Pintos & Salgado

Artículo escrito por Víctor Salgado (@abonauta)
Abogado-Socio del bufete Pintos & Salgado
www.pintos-salgado.com

Desde la aprobación de aquella ya lejana Ley Orgánica 5/1992 (LORTAD), hoy derogada y sustituida por la vigente Ley Orgánica 15/1999 (LOPD), han pasado ya casi 25 años. En todo este tiempo, se ha producido un gran cambio tecnológico, social y empresarial. El desarrollo de Internet y el surgimiento de tecnologías como el omnipresente buscador Google, pasando por las redes sociales y llegando a las actuales plataformas de mensajería, han causado que las personas hayan cambiado radicalmente sus hábitos pasando de ser muy celosas de sus datos en los años 90, donde sólo los facilitaban en contadas ocasiones y de forma controlada, hasta el escenario actual en el que se facilitan abiertamente en todo tipo de plataformas.

Es por ello que se hizo necesaria una nueva regulación que, ahora sí, supusiera una verdadera homogeneización de la legislación en materia de privacidad en toda la Unión Europea. Es una reacción lógica también frente a un modelo de negocio imperante en la Red del “todo gratis” a cambio de la explotación masiva de nuestros datos personales, gracias al más permisivo marco jurídico norteamericano.

Es así que el 4 de mayo de 2016 se publicó el nuevo Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. A dicha norma se la denomina Reglamento General de Protección de Datos y también por sus siglas “RGPD” o “GDPR”, a nivel internacional.

Como su propio nombre indica, el Reglamento viene a derogar y sustituir la Directiva de 1995 y se aplicará por encima de toda la normativa europea y nacional aprobada en materia de protección de datos. A nivel jurídico, la diferencia fundamental entre una Directiva y un Reglamento es que, mientras la primera necesita de una legislación nacional que la “transponga” para su plena vigencia en los Estados Miembros, el Reglamento no requiere tal trámite y se aplica de forma directa.

Ello quiere decir, en el presente caso, que, aunque no se adopte ninguna legislación interna en la materia, el Reglamento será aplicable, en todos sus efectos, el día 25 de mayo de 2018. Marquemos, pues, bien esta fecha en el calendario.

 

Responsabilidad proactiva o “accountability”

De todas sus grandes novedades, la más importante, sin duda, es la llamada “responsabilidad proactiva” o “accountability” en inglés. Básicamente, supone nuestra mayoría de edad en lo relativo a la protección de datos personales. Si la anterior Directiva y nuestra vigente Ley Orgánica 15/1999, de 13 de diciembre de 1999, de Protección de Datos de Carácter Personal (LOPD), nos llevaban de la mano al indicarnos los requisitos y obligaciones detalladas en el tratamiento de la información personal, el nuevo Reglamento deja más en nuestras manos el decidir qué medidas implantamos, pero, eso sí, debiendo justificar nuestra elección y, ante todo, acreditar documentalmente su cumplimiento.

Como dos ejemplos de ello, podemos poner la obligación de inscripción de ficheros y las medidas de seguridad:

  • Actualmente, la vigente LOPD en España dispone la necesidad de notificar a la Agencia Española de Protección de Datos todos aquellos ficheros con datos de carácter personal que existan en nuestra organización. Por contra, el nuevo Reglamento nos exime de dicha obligación, pero, eso sí, nos obliga a llevar internamente un “Registro de actividades de tratamiento” que deberemos poner a disposición de la Autoridad de Control por si nos fuere requerido.
  • En cuanto a las medidas de seguridad, el Titulo VIII de nuestro vigente Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento desarrollo de la Ley Orgánica 15/1999, de 13 de junio de protección de datos de carácter personal, regula tres niveles diferenciados, el básico, medio y el alto, en función del tipo de datos tratados y con medidas muy concretas para cada uno de estos niveles. El nuevo Reglamento, por su parte, nos dispensa de tal clasificación y medidas concretas, dejando, una vez más, en nuestras manos la fijación de las medidas concretas de seguridad que aplicamos sobre los datos pero debiendo, eso sí, justificar su pertinencia y probar su aplicación efectiva para cumplir los objetivos obligatorios de integridad y confidencialidad de la información personal.

