El 25 de mayo de 2018 empezará la aplicación del Reglamento General de Protección de Datos (RGPD, en adelante) y, a su vez, entrará en vigor –previsiblemente- la nueva Ley Orgánica de Protección de datos (actualmente dicha proposición de ley se encuentra en período de enmiendas de la Comisión de Justicia, con un dictamen muy severo –contrario- del Consejo de Estado).
El RGPD no solo supone un cambio de perspectiva de protección de datos que busca actualizar la vigente normativa sino la revisión de las bases legales; estableciendo cambios radicales en el enfoque; como la responsabilidad activa, la privacidad por defecto y por diseño que hablaremos en otros artículos.
Para empezar, debemos comentar que hasta la fecha, toda la normativa comunitaria de protección de datos pivotaba sobre directivas. Por el contrario, ahora se ha optado por un Reglamento que, en virtud del artículo 288 del Tratado de Funcionamiento de la Unión Europea –y a diferencia de las Directivas-, tiene “alcance general” y “será obligatorio en todos sus elementos y directamente aplicable en cada Estado miembro”.
El RGPD –como la actual LOPD- tiene un ámbito de aplicación universal (artículo 3.1 RGPD): esto es, si el responsable radica en un Estado Miembro, se verá obligado a cumplir el RGPD como norma general aunque transmita los datos a un tercer país, mediante la figura legal de la “transferencia internacional de datos”, a la que también nos referiremos en próximos artículos.
Con carácter previo al análisis más exhaustivo de las novedades del RGPD; debemos definir claramente el concepto de “datos personales”. Tanto la actual LOPD como el futuro Reglamento comunitario definen el concepto como “toda información sobre una persona física identificada o identificable”.
Como vemos, en ambos textos se refiere a personas físicas. ¿Debemos pues excluir de la protección de datos a las personas jurídicas? Rotundamente sí. El primer aspecto que debemos tener en cuenta es que la protección de datos NO es un régimen protector de personas jurídicas. Así lo determinan tanto el Informe 20/2009 de la Agencia Española de Protección de datos (AEPD) como en la Sentencia de la Audiencia Nacional de 19 de marzo de 2014, entre otras cuando determina que: “Nos encontramos ante un derecho fundamental, la protección de datos de carácter personal, que difiere de los garantizados en el artículo 18.1 CE y del que solo son titulares las personas físicas, es decir, los seres humanos, tal y como reconoce tanto la LOPD como la Directiva; así como los Convenios internacionales suscritos por España (…)”.
Esto no implica que, si se ha producido un daño, la empresa no pueda reclamar judicialmente por el ya conocido 1.902 CC el resarcimiento de los daños sufridos.
Una vez asentado que la protección de datos afecta tanto a aquellos datos que identifican o pueden identificar a personas físicas, podemos avanzar.
Un aspecto que debemos valorar; y que supone un estricto cambio de paradigma es la relación entre responsables y los encargados.
El responsable es –y siempre ha sido- el titular de los datos; esto es, quien determina tanto los fines como los medios del tratamiento (art 4.6 RGPD). No obstante, puede suceder –y sucede en multitud de ocasiones- que el responsable decide contratar un encargado (según el art 4.7 RGPD: “persona física, jurídica, autoridad pública, servicio u organismo que trate los datos por cuenta del responsable del tratamiento”). Pensemos en un Call Center externalizado, por ejemplo, para fines comerciales y que sea ajeno a la empresa. Eso es un encargado. En otras palabras: recibe un encargo que exige tratar y procesar datos personales. Ya no solo tratará datos personales, sino que el responsable le transmite datos personales de sus clientes (ej. Nombre, apellidos con número de teléfono).
¿Cómo se regula?
La relación entre responsable y encargado debe partir de dos premisas fundamentales: La primera de ellas es que solo se deben transmitir aquellos datos necesarios para la realización del encargo, según los artículos 5.1c) y 25.2 RGPD; principio de minimización de datos. En el caso que se transmitan todos los datos, con indiferencia del encargo a realizar, supondría una clara vulneración de la protección de datos. La segunda premisa es que este encargo debe sustanciarse en un contrato escrito (artículos 28.3 y 28.9 RGPD) en el que deben constar, necesariamente (contenido obligatorio):
- Objeto, duración, finalidad y naturaleza del contrato.
- Tipo de datos personales que se tratan.
- Deber de confidencialidad de los datos.
- Establecer las medidas de seguridad, según el riesgo.
- Obligación del encargado de tratar los datos conforme a las órdenes del responsable.
- Condiciones para que el responsable pueda dar su autorización previa a las subcontrataciones.
- Asistencia al responsable, en todo aquello que sea preciso (ej. Derechos de los interesados).
- Destino de los datos al finalizar la prestación (supresión o devolución de los datos al encargado).
Además, otra novedad destacable es que el actual Reglamento de Desarrollo de la LOPD establece la necesidad de “diligencia debida” en la elección de encargados; por el contario, el RGPD incorpora medidas de responsabilidad activa, como la de que los responsables solo deben escoger aquellos encargados que ofrezcan garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con el Reglamento (artículo 28.1 RGPD).
Una de las mayores novedades –en comparación con la actual LOPD- es que el RGPD prevé obligaciones específicas para el encargado al margen de la relación contractual que le une con el responsable y que están sujetas a infracción y sanción.
Alguna de las novedades más importante es que debe mantener un registro de actividades que conlleven afectación a datos personales y debe designar, si cumple los supuestos legalmente previstos, a un Delegado de Protección de Datos (figura legal que opera de enlace entre las autoridades y la organización, que tiene independencia y que guía a la organización hacia el cumplimiento del RGPD y normativa interna de protección de datos).
Estas son, en definitiva, alguna de las modificaciones más sustanciales en la relación entre responsable y encargado. No obstante, debemos tener en cuenta que esta información se debe desarrollar con otros aspectos de carácter general de los que hablaremos más adelante: como el papel del DPO (por sus siglas en inglés, “Delegado de Protección de Datos”), el durísimo régimen de infracciones y sanciones o el consentimiento del interesado.
En los próximos artículos comentaremos estas novedades más en detalle, para ofrecer una visión global y con lenguaje sencillo de este nuevo marco jurídico aplicable a partir del 25 de mayo de 2018.
