Publicado en la revista de FENEVAL, Tribuna Jurídica, julio-septiembre 2017. Cristina Martín, responsable del Área de Protección de Datos de DIKEI ABOGADOS.
El pasado 27 de abril de 2016 se publicaba el reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas (“RGPD”) en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos que cambiará por completo el panorama legal del tratamiento de los datos de carácter personal a nivel europeo y, por su puesto, en España.
El RGPD, cuyas disposiciones serán directamente aplicables en España al no ser preciso un desarrollo legislativo local o transposición como sucede con las directivas, regirá las obligaciones de las empresas y los derechos de los ciudadanos desde el próximo 25 de mayo de 2018, fecha en la que quedarán derogadas, en todo cuanto se opongan al mismo, la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (“LOPD”) y su normativa de desarrollo.
El RGPD supone la revisión de las bases legales del modelo europeo de protección de datos personales más allá de una mera actualización de la vigente normativa ya que implica un cambio de paradigma en esta materia e incrementa las obligaciones de transparencia e información para con los interesados. Permite en algunos supuestos que sus normas sean especificadas o restringidas por el Derecho de los Estados miembros pero solo en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios.
Teniendo en cuenta el cambio que supone, la Agencia Española de Protección de Datos (“AEPD”) recomienda a las empresas que los procedimientos, modelos, leyenda, políticas de privacidad y protocolos de seguridad diseñados de conformidad con la LOPD y su normativa de desarrollo sean completamente revisados y adaptados, lo antes posible y, en todo caso, con anterioridad a la fecha de plena aplicación del RGPD, incorporando los nuevos requisitos y exigencias que, en muchos casos, implicarán cambios de gran calado en las empresas y dedicación de nuevos recursos.
Sobre esas bases nuestro legislador está trabajando en la aprobación de una nueva ley orgánica (de la que ya ha sido publicado recientemente su Anteproyecto de nueva LOPD, el cual ya ha tenido las primeras críticas), el cual, según indica su Preámbulo no reiterará el texto del RGPD sino intentará clarificar sus disposiciones, dentro de los márgenes que el mismo establece, teniendo en cuenta la tradición jurídica española derivada de una regulación de más de veinticinco años de vigencia y de una abundante doctrina judicial generada a lo largo de ese período, tanto en el ámbito interno como en el de la Unión Europea.
OBJETIVO
El RGPD pretende con su eficacia directa superar los obstáculos que impidieron la finalidad armonizadora de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, que se había plasmado en un mosaico normativo con perfiles irregulares en cada uno de los países de la Unión Europea lo que, en último extremo, ha conducido a que existan diferencias apreciables en la protección de los derechos de los ciudadanos, y por qué no decirlo, en la competitividad de las empresas en función del país europeo de su establecimiento, siendo España de los países más rigurosos en la aplicación de la normativa de protección de datos.
Con esta reducción de las diferencias legislativas entre los Estados miembros, la Unión Europea pretende potenciar tanto las transacciones económicas intracomunitarias como las extracomunitarias, aportando un marco legislativo en el que se otorgue mayor libertad a las empresas para realizar tratamientos de datos personales pero, de manera paralela, ese aumento de libertad conlleva sin duda un aumento de la responsabilidad para las empresas como responsables del tratamiento de datos personales implicados en sus actividades mercantiles.
A continuación resumimos muy brevemente las principales novedades que establece el Reglamento:
- Principio de responsabilidad proactiva (“Accountability” según su denominación en inglés): las empresas, como responsables del tratamiento de datos personales, deberán no solo cumplir con lo dispuesto en el RGPD sino que, además, deberán ser capaz de demostrar en todo momento dicho cumplimiento, debiendo documentar todos sus procesos y decisiones al respecto.
