Nuevo Reglamento General de Protección de Datos: Análisis de su implantación seis meses después de su entrada en vigor
El 25 de mayo de 2018 entró en obligado cumplimiento el reglamento (UE) 2016/679 del Parlamento y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Seis meses después, es tiempo de hacer un análisis de su incorporación al día a día de las empresas de nuestro país.
1. Valoración de los primeros meses del RGPD. ¿Se han adecuado las empresas a la normativa? ¿Qué les está costando más?
A lo largo del presente año y a medida que se iba acercando el “gran día” –el pasado 25 de mayo–, gran parte de las empresas radicadas o con representación en nuestro país han ido haciendo considerables esfuerzos para adaptarse o iniciar un proceso de adecuación a la normativa de protección de datos de aplicación en vigor. En el mejor de los casos, cuando la capacidad financiera y organizacional lo ha permitido y partiendo de una base de cumplimiento previo (de la aún vigente Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal y el RD 1720/2007, que la desarrolla), esa adaptación ha supuesto la necesidad de confrontar el equilibrio entre el negocio de la compañía y la operativa empleada en los distintos escenarios del tratamiento de datos personales (desde su captación hasta su conservación y posterior eliminación). Sin embargo, mucho más frecuentemente nos encontramos con un importante escollo que impide alcanzar ese cumplimiento generalizado: buena parte de las empresas y ciudadanos no han alcanzado aún a comprender cuál es la voluntad exacta del RGPD y, por ende, cuál es el cambio de mentalidad exigido tanto a nivel normativo (en atención al RGDP, pero también a las normas que se vienen desarrollando a nivel local, como es el caso del Proyecto de nueva LOPD) como institucional.
En este sentido, tanto responsables como encargados del tratamiento siguen partiendo de las premisas definidas por la anterior normativa y no por aquellas que trata de inculcar la reciente legislación en materia de privacidad, transparencia, acceso a la información y cumplimiento corporativo, así como aquellos proyectos de leyes de afectación a la sociedad de la información y nuevas tecnologías, que están estrechamente vinculadas al tratamiento de datos (como la propuesta de Reglamento ePrivacy).
2. El concepto de protección de datos como algo instrumental
Probablemente, parte de esta encrucijada tenga su origen en un enfoque erróneo en el momento de clasificar esta disciplina bajo la premisa del non-core business (parte no esencial del negocio), a pesar de que en la era digital en la que vivimos resulta difícil establecer una separación entre información o bases de datos y negocio. Actualmente ya no debemos preguntarnos únicamente: ¿Qué debo hacer para cumplir con mis obligaciones en materia de privacidad? Hoy en día resulta igualmente significativo cuestionarnos cuál debe ser el procedimiento a seguir para implementar nuestras obligaciones en materia de protección de datos personales.
A pesar de eso, y siendo justos, hay que reconocer que, ya con antelación a la plena aplicabilidad del RGPD, tanto las autoridades de control correspondientes como los departamentos legales corporativos han tratado de concienciar a las empresas de ese “cambio de mentalidad y de proceder”, teniendo en cuenta la voluntad del RGPD de instaurar un compromiso de proactividad por parte de las empresas para con los titulares de los datos personales. Sin embargo, el continuo avance de la tecnología de afectación y la incapacidad de implementación progresiva de la norma han dificultado su correcto desarrollo en las empresas.
El RGPD encuentra en el principio de accountability (responsabilidad proactiva) la principal ramificación de su columna vertebral, pormenorizada en una serie de medidas que deben aplicarse para garantizar que los tratamientos que se acometan sobre los datos personales sean conformes con el RGPD, efectivamente implementados y actualizados y siempre demostrables. Asimismo, el enfoque del riesgo en el tratamiento de los datos personales no resulta trivial al objeto de determinar todas las obligaciones que cada empresa deberá asumir. Quizás este último punto es el que, aún a día de hoy, resulta más confuso y difícil de determinar por parte de las empresas.
3. Implementación de obligaciones del RGPD: casuística del “deber de información”
El ejemplo más evidente de lo anteriormente expuesto lo hallamos en la información que se brinda al afectado. Es decir, en el cuerpo de las cláusulas informativas incorporados en formularios de captación de datos personales -físicos o en línea- mediante las que los responsables del tratamiento proporcionan a los distintos sujetos el detalle de cómo tratarán sus datos personales. En relación a esta obligación, el RGPD expone en su artículo 13 (y siguientes) qué información concreta hay que facilitar: desde cuáles son los datos objeto de tratamiento, los usos y finalidades de los mismos, los destinatarios (p.ej. encargados del tratamiento o cesionarios de los datos personales) o las transferencias internacionales -en su caso- hasta las medidas de seguridad aplicables a los diferentes tratamientos.
Con el fin de dar cumplimiento a la anterior obligación, resulta notorio que las empresas han concentrado sus esfuerzos en trasladar a las políticas de privacidad y leyendas legales de legitimación de datos personales (a menudo mediante la remisión de innumerables correos electrónicos) los requisitos del citado artículo del RGPD. Sin embargo, podemos haber menospreciado los factores que a ojos del RGPD se postulan como imprescindibles a los efectos de cumplir con su espíritu. En este sentido, adicionalmente al deber de información a los afectados, el RGPD exige que tales sujetos comprendan de forma efectiva qué es lo que realmente se hará con sus datos personales y que sean conscientes de las consecuencias que el tratamiento de sus datos puede tener para ellos.
Por lo tanto, sin perjuicio de que el contenido incluido en los referidos textos legales resulte importante y significativo, éste no exime a las empresas de la obligación previa de considerar factores como la tipología de audiencia en particular o categoría de afectados en concreto y la forma y medios a través de los que recabarán la información, con el fin de adaptarla al contexto y las circunstancias concretas de la recogida. Asimismo, en este escenario entran en juego los principios de ‘privacidad por diseño por defecto’, que exigen disponer de un protocolo previo a tales efectos.
Es cierto que el legislador europeo ha creado una norma flexible para que las empresas y otras entidades que manejan datos personales puedan adaptarla a su entorno. Pero, precisamente por eso mismo, éstas tienen la obligación de valorar cuál es la mejor forma de hacerlo para proteger los derechos y libertades de las personas.
4. Conclusiones
Las empresas deben cumplir con la norma. Y deben hacerlo eligiendo la manera más adecuada de lograr el objetivo perseguido. En lo que respecta al derecho de información, los afectados deben entender realmente qué supone el tratamiento de sus datos personales. Por este motivo, y a los efectos de que lo plasmado en esa información sea verídico y se cumpla efectivamente por parte de las empresas, resultan imprescindibles:
La puesta en marcha de los preceptivos análisis de riesgos y la descripción de las medidas de seguridad aplicables.
La definición de las medidas que la empresa debe aplicar con anterioridad al inicio del tratamiento asociado a un servicio o aplicación informática y también cuando se esté desarrollando (Protección de datos desde el Diseño y por Defecto).
La implantación de procedimientos de notificación y comunicación de “violaciones de seguridad” y su documentación.
La designación de un Delegado de Protección de Datos y la determinación de sus funciones.
La Evaluación del Impacto sobre la Protección de Datos (EIPD) con carácter previo a la puesta en macha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados (uso de tecnologías avanzadas, volumen de datos tratados o categorías especiales de datos).
Si en el desarrollo de una obligación tan clara y sencilla como la de informar al afectado, existente en la aún vigente Ley Orgánica de Protección de Datos de Carácter Personal, constatamos que existen dificultades, imaginemos cómo pueden afectar a la implementación del RGPD estas nuevas obligaciones. Hasta el momento en que todos seamos conscientes de la necesidad de cumplir con obligaciones del RGPD y asumamos un compromiso real y efectivo con las personas, en la práctica no existirá tal cumplimiento. El objetivo último es, no lo olvidemos, proteger nuestra privacidad y también todos los demás derechos y libertades que se pueden ver afectados por tratamiento de datos personales.