas posibilidades para su gestión. Las certificaciones pueden ser otorgadas por las Autoridades de protección de datos, tanto individual como colectivamente desde el Comité Europeo, o por entidades debidamente acreditadas. Al mismo tiempo, en el caso de optarse por esta última alternativa, la acreditación pueden llevarla a cabo las propias Autoridades o encargarla a las entidades de acreditación previstas en la normativa europea sobre normalización y certificación.
- Una nueva figura: El Delegado de Protección de Datos (DPO). El Reglamento impulsa una nueva figura profesional, el Data Protection Officer, cuya responsabilidad es garantizar su cumplimiento. Los Delegados de Protección de Datos (DPO) se nombrarán en función de sus cualificaciones profesionales. En especial por su conocimiento en materia de protección de datos, y su capacidad para el desempeño de sus funciones. La valoración de estas aptitudes y conocimientos deberá realizarse no tanto en función de criterios externos como de las necesidades de los tratamientos concretos que cada organización lleve a cabo, valorándose los profesionales del derecho y con experiencia en las auditorias de protección de datos actuales. El DPO podrá ser interno o externo.
- Revisar contratos y añadir nuevas cláusulas. El Reglamento describe un contenido mínimo en los contratos de encargo de tratamiento que excede las previsiones contempladas en la normativa actual. En nuestra legislación ya se contemplaba la inclusión de algunos de esos contenidos en los contratos, aunque hay diferencias entre la LOPD actual y el RGPD en relación a los requisitos fijados. Este momento de transición entre la entrada en vigor y la aplicación del RGPD debería aprovecharse para llevar a cabo dos acciones paralelas: en primer lugar, abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones del Reglamento, y en segundo lugar, comenzar a incluir en las nuevas cláusulas contractuales todos los elementos que el Reglamento considera necesarios.
Sanciones a parte, ninguna empresa que quiera ser competitiva puede quedar fuera del nuevo marco legal, y por tanto todas ellas deben empezar a trabajar inmediatamente en la adaptación de todos sus procesos a las múltiples novedades que trae consigo el nuevo reglamento. Deben revisar todos los procesos y sistemas de tratamiento de datos de la empresa que tengan un impacto para la privacidad de usuarios, clientes y trabajadores. Junto a ello es importante la apuesta por herramientas que les faciliten la evaluaciones Privacy by Design & by Default antes citadas; la elaboración de los registros de tratamiento y sistemas de seguimiento y que les sirvan de soporte en la implementación de procesos de responsabilidad proactiva por parte de la empresa.
Y como colofón, no olvidar el obligado cumplimiento de los deberes de información y consentimiento de los datos de los usuarios; permitiendo ejercicio de derechos contemplados por este RGPD como el derecho al olvido o a la portabilidad de los datos, así como los anteriores derechos de acceso, rectificación, cancelación y oposición al tratamiento de datos. En definitiva a partir del 25 de mayo de 2018 sabremos si tenemos un buen marco organizativo y técnico para los retos, obligaciones y oportunidades que va a suponer el Big Data dentro del cumplimiento de la protección de datos.
