Guía para ponerse al día en protección de datos, artículo publicado en Expansión

Ana García Lucero, abogada área Empresas, Mercantil y Societario. AGM Abogados

El nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD), entró en vigor el pasado 25 de mayo de 2016 y resultará de plena aplicación en todos los países miembros de la Unión Europea el próximo día 25 de mayo de 2018.

A pesar de que el RGPD es de directa aplicación en los Estados Miembros, en nuestro país en estos momentos se encuentra en tramitación el proyecto de reforma de la Ley Orgánica de Protección de Datos, con el fin de adaptar las disposiciones nacionales al nuevo marco europeo.

Todas las empresas que tratan datos personales se plantean por lo tanto a día de hoy muchas cuestiones tales como; ¿por dónde comenzamos?, ¿qué es lo que debemos modificar/actualizar?, ¿qué novedades introduce el RGPD? Por ello, a continuación intentaremos dar respuesta a estas cuestiones, facilitando también algunas recomendaciones para una adecuada y progresiva adaptación al RGPD.

En primer lugar, una de las principales novedades del RGPD es el cambio en la obtención del consentimiento de los interesados, de manera que ya no será posible el tratamiento de datos basados en consentimientos tácitos, si no que será necesario disponer del consentimiento expreso, explícito y específico de los interesados. De este modo será necesaria una declaración del interesado o en su caso una acción positiva mediante la cual manifieste su conformidad. Por ello, una de las primeras cuestiones que deben de llevar a cabo los Responsables del Tratamiento es proceder a revisar los consentimientos que disponen de los datos que tratan, eliminar aquellos datos que ya no sean necesarios (“wash data”), recabar el consentimiento expreso de aquellos datos cuyo tratamiento se desee mantener, y finalmente modificar las cláusulas informativas del recogida del consentimiento.

Por otro lado, y como cuestión directamente relacionado con la recogida del consentimiento, el Responsable del Tratamiento tiene una obligación de información con respecto a los interesados cuyos datos trate, debiendo proporcionales información mucho más completa, detallada y específica a la que se facilitaba hasta ahora con la anterior Ley Orgánica de Protección de Datos 15/1999. A fin de evitar cláusulas informativas excesivamente extensas, el RGPD permite que la misma se facilite en dos capas: una primera consistente en la información básica que se ha de facilitar en el momento de recogida del consentimiento, y una segunda capa consistente en la información adicional específica y detallada (identificación del Delegado de Protección de Datos, datos concretos de cesiones, transferencias internacionales, etc.)

El Delegado de Protección de Datos es una nueva figura introducida por el RGPD, el cual ha pretendido profesionalizar la anterior tarea desempeñada por los Responsables de Seguridad. Su función es coordinar y controlar el cumplimiento de las políticas de protección de datos en las empresas y organizaciones. La figura del Delegado de Protección de Datos, será obligatorio para los organismos públicos y para aquellas otras cuya actividad suponga la observación sistemática y habitual de datos a gran escala de categorías especiales de datos y de datos relativos a condenas e infracciones penales. A pesar de no estar obligados, muchas empresas valoran la posibilidad de disponer de un Delegado de Protección de Datos a fin de externalizar estas tareas y disponer así de una persona intermediaria entre las empresas y la Autoridad de Control (la Agencia Española de Protección de Datos).

El RGPD introduce también novedades en relación a los derechos de los interesados y el proceso de ejercicio de los mismos. Se acuñan nuevos derechos como son el derecho a la portabilidad de los datos y el derecho al olvido. Los Responsables del Tratamiento, deben de comenzar a implementar sistemas y mecanismos (electrónicos en la medida de lo posible) a fin de facilitar a los interesados el ejercicio de sus derechos.

Dentro de las medidas a aplicar, lo cierto es que el RGPD no habla de medidas de seguridad concreta a aplicar en el tratamiento de datos personales, pero sí que hace mucho hincapié en el principio de la responsabilidad proactiva de las empresas, que se deben adaptar y adecuar en cada momento al tipo de datos que manejan y los tratamientos que realizan, las medidas de seguridad se han de establecer desde el diseño, y no por defecto como se venía realizando hasta ahora, llevando a cabo Análisis de Riesgos y Evaluaciones de Impacto (en el caso del tratamiento de datos especialmente sensibles), para analizar la adecuación de las medidas de seguridad. Una las novedades importantes también es que el RGPD establece que con independencia de las medidas concretas que se adopten, los datos tienen almacenarse de manera anonimizada y seudonimizada.

Finalmente en caso de incidencias o brechas de seguridad en los datos, se ha proceder a comunicar dicha incidencia a la Autoridad de Control competente, pero también a los propios interesados cuando la incidencia haya puesto en peligro sus derechos y libertades.

El incumplimiento de las previsiones establecidas en el RGPD, se sanciona de manera más dura a lo que hasta el momento estamos acostumbrados, habiéndose incrementado de manera exponencial las posibles multas hasta un máximo de veinte millones de euros o el 4% del volumen de negocio total anual del ejercicio anterior.

¿Tienes dudas o quieres ampliar información? Contacta con nosotros.