- El RGPD mantendrá los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Sin embargo, como novedad respecto de la LOPD, para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad. Por lo tanto, el silencio, las casillas ya marcadas o la inacción (clausulas redactadas en sentido negativo) ya no constituirán prueba de consentimiento. Por ello, a partir del 25 de mayo de 2018, los datos personales obtenidos hasta esa fecha mediante alguno de esos mecanismos solo podrán seguir utilizándose si existe alguna otra causa legitimadora para su tratamiento de las contempladas en el RGPD (ley, interés legítimo prevalente, etc.) lo que exigirá a las empresas revisar antes de esa fecha las bases legitimadoras de sus tratamientos para evaluar si pueden o no continuar usando los datos personales que venían tratando en el desarrollo de sus actividades.
- El RGPD establece la obligación de informar a los interesados sobre nuevos aspectos. Entre ellos los datos de contacto del DPD, la base jurídica o legitimación para el tratamiento, el plazo o los criterios de conservación de los datos personales, la existencia de decisiones automatizadas/elaboración de perfiles o el derecho a presentar una reclamación ante las autoridades de control. Para hacer compatible la mayor exigencia de información que introduce el RGPD con la concisión y comprensión en la forma de presentarla que exige también el RGPD, la AEPD ha optado porque dicha información se presente por capas o niveles, lo que implica que deben abandonarse las clausulas o leyendas legales on line/ off line tan cual se redactaban hasta la fecha.
- Se añaden nuevos derechos de los interesados y se matizan algunos derechos existentes, estableciéndose además nuevos plazos imperativos para atender a tales derechos:
- Derecho de acceso: ahora se reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento así como un listado considerable de información relativa a los mismos.
- Derecho de supresión (derecho “al olvido”): se recoge este nuevo derecho, en una serie de supuestos, como consecuencia de la aplicación del derecho al borrado de los datos personales.
- Derecho a la limitación del tratamiento: implica el bloqueo de las operaciones de tratamiento de datos personales sobre los mismos, en determinados casos, cuando el interesado lo solicite.
- Derecho a la portabilidad: consiste en la posibilidad para los interesados de que les sea entregada, bien a ellos bien a otra empresa, una copia de los datos personales que hubiera proporcionado (consciente o inconscientemente) y que le conciernan, en un formato estructurado, de uso común y de lectura mecánica siempre que el tratamiento (i) se efectúe por medios automatizados y (ii) se base en el consentimiento del interesado o en un contrato.
- Se producen cambios en las relaciones entre la empresa responsable de los datos personales y sus empresas subcontratistas (encargado del tratamiento):
- Se establecen obligaciones legales propias para los encargados del tratamiento.
- Las empresas responsables deberán elegir únicamente a encargados del tratamiento que estén en disposición de ofrecer garantías suficientes sobre el cumplimiento del RGPD (y, en particular, en relación a las medidas técnicas y organizativas apropiadas).
- Se regula el contenido mínimo del contrato de encargo. Por ello, los contratos de encargado del tratamiento concluidos con anterioridad a la aplicación del RGPD deberán modificarse y adaptarse para respetar este contenido.
- Desaparece el catálogo tasado de medidas de seguridad organizado hasta ahora por niveles (básico, medio y alto) en función del nivel de sensibilidad de los datos personales tratados y en su lugar los responsables y encargados deberán establecer las medidas técnicas y organizativas adecuadas desde su punto de vista para cumplir con el RGPD, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como el nivel de riesgo para los derechos y libertades de las personas físicas cuyos datos personales son tratados por cada empresa. Esta tendencia de análisis previos va en línea con la metodología de sistemas de gestión de seguridad de la información, es decir sistemas de gestión a medida, de cara a prevenir incumplimientos antes de que la vulneración será efectiva y se incardina en la consideración por parte del legislador europeo de que las empresas “ya son mayores de edad” y por tanto no necesitan que se les diga qué medidas implantar sino que responsablemente pueden determinarlas ellas mismas. Ello implica más libertad y flexibilidad pero también la problemática de que, ante un incidente, la AEPD pueda no compartir el criterio de la empresa, razón por la cual se criticado la falta de seguridad jurídica que este nuevo régimen acarreará respecto al escenario normativo actual desarrollo donde las pautas de medidas de seguridad aplicar estaban claras.
