Enviar un correo electrónico, elaborar una lista de asistencia de un curso o taller… «Antes del 25 de mayo de este año, fecha de la plena aplicación del Reglamento General de Protección de Datos (RGPD), poca gente era consciente de las implicaciones que acciones tan cotidianas como estas podrían llegar a tener un tiempo después», empezó diciendo el pasado 25 de septiembre Gonzalo Rodríguez Martínez, responsable de impartir el Seminario Dictum de este mes, con el que la firma inaugura el presente curso.
A lo largo de una exposición que recorrió los pormenores de la nueva norma, el abogado del departamento de Derecho mercantil-concursal y de Protección de datos centró su discurso en la responsabilidad proactiva en el tratamiento de los datos personales, tanto en lo que toca a la actividad de un despacho de abogados como de cualquier otro tipo de empresa.
Con un enfoque muy práctico y la pretendida intención de dar respuesta a las preguntas que todos nos hemos hecho, como usuarios y como profesionales, desde la entrada en vigor del RGPD, el abogado de Dictum explicó cómo el principio de responsabilidad proactiva es «el que nos obliga a aplicar todas aquellas medidas (organizativas, tecnológicas, administrativas…) a nuestro alcance para asegurar el cumplimiento de la normativa y a estar en disposición de demostrarlo, de acuerdo con lo establecido en los artículos 24 y 32 del más conocido como GDPR, por sus siglas en inglés (General Data Protection Regulation)».
El seguimiento de estas medidas es lo que permite a las compañías evitar no solo el riego económico que supone una infracción, multas de hasta 20 millones de euros o del 2% del volumen del negocio total de un año, sino también el riesgo reputacional.
La responsabilidad proactiva supone analizar los riesgos derivados de cada actividad de tratamiento, para lo cual las organizaciones deben examinar: qué datos tratan, con qué finalidad y a través de qué tipo de operaciones, con el objeto de aplicar las medidas de seguridad oportunas en cada caso.
En cuanto al usuario o consumidor, el ciudadano tiene el derecho fundamental (art. 18.4 CE, 8.1 Carta de Derechos Fundamentales UE y 16.1 TFUE) de saber quién posee sus datos personales y de qué tipo son estos, con qué finalidad y dónde los ha obtenido.
Gonzalo Rodríguez habló también de conceptos cercanos a la protección de datos, como son el derecho a la intimidad, el derecho al olvido o el compliance, y repasó supuestos difusos en cuanto a la idea de dato personal, la determinación del responsable o la aplicación del interés legítimo como base jurídica del tratamiento.
Por último, se refirió a la responsabilidad en el tratamiento del dato, que afecta al responsable propiamente dicho (quien determina los fines y medios en el tratamiento) y al encargado (quien trata los datos por cuenta del responsable), y al fenómeno de la corresponsabilidad, que aparece, especialmente, en tareas relacionadas con campañas de marketing.
