El Reglamento General de Protección de Datos (RGPD) y su aplicación en las empresas

El derecho a la protección de datos: el RGPD, un nuevo enfoque de la privacidad.

En la actualidad vivimos en sociedades altamente digitalizadas en las que la información y los datos, tienen un papel primordial. Además, la generalización del uso de las grandes redes de comunicación como Internet han facilitado que el intercambio de dicha información aumente de forma exponencial. Es por ello que, como contrapeso, entre finales del siglo XX y principios del XXI se ha producido el desarrollo de nuevos derechos encaminados a proteger la privacidad. Es aquí donde aparece, entre otros, el derecho a la protección de datos personales en virtud del cual los ciudadanos, en palabras del Tribunal Supremo (STS 292/2000) disponemos de “haz de facultades que integran el contenido del específico derecho fundamental a la protección de datos personales derivado de los arts.18.1 y 18.4 C.E.”. De esta manera, la propia Constitución, como norma suprema de nuestro Ordenamiento, establece la protección de nuestros datos de carácter personal.

En línea con este planteamiento, la Unión Europea ha asumido el desafío de adaptar la anterior normativa, esto es, la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respeta al tratamiento de datos personales y a la libre circulación de estos datos al contexto actual. Con esta finalidad se publicó en 2016 el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) (Texto pertinente a efectos del EEE), también conocido como “RGPD” o “GDPR” (en inglés). Como podemos ver, este reglamento se publicó el 4 de mayo de 2016 en el Diario Oficial de la Unión Europea y, pese a estar vigente, es aplicable desde el día 25 de mayo de 2018 (art. 99 RGPD).

Uno de los objetivos del nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea es garantizar un nivel de protección de los datos homogéneo en el ámbito de todos los países miembros de la Unión. Sin embargo, en su propio texto se deja cierto margen de desarrollo a cada uno de los estados miembros, por ejemplo, en la posibilidad de sancionar o no con multas económicas a las Administraciones Públicas que cometan infracciones en esta materia.

Podemos decir sin temor a equivocarnos que el RGPD supone un cambio de filosofía en el enfoque de la protección de datos personales. De una visión centrada en el cumplimiento de obligaciones formales y requisitos (por ejemplo, en el caso de la actual LOPD de 1999 la obligación de inscribir los ficheros ante la Agencia Española) se pasa a un enfoque de riesgo, donde se considera que las organizaciones, empresas y administraciones deben adoptar una perspectiva de análisis de riesgo y evaluación de determinadas conductas en la esfera de los derechos y libertades de los ciudadanos titulares de los datos personales. En todo caso, el Reglamento persigue establecer un marco jurídico con garantías que contribuya a generar la confianza necesaria que fomente el desarrollo de la economía digital.

Finalmente, hay que tener en cuenta que la nueva norma, el RGPD es un Reglamento, no una Directiva, y esto tiene una consecuencia muy importante: los Reglamentos europeos son directamente aplicables en todos los Estados miembros de la Unión, y por ello, sin necesidad de que haya una norma nacional que lo desarrolle, el RGPD es aplicable en España desde el viernes día 25 de mayo. No obstante, en el momento de redactar este artículo se encuentra en tramitación en el Parlamento español el Proyecto de la nueva Ley Orgánica de Protección de Datos Personales, cuya publicación se espera para final de este año 2018.

Cómo se han de obtener los datos personales

Con carácter general, el RGPD establece que todos los tratamientos de datos personales deben ser lícitos y leales. Esto enlaza con los dos nuevos pilares en materia de protección de datos introducidos por el RGDP: la transparencia y la diligencia en el tratamiento y conservación de los datos. De esta manera, como principio general a tener en cuenta, los datos de carácter personal sólo podrán ser recogidos para su tratamiento cuando sean adecuados, pertinentes y limitados para los fines para los que fueron recogidos. Asimismo, el RGPD contempla obligaciones como informar del tiempo de conservación de esos datos, realizar evaluaciones del riesgo para los derechos y libertades de los ciudadanos, adoptar medidas de seguridad técnicas y organizativas, y en determinados casos nombrar un delegado de protección de datos (DPD o DPO, que puede ser una persona interna o externa a la empresa o administración).

Hay dos aspectos fundamentales en el nuevo Reglamento y que se deben tener en cuenta como punto de partida en el tratamiento de datos en el ámbito de la empresa: uno es el de la licitud del tratamiento y el segundo el de las condiciones del consentimiento.

