RGPD

El Seminario Dictum de septiembre aborda las medidas de responsabilidad proactiva en el tratamiento de datos

Enviar un correo electrónico, elaborar una lista de asistencia de un curso o taller… “Antes del 25 de mayo de este año, fecha de la plena aplicación del Reglamento General de Protección de Datos (RGPD), poca gente era consciente de las implicaciones que acciones tan cotidianas como estas podrían llegar a tener un tiempo después”, empezó diciendo el pasado 25 de septiembre Gonzalo Rodríguez Martínez, responsable de impartir el Seminario Dictum de este mes, con el que la firma inaugura el presente curso.

A lo largo de una exposición que recorrió los pormenores de la nueva norma, el abogado del departamento de Derecho mercantil-concursal y de Protección de datos centró su discurso en la responsabilidad proactiva en el tratamiento de los datos personales, tanto en lo que toca  a la actividad de un despacho de abogados como de cualquier otro tipo de empresa.

Con un enfoque muy práctico y la pretendida intención de dar respuesta a las preguntas que todos nos hemos hecho, como usuarios y como profesionales, desde la entrada en vigor del RGPD, el abogado de Dictum explicó cómo el principio de responsabilidad proactiva es “el que nos obliga a aplicar todas aquellas medidas (organizativas, tecnológicas, administrativas…) a nuestro alcance para asegurar el cumplimiento de la normativa y a estar en disposición de demostrarlo, de acuerdo con lo establecido en los artículos 24 y 32 del más conocido como GDPR, por sus siglas en inglés (General Data Protection Regulation)”.

El seguimiento de estas medidas es lo que permite a las compañías evitar no solo el riego económico que supone una infracción, multas de hasta 20 millones de euros o del 2% del volumen del negocio total de un año, sino también el riesgo reputacional.

La responsabilidad proactiva supone analizar los riesgos derivados de cada actividad de tratamiento, para lo cual las organizaciones deben examinar: qué datos tratan, con qué finalidad y a través de qué tipo de operaciones, con el objeto de aplicar las medidas de seguridad oportunas en cada caso.

En cuanto al usuario o consumidor, el ciudadano tiene el derecho fundamental (art. 18.4 CE, 8.1 Carta de Derechos Fundamentales UE y 16.1 TFUE) de saber quién posee sus datos personales y de qué tipo son estos, con qué finalidad y dónde los ha obtenido.

Gonzalo Rodríguez habló también de conceptos cercanos a la protección de datos, como son el derecho a la intimidad, el derecho al olvido o el compliance, y repasó supuestos difusos en cuanto a la idea de dato personal, la determinación del responsable o la aplicación del interés legítimo como base jurídica del tratamiento.

Por último, se refirió a la responsabilidad en el tratamiento del dato, que afecta al responsable propiamente dicho (quien determina los fines y medios en el tratamiento) y al encargado (quien trata los datos por cuenta del responsable), y al fenómeno de la corresponsabilidad, que aparece, especialmente, en tareas relacionadas con campañas de marketing.

Vuelven los Seminarios Dictum. Este mes, sobre el RGPD y la responsabilidad proactiva en el tratamiento de datos

Después del parón estival, empezamos el curso con un nuevo Seminario Dictum,  una herramienta de formación interna que permite extender el conocimiento derivado de la investigación.

En esta ocasión, el abogado del departamento de Derecho mercantil-concursal y de Protección de datos de Dictum, Gonzalo Rodríguez Martínez, nos trae un tema de gran actualidad e interés como es el RGPD y la responsabilidad proactiva en el tratamiento de datos personales.

El próximo 25 de septiembre, los profesionales de la firma podrán, así, resolver todas sus dudas en torno al nuevo Reglamento General de Protección de Datos y las medidas que deben tener en cuenta para cumplir con el principio de responsabilidad proactiva.

El nuevo Reglamento Europeo de Protección de Datos: puntos claves de la reforma y adaptación

Descarga la Actualidad Profesional en PDF

El 25 de mayo de 2016 entró en vigor el Reglamento UE 2016/679 General de Protección Datos (RGPD) que es plenamente aplicable desde el pasado 25 de mayo, tras dos años de periodo transitorio y de adaptación. El Reglamento representa, ahora, la norma de referencia en materia de protección de datos puesto que es directamente aplicable y no necesita normas internas de transposición ni de desarrollo o aplicación.

El Reglamento homogeneiza la protección de datos en la Unión Europea, impidiendo interpretaciones o normas que rompan la unidad territorial, limitando los poderes de los Estados miembros, ya que pierden competencias legislativas y ejecutivas. Sin perjuicio de lo anterior, la ley que sustituirá a la actual Ley Orgánica de Protección de Datos podrá incluir algunas precisiones o desarrollos en materias en las que el Reglamento lo permite. La Agencia Española de Protección de Datos, como autoridad nacional responsable, seguirá siendo la encargada de velar por su cumplimiento.

La mayor innovación que introduce el Reglamento es el principio de “responsabilidad proactiva” que convierte a los destinatarios en los responsables de determinar las medidas adecuadas para proteger los datos y los derechos y libertades de las personas. La norma, contrariamente a lo que estábamos acostumbrados, no prohíbe conductas concretas sino que establece objetivos que deberán ser perseguidos por los destinatarios, fijando un marco normativo que permite a los responsables adaptar su realidad a la protección de datos.

Para ello, los destinatarios son llamados a identificar qué tipo de datos tratan, con qué finalidad lo hacen y qué tipo de operaciones de tratamiento llevan a cabo, con el fin de realizar un análisis de riesgos y determinar así, a partir de unos principios que en todo caso van a tener que respetar, las medidas adecuadas para garantizar la protección de los datos y el cumplimiento del Reglamento.  Analizar los riesgos significa, en la práctica, establecer hasta qué punto una actividad de tratamiento puede causar daños a los titulares de los datos.

Pueden existir riesgos asociados a la protección de la información, como por ejemplo el acceso ilegitimo a los datos, la modificación o la eliminación de los mismos; o bien pueden existir riesgos asociados al cumplimiento de los requisitos legales del Reglamento como, por ejemplo, el tratamiento de datos sin base jurídica o la falta de un procedimiento para atender el ejercicio de los derechos de los interesados.

Identificados los riesgos, los responsables del tratamiento de datos deben emplear las medidas de seguridad idóneas, que encajan en su situación, para adaptarse al reglamento y garantizar los datos y derechos de las personas. Antes de la directa aplicación del Reglamento, el desarrollo reglamentario de la Ley Orgánica de Protección de Datos establecía con detalle las medidas de seguridad que debían aplicarse según el tipo de datos objeto de tratamiento. Ahora, los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.

Un pilar del principio de la responsabilidad activa es el Delegado de Protección de Datos (DPO, Data Protection Officer), nueva figura que introduce el Reglamento y que desempeña funciones de información y asesoramiento, tanto al responsable como al encargado del tratamiento, de las obligaciones que les incumben, supervisión del cumplimiento de las previsiones del Reglamento, cooperación con la autoridad de control y punto de contacto de la autoridad de control para cuestiones relativas al tratamiento. El Delegado de Protección de Datos debe tener conocimientos especializados y su nombramiento es obligatorio sólo en los casos previstos por el Reglamento. En los demás casos, existe la posibilidad de una designación voluntaria.

Otra de las claves de la reforma radica en la regulación del consentimiento. El Reglamento mantiene el principio de que todo tratamiento de datos necesita apoyarse en una base que lo legitime que puede ser: consentimiento, relación contractual, intereses vitales del interesado o de otras personas, obligación legal para el responsable, interés público o ejercicio de poderes públicos, intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos. Identificar la base legal es indispensable para poder estar en condiciones de demostrar que se cumple con el Reglamento. Aunque no se contemple de forma explícita, se deduce del articulado del Reglamento y, en general, del principio de responsabilidad activa.

En cuanto al consentimiento, éste tiene que ser libre, por lo que no vale si no hay posibilidad de oponerse. Específico, lo que impide que se acumulen en una misma opción tratamientos que no son iguales. Informado, por lo que el interesado tiene que conocer siempre todas las circunstancias. E inequívoco por lo que tiene que ser prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. A diferencia de la regulación anterior, el consentimiento no puede ser tácito.

Esto plantea una serie de consecuencias en cuanto a la información a facilitar a los interesados, cuando proporcionarla y como obtener el consentimiento. Las empresas deberán por lo tanto revisar los consentimientos obtenidos con anterioridad a la aplicación del Reglamento que seguirán siendo válidos sólo si hubieran prestado mediante una manifestación o acción afirmativa y deberán dejar de obtener el consentimiento por omisión, haciéndolo de acuerdo con las disposiciones del Reglamento.

Otro tema muy relevante son los derechos de los interesados y los procedimientos y las formas para ejercitar los derechos que deben ser visibles, accesibles y sencillos. El Reglamento contiene los derechos tradicionales de acceso, rectificación, cancelación y oposición (ARCO) aunque introduce alguna novedad. La más destacable el derecho al olvido, como consecuencia del derecho al borrado de los datos personales, y el derecho a la portabilidad que obliga al responsable a facilitar una copia completa de los datos en soporte electrónico y en formato compatible.

En definitiva, para adaptarse a la nueva regulación, será necesario nombrar un Delegado de Protección de Datos, si es obligatorio o si se asume voluntariamente; elaborar un registro de actividades de tratamiento; realizar un análisis de riesgos; revisar las medidas de seguridad a la luz de los resultados del análisis;, establecer mecanismos y procedimientos de notificación de quiebras de seguridad; adecuar los formularios; adaptar los mecanismos y procedimientos para el ejercicio de derechos; valorar si los encargados, en caso de existir, ofrecen garantías y adaptar sus contratos; adaptar la política de privacidad, etc.

Las grandes empresas empezaron ya hace tiempo el proceso de adaptación, pero la gran preocupación son las pequeñas y medianas empresas. Se trata de una normativa compleja, que establece numerosos requisitos difíciles de cumplir y que, al mismo tiempo, implanta un modelo radicalmente distinto al anterior, que implica asumir la responsabilidad de adoptar las medidas que cada responsable considere adecuadas. Esto implica conocer perfectamente el Reglamento y, para muchos empresarios y profesionales, va a resultar fundamental el asesoramiento de un abogado experto en esta materia, máxime teniendo en cuenta que las sanciones que establece el Reglamento constituye uno de los cambios que más llama la atención entre las empresas.