El 25 de mayo de 2016 entró en vigor el esperadísimo Reglamento General de Protección de Datos, normativa europea de directa aplicación en todos los estados miembros, que pretende unificar la aplicación efectiva de la regulación de esta materia en toda la Unión Europea. Si bien, aunque ha entrado en vigor en la fecha que señalo, no será de aplicación hasta el 25 de mayo de 2018, por lo que vamos a vivir un periodo transitorio, donde la L.O. 15/1999 y su Reglamento de desarrollo estarán en pleno vigor, aunque tendremos que ir previendo las nuevas situaciones que vamos a encontrar.
Reglamento de Protección de Datos: ¿Cómo nos va a afectar?
Las medidas del nuevo Reglamento no serán exigibles hasta 2018, sin embargo, la entrada en vigor, aunque suspendida su aplicación por dos años, va a suponer no pocos matices, nuevas formas u obligaciones modificadas, así como, un nuevo régimen sancionador.
A los principios actuales de legitimación, información, finalidad y calidad del dato, tenemos que manejar los nuevos principios que son absolutamente necesarios dado el exponencial desarrollo tecnológico en el que nos encontramos:
- Privacidad desde el diseño (Privacy by design)
- Privacidad por esencia o por defecto (Privacy by default)
- Responsabilidad en la gestión (Accontability)
que no buscan otra cosa que establecer la protección del dato personal como elemento esencial a todo proceso técnico, tecnológico o administrativo en que se vean involucrado un tratamiento de datos personales.
La perspectiva para los responsables y encargados de tratamientos cambiará desde un modelo de compliance del “tic”, es decir, de completar los puntos que nos exige la Ley, al de gestor y analista de riesgos.
El registro de ficheros, como tal, desaparecerá a partir de la aplicación del Reglamento de Protección de Datos, sin embargo, ello no exime, ni mucho menos, de documentar el cumplimiento de las medidas de seguridad tomadas, recabar el consentimiento informado y demás obligaciones en el tratamiento. Así, tendremos que implementar las correspondientes Evaluaciones de Impacto en la Protección de Datos Personales (Privacy Impact Assesments) a partir del análisis de los riesgos que los productos o servicios puedan suponer para la protección de datos de los afectados por el tratamiento que de sus datos se haga. De este análisis, debemos obtener como resultado el procedimiento o procedimientos específicos para gestionar los riesgos, adoptando las medidas necesarias que los mitiguen o eliminen.
También mencionar que otro reto que nos encontraremos, será la necesidad de implantar en las organización la figura del Delegado de Protección de Datos (Data Privacy Officer) en algunos supuestos – y en forma que aún presenta ciertas indefiniciones –
Las empresas debemos tener en cuenta que a partir de mayo de 2018 hay que realizar un análisis de riesgo de los tratamientos de datos que llevemos a cabo, y puede ser útil empezar desde ahora a:
-
- identificar el tipo de tratamientos que realizan,
- el grado de complejidad del análisis que se deberán llevar a cabo,
- implantar evaluaciones de impacto
- revisar las vías para el ejercicio de derechos, etc.
Específicamente, ¿cómo afectará a los negocios digitales?
Primero. Como en toda organización que tratan datos, será necesario realizar un análisis de riesgo de los tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy simples en actividades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles –por ejemplo, un comercio electrónico de pura venta de artículos – , o análisis más complejos sobre actividades que desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos (apps de descarga masiva, agencias de marketing digital con clientes de distintos segmentos, …).
Segundo. La obligación de responsabilidad activa va a suponer una revisión de procesos importante ya que el Reglamento considera insuficiente, a todas luces, actuar cuando se ha producido una infracción que genere un daño. Por lo cual, muy atentos a los desarrollo de software que han de prever, desde su concepción, el cumplimiento de medidas de seguridad encaminadas a la protección de los datos pernales que gestionen.
Tercero. Tendremos que revisar la forma en la que obtenemos y registramos el consentimiento. Las prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa, dejarán de serlo cuando el Reglamento sea de aplicación. Hay que tener en cuenta que el consentimiento tiene que ser verificable y los que recopilemos datos personales debemos ser capaces de demostrar que el afectado otorgó su consentimiento. Por ello, será importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.
[cta titulo=»¿Quieres más información sobre Derecho digital?» imagen=»/wp-content/uploads/2017/07/derecho-digital-imagen_retocada.png» parrafo=»Te facilitamos las soluciones legales que necesitas para el correcto desarrollo de tu negocio y cualquier actividad empresarial o de marketing que lo requiera.» enlace=»https://www.agenciareinicia.com/contacto/» boton=»ME INTERESA»]
Cuarto. Tendremos que revisar todos nuestros avisos legales en cuanto al apartado de privacidad. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puede dirigir sus reclamaciones a las Autoridades de protección de datos, todo ello de forma que sea fácil de entender y presentarse en un lenguaje claro y conciso.
Quinta. El Reglamento además de aplicarse como hasta ahora a los responsables y encargados de tratamientos domiciliados en la E.U. se amplía a responsables y encargados no establecidos en la U.E. siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento. Esto, claramente suena a Google y a otros muchos proveedores de herramientas digitales que se encuentran fuera de la U.E., cuya utilización es típica de los procesos digitales, por lo que sin duda tendrá repercusiones en la forma que venimos usando, como hasta ahora, ciertas herramientas.
En definitiva, el nuevo marco regulatorio a partir del Reglamento, las relaciones internacionales en la protección de datos personales, la tercera revolución industrial que estamos viviendo: digitalización,
Internet, comunicaciones, RR.SS., cloud, cibersegridad, big data… así como la cuarta que ya se solapa: robótica, nanotecnología, el Internet de las cosas, genética, … son retos que en cuestión de poco tiempo re-escribirán la perspectiva que tenemos de la privacidad y la protección de datos personales.
David García
Abogado TIC