En relación con el primero, el art. 6 del RGPD establece una serie de condiciones en las cuales se entiende que el tratamiento de datos será lícito, pero ojo, dicho tratamiento de datos sólo será lícito si se cumple alguna de esas condiciones. Entre otras, a modo de ejemplo y de forma no exhaustiva, podemos señalar: que el interesado haya dado su consentimiento para tratar sus datos personales para un fin específico (por ejemplo, un usuario que se registra en un portal e-commerce para tramitar un pedido y facilita sus datos), que el tratamiento sea necesario para cumplir con una obligación legal del responsable del tratamiento (por ejemplo, si el responsable del tratamiento es una empresa de formación necesita recabar los datos de los alumnos de sus cursos y conservarlos para las posibles inspecciones a que está sometida esa empresa por la Administración); o, por ejemplo, el denominado “interés legítimo” que habilita al responsable del tratamiento o a un tercero a realizar un tratamiento de datos personales “siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales”.

En segundo lugar, el art. 7 regula las condiciones del consentimiento del usuario, aspecto de capital importancia. Este artículo regula que es responsabilidad del responsable del tratamiento (en este caso la empresa) el acreditar que dispone del consentimiento del usuario para realizar tratamientos de sus datos personales. Se establece que el consentimiento se tiene que presentar de forma clara, separada de cualquier otro aspecto y con un lenguaje sencillo y conciso. En particular, se define el consentimiento como “toda manifestación de voluntad libre, específica, informada, inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

De esta manera, se abandona la posibilidad de entender el consentimiento otorgado “por omisión” de actuación del individuo, y, por el contrario, éste deberá proceder de un acto afirmativo, claro y explícito que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como por ejemplo una declaración escrita o verbal, o marcar una casilla web.

Uniendo esta definición a la obligación de transparencia y diligencia vemos cómo será necesario extremar las medidas para asegurar que disponemos de ese consentimiento informado del usuario para el tratamiento de sus datos personales. En este sentido, las nuevas tecnologías como las plataformas e-commerce en el caso del comercio electrónico, suponen una gran ventaja porque permiten generar “logs” o registros de los usuarios que han aceptado las condiciones de uso y políticas de privacidad de los portales web, lo que supone una valiosa evidencia de cara a posibles controversias.

Finalmente, en relación con los menores, el art. 8 del RGPD regula el consentimiento de los menores, y establece que el tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. A una edad inferior se considerará válido si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño. No obstante, el RGPD deja en manos de los Estados miembros el establecer una edad inferior a esos 16 años, que puede llegar a reducirse hasta los 13 años, aspecto que, como hemos visto, deberá ser objeto de desarrollo en la futura Ley Orgánica de Protección de Datos, actualmente en tramitación.

Obtención de datos personales

Los derechos de los interesados

El RGPD regula los derechos de los ciudadanos como titulares de datos de carácter personal. Como norma general, la información que se facilite respecto a las condiciones del tratamiento de datos, así como las respuestas al ejercicio de sus derechos ha de ser concisa, transparente, entendible y de fácil acceso, utilizando un lenguaje sencillo.

Derecho de acceso (art. 15 RGPD)

Este derecho se mantiene en cuanto a la anterior regulación. En él se consagra el derecho a obtener confirmación de si se están tratando datos personales por parte de una empresa, y en caso afirmativo, a saber cuáles son dichos datos, su origen y posibles cesiones, entre otros. Pero se introduce una importante novedad, y es que el responsable del tratamiento cuando se produzca el ejercicio del derecho de acceso por el usuario deberá facilitar a éste una copia de los datos personales de que disponga, lo que supone una carga no poco importante.

Derecho de rectificación (art. 16 RGPD)

El interesado tendrá derecho a obtener la rectificación de los datos personales inexactosy también a que se completen los que sean incompletos.

Derecho al olvido (Derecho de Supresión) (art. 17 RGPD)

Se trata de uno de los derechos más conocidos a raíz de la famosa sentencia del TJUE de 13 de mayo de 2014 en el asunto “Mario Costeja”. Es un derecho heredero del derecho de cancelación y en virtud del mismo el interesado tendrá derecho a que se supriman sus datos personales cuando se den alguna de las circunstancias previstas en el art. 17.1 del RGPD (por ejemplo, que los datos ya no sean necesarios en relación con los fines para los que fueron recogidos; que se haya retirado el consentimiento por parte del titular de los datos; que los datos hayan sido tratados ilícitamente, etc.)

El responsable, como consecuencia de lo anterior, estará obligado a suprimir, sin dilación indebida, los datos personales en estas circunstancias.

Otro aspecto importante del denominado “derecho al olvido” es que el interesado puede solicitar que se bloqueen en las listas de resultados de buscadores aquellos vínculos que lleven a informaciones personales obsoletas, falsas, no completas o sin interés para el público.

Derecho a la limitación del tratamiento (art. 18 RGPD)

El interesado tiene derecho a que se limite el uso de sus datos en determinadas circunstancias previstas en el art. 18, como por ejemplo, si impugna su exactitud y el tratamiento de los mismos no es legal, entre otras causas.

Derecho a la portabilidad de los datos (art. 19 RGPD)

Se trata de otro derecho novedoso. El interesado, en virtud del mismo, puede solicitar la recuperación de sus datos al responsable de la recogida de los mismos para poder trasladarlos a otro responsable. La diferencia con el derecho de acceso se basa en que este derecho a la portabilidad está orientado a los tratamientos automatizados y, así, lo que se pretende es que el usuario pueda “portar” esos datos de un servicio a otro (por ejemplo, un usuario de una aplicación de “fintech” genera una gran cantidad de información y puede que en un determinado momento pretenda dejar de utilizar una determinada plataforma en beneficio de otra, para este caso se prevé este derecho que facilitará que se dé al usuario una copia en formato electrónico de su información o, incluso, si es técnicamente posible, que haya una interconexión entre las dos plataformas para el traslado de dicha información).

Derecho de oposición (art. 21 RGPD)

El interesado tendrá derecho a oponerse en cualquier momento por motivos personales, a que sus datos personales sean objeto de tratamiento en determinados casos previstos en el art. 21 del RGPD. Se trata de un derecho heredero del derecho de oposición contemplado en la actualmente vigente LOPD.

Derechos de los interesados en la RGPD

Aplicación en la empresa del RGPD

El nuevo Reglamento Europeo de Protección de Datos Personales supone un desafío para las empresas, organizaciones y administraciones públicas. Y es que, ¿qué organización puede desenvolverse en la actual sociedad sin tratar datos personales?

Es por esto que todas las empresas que tratan datos personales deben observar una serie de deberes y cumplir con una serie de principios como los referidos de transparencia y diligencia, así como adoptar las medidas de seguridad, técnicas y organizativas que proceda en su caso concreto.

Uno de los aspectos más importantes del Reglamento, y que afecta de lleno a las empresas, es el del cambio hacia el paradigma del análisis de riesgos y evaluación de impacto. Como manifestación de esta cambio de filosofía se acuña el concepto de “responsabilidad proactiva” que supone que no basta con adoptar un papel pasivo en la gestión de los datos personales, sino que se debe adoptar una posición preventiva y diligente que permita que en caso de que haya una incidencia en esta materia se pueda acreditar el cumplimiento de los estándares establecidos en el RDGPD. Como ejemplo de este principio de responsabilidad proactiva podemos indicar una serie de medidas introducidas por el RGPD:

• Protección de datos desde el diseño y por defecto.
• Establecimiento de medidas de seguridad de carácter técnico y organizativo (Ej, sistemas de copias de seguridad, accesos a través de contraseñas seguras, encriptación de comunicaciones, etc.)
• Mantenimiento de un registro de tratamientos de datos personales indicando los tipos de datos, sus categorías o la base que legitima su tratamiento, entre otros.
• Realización de evaluaciones de impacto sobre la protección de datos (sólo en determinados casos establecidos en el RGPD, como puede ser las empresas que traten datos personales a gran escala como las compañías telefónicas o empresas que traten datos especialmente sensibles regulados en el art. 9 del RGPD).
• Nombramiento de un delegado de protección de datos conocido como “DPO” o “DPD” (lo que no es obligatorio en todas las organizaciones y empresas, pero puede ser recomendable, y es obligatorio, por ejemplo, si se trata de una autoridad u organismo público o se tratan datos a gran escala).
• Notificación inmediata de cualquier brecha de seguridad de los datos: el responsable del tratamiento de datos, o en su caso el DPO, notificará a la autoridad de control como máximo en el plazo de 72 horas.
• Promoción de la adopción de códigos de conducta por parte de la empresa (si bien estos códigos están todavía pendientes de desarrollo).
• Procesos de verificación, evaluación y valoración de la eficacia de las medidas de seguridad.

Aplicación del RGPD en la empresa

Puede parecer que las empresas ahora tienen que cumplir más obligaciones, sin embargo, sólo es una manera diferente de gestionar la protección de datos.

La Agencia Española de Protección de Datos ha elaborado distintos materiales de ayuda para las empresas. Por un lado, un “Listado de cumplimiento normativo” para facilitar la adaptación al RGPD que permite verificar el nivel de cumplimiento con el fin de adoptar las medidas oportunas. Este listado está disponible en el apartado Guías generales del RGDP en la web de la AEPD.

Por otro lado, en el apartado Herramientas de la web de la AEPD se ha creado un cuestionario online denominado “Facilita RGDP”, pensada sobre todo para empresas que tratan datos de escaso riesgo o con un riesgo elevado pero de manera puntual y que es de gran utilidad puesto que al final del proceso de introducción de los datos en la plataforma facilita un documento en formato electrónico en el que se recogen los principales aspectos requeridos por el RGPD en relación con el tratamiento de datos personales por parte de las empresas.

La propia AEPD en su Guía para la Adaptación del Sector Privado da una “hoja de ruta” para cumplir con el Reglamento y se resume en estos 10 puntos:

1. Designar un Delegado de Protección de Datos (DPD) en caso de ser obligatorio o si se asume voluntariamente, y en caso de no serlo, identificar a la persona/s responsable/s de coordinar la adaptación al RGPD.
2. Elaborar un Registro de Actividades del Tratamiento teniendo en cuenta la finalidad y base jurídica del tratamiento.
3. Realizar un análisis de riesgo (Ver apartado Guías de la AEPD).
4. Revisar e implementar las medidas de seguridad a la vista del análisis de riesgos.
5. Establecer mecanismos y procedimientos de notificación de quiebras de seguridad.
6. A partir de los resultados de la evaluación de riesgos realizar en su caso una evaluación de impacto de la protección de datos (Ver apartado Guías de la AEPD), sin embargo esta evaluación no será obligatoria salvo en casos de tratamientos de datos a gran escala o datos especialmente sensibles.
7. Adecuar los formularios de la web al RGPD.
8. Adaptar los mecanismos para el ejercicio de derechos.
9. Valorar si los encargados del tratamiento (terceros que nos prestan un servicio y adquieren a datos personales de nuestros clientes) ofrecen un nivel adecuado de garantías y celebrar el obligatorio contrato que regule esta relación.
10. Elaborar una política de privacidad para la web.

Finalmente, mucho se ha hablado de las multas administrativas y sanciones que impone el RGPD.En todo caso, hay que tener en cuenta que el RGPD contempla que se tendrá en cuenta entre otros factores, la naturaleza, gravedad y duración de la infracción, la intencionalidad, negligencia y el grado de responsabilidad del encargado del tratamiento y las categorías de datos afectadas.

En lo que se refiere en particular a la cuantía de las posibles sanciones económicas para una empresa, se establece que podrá alcanzar hasta un 2 % del volumen de negocio anual global del ejercicio financiero anterior, con un máximo de 10 millones de euros (art. 83.4 RGPD), mientras que si nos encontramos con infracciones más graves, puede alcanzar hasta un 4 % volumen de negocio anual global del ejercicio financiero anterior con un máximo de 20 millones de euros (art. 83.5 RGPD).

Conclusión final

Los responsables de tratamiento de datos en las pymes y micropymes deben proceder a adaptar sus negocios “offline” y “online” a la nueva normativa de protección de datos personales instaurada por el RGPD. Si bien esto supone un desafío, también es cierto que supone una gran oportunidad de adoptar un nuevo enfoque proactivo y de cumplimiento que se traduce en una mayor confianza para el consumidor, lo que indefectiblemente redundará en el beneficio del empresario, en particular en el ámbito del comercio electrónico.

Actualmente nos encontramos ante los primeros pasos del RGPD y, resta por llegar la nueva LOPD, pero disponemos de recursos muy útiles en la propia web de la Agencia Española de Protección de Datos (Guía para Responsables de Tratamiento de Datos) y en el propio portal CECARM (Guía Aspectos Legales de un Negocio Online) donde podremos informarnos y acceder a recursos que nos faciliten el cumplimiento de nuestras obligaciones.