- Adicionalmente, ante determinados tipos de tratamiento, las empresas (responsables o encargados del tratamiento) deberán llevar a cabo una Evaluación de Impacto de Protección de Datos (“EIPD” o “PIA”- Privacy Impact Assessments según sus siglas en inglés). Se trata de un análisis adicional de los riesgos que un producto, proyecto, tratamiento o servicio pueda entrañar para la protección de datos personales de los interesados y, como consecuencia de tal análisis, la gestión de dichos riesgos mediante la adopción de las medidas necesarias para eliminarlos o mitigarlos. Es por tanto una herramienta que va más allá de una pura evaluación de cumplimiento normativo.
- Desaparecen las auditorías bianuales obligatorias de protección de datos si bien se entienden como una medida adecuada para justificar el cumplimiento del principio de responsabilidad activa.
- Las empresas, responsables o encargados del tratamiento, que tengan más de 250 empleados estarán obligados a llevar un registro de operaciones de tratamiento en el que se contenga la información establecida en el RGPD. En los demás casos se tratará de una medida voluntaria pero, según la AEPD, muy recomendable (…y ya se sabe que donde la AEPD dice “recomendable” las empresas deben leer “casi obligatorio”) ya que permite tener el control de los tratamientos que se realizan en el seno de una organización y demostrar que se aplica el principio de responsabilidad activa. Este registro vendrá a sustituir en la práctica la declaración de los ficheros ante la AEPD, obligación que desaparece en el RGPD.
- En determinados supuestos, se impone las empresas responsables del tratamiento la obligación de notificar las violaciones de seguridad de los datos personales a la autoridad competente e incluso, en algunos casos, a los propios afectados.
- Se crea la figura del Delegado de Protección de Datos (“DPD” o “DPO”-Data Protection Officer según sus siglas en inglés) como persona encargada, entre otras funciones, de asegurar el respeto a la normativa en materia de protección de datos personales en el seno de las empresas. Esta figura debe ser nombrada de manera obligatoria en numerosos casos, los cuales, si se aprueba el Anteproyecto de LOPD en tramitación en sus términos actuales, incluirán a aquellas empresas que:
- desarrollen actividades de publicidad y prospección comercial, incluyendo las de investigación comercial y de mercados, cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles de los mismos.
- sean prestadores de servicios de la sociedad de la información que recaben información de los usuarios de sus servicios, sea o no exigible el registro previo para la obtención de los mismos.
- Y en último lugar, lo que preocupa a quienes tratan datos personales en el desarrollo de su actividad empresarial: las multas. El RGPD se ha preocupado mucho por establecer sanciones efectivas y disuasorias, que son cuantitativamente muy superiores a las establecidas por la normativa española actual. Así las infracciones se sancionarán, en función del precepto del RGPD infringido, con multas administrativas de hasta 10 o 20 millones de euros o, tratándose de empresas, de una cuantía equivalente hasta al 2% o 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose siempre por la de mayor cuantía. Será la autoridad de control competente la que determine en cada caso individual su importe teniendo en cuenta todas las circunstancias concurrentes y atendiendo en particular a la naturaleza, gravedad y duración de la infracción, sus consecuencias y a las medidas tomadas para garantizar el cumplimiento de las obligaciones impuestas por el RGPD e impedir o mitigar las consecuencias de la infracción.
Hasta aquí solo una visión muy general del contenido del RGPD y sus novedades con el fin de ofrecer una primera aproximación que permita a las empresas concienciarse de que el nuevo escenario legal de la protección de datos personales será, desde mayo del año que viene, otro muy distinto al que conocemos, con más flexibilidad pero sin duda con mucha más responsabilidad. En próximos artículos iremos analizando las guías publicadas por las autoridades competentes a nivel europeo y nacional sobre diversos aspectos del RGPD, así como sobre el Anteproyecto de LOPD.
http://www.feneval.com/images/stories/Pdf_revista/FENEVAL_revista_no195_WEB.pdf