El Reglamento General de Protección de Datos (I). Aspectos básicos. [Ricard Martínez, Profesor de Derecho Constitucional]

El 25 de mayo de 2018 hemos empezao a aplicar plenamente el Reglamento (UE) 2016/679 (RGPD) en toda la Unión Europea. Nuestras empresas ya aplicaban la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su reglamento (RLOPD).  Ahora deben implementar las novedades que incorpora el RGPD.

El marco será muy similar, aunque existen algunos cambios sustanciales que conviene destacar. El valor fundamental en el que debemos poner nuestra atención es sin duda la llamada responsabilidad activa. Ya no se trata de inscribir un fichero en la Agencia Española de Protección de Datos, o de usar una cláusula informativa: hay que disponer de un protocolo de cumplimiento y aplicarlo. Esto significa que tenemos apostar por una gestión por procesos bien definidos y documentados. El RGPD supone también desarrollar análisis de riesgos y lo que se define como protección de datos desde el diseño y por defecto. Antes de decidir cualquier tratamiento de datos personales debemos tener muy en cuenta los derechos e intereses de las personas y dimensionar condiciones que garanticen su privacidad. Además, el volumen datos y su naturaleza se corresponderá con la finalidad que persigamos. Este tipo de análisis afectará también al software, a nuestro entorno físico y organizativo y a los proveedores.

Ser transparentes

Si seguimos el proceso natural de trata de un dato empezaremos por cumplir con el deber de información, ahora llamado transparencia. Ahora ese deber se cumple por “capas” lo que implica, siguiendo las recomendaciones de la Agencia Española de Protección de Datos, disponer de una capa básica fácilmente identificable por el usuario, y un segundo nivel con un mayor detalle.

Tener una base jurídica para tratar los datos

El segundo paso consistirá en determinar en virtud de que legitimación tratamos los datos. El artículo 6 del RGPD establece diferentes supuestos.

a) El consentimiento explícito para el tratamiento de datos personales para uno o varios fines específicos.

b) La ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.

c) El cumplimiento de una obligación legal aplicable al responsable del tratamiento.

d) Proteger intereses vitales del interesado o de otra persona física.

e) El cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.

f) La satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

El sentido común, que el contrato será una condición de legitimación habitual del tratamiento en las relaciones con nuestros clientes y empleados. Existirán otras situaciones en las que la ley nos impone un tratamiento (IRPF, cotizaciones sociales). Existirán tratamientos específicos no vinculados con la relación contractual con el cliente que exigirán el consentimiento que sólo podrá ser explícito y requerirá una acción afirmativa. Aunque hay que recordar que en materia de publicidad por medios electrónicos sigue vigente el modelo de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico. Por último, el interés legítimo exige tener un interés justificado en tratar los datos y antes de tomar la decisión de tratarlos debemos ponderar los derechos y libertades de los sujetos afectados para definir cuál deba ser el interés prevalente.

Garantizar los  derechos de las personas

El Reglamento General de Protección de Datos ha sumado a los derechos tradicionales de