Esto son sólo dos ejemplos, pero muy reveladores, respecto al cambio de paradigma en la normativa de protección de datos a partir de mayo de 2018.

Consentimiento e información reforzados

Dos de los pilares básicos de la normativa de protección de datos han sido siempre el consentimiento y la información:

  • El primero señala la regla general de que todo tratamiento de datos personales debe basarse en la previa autorización del interesado aunque, por supuesto, se admiten excepciones con base a la ley.
  • Por su parte, el segundo dispone que, con independencia de si necesito o no el consentimiento previo para el citado tratamiento, en todo caso tengo que informar a los interesados de la existencia del mismo así como de los elementos mínimos que nos pide la ley.

Pues bien, ambos pilares se ven enormemente reforzados en el nuevo Reglamento del siguiente modo:

  • En la LOPD actual, el consentimiento puede ser tácito, siempre que no se traten datos sensibles. Sin embargo, a partir de la aplicación del Reglamento, el consentimiento deberá ser siempre expreso, sean cuales sean los datos tratados.
  • Respecto a la información, el nuevo Reglamento amplía enormemente el mínimo legal de la misma que hay que facilitar al interesado, incluyendo aspectos tales como el plazo durante el que vamos a tratar los datos, así como la identificación del Delegado de Protección de Datos o DPO, en su caso, o la existencia de decisiones automatizadas, entre otras muchas cuestiones.

Nuevos derechos del interesado

A los clásicos derechos de acceso, rectificación, cancelación y oposición (nuestros viejos “derechos ARCO”), se suman ahora otros como el famoso “derecho al olvido”, que nos es otro que un derecho de cancelación actualizado, o el derecho a la limitación del tratamiento o el derecho a la portabilidad de datos.

Como mayor novedad, este último supone el derecho del interesado a recibir su información en un formato estructurado y de uso común, para su transmisión a otro responsable o, incluso, la obligación del anterior responsable de hacerlo directamente, aunque se trate de una empresa de la competencia. Será interesante ves su aplicación en servicios de cloud computing, por ejemplo.

Nuevos principios de la protección de datos y obligación de notificación del “data breach”

Respecto a los principios y aunque el nuevo Reglamento consolida los recogidos en la normativa anterior como el de finalidad, lealtad, calidad o seguridad de los datos, se crean algunos nuevos como el de transparencia, minimización y limitación del plazo de conservación:

  • Respecto a este último, ya nos referimos anteriormente a la hora de comentar las novedades de la información al interesado, donde hay que referirse expresamente a este punto. Este principio se refiere a la necesidad de limitar el plazo de tratamiento al estrictamente necesario con relación a la finalidad del mismo. Ni más ni menos.
  • Respecto al principio de transparencia, el Reglamento obliga a dar información clara, continua y ampliada al interesado tanto sobre el tratamiento de sus datos como sobre todas las vicisitudes e incidencias en el mismo. Buena muestra de ello es el deber de comunicar las violaciones de seguridad, tanto a la Autoridad de Control, en un plazo máximo de 72 horas, como a los propios interesados, si sus derechos se ven en riesgo.
  • En cuanto a la minimización (o “data minimization”), el Reglamento dispone la necesidad de reducir al máximo las categorías de datos tratados a los estrictamente necesarios para cada finalidad de tratamiento.

Todo un reto por delante

Como hemos visto, tenemos un gran desafío por delante tanto para conocer como para desarrollar e integrar esta nueva normativa en nuestras organizaciones de cara a la entrada en aplicación del Reglamento el 25 de mayo de 2018.

La buena noticia es que aún tenemos tiempo, pero no debemos dormirnos en los laureles pues hay un enorme trabajo por delante que hacer para adaptarnos a este auténtico cambio de paradigma en la protección de este derecho fundamental que hemos venido en llamar privacidad.

Próximamente publicaremos la Parte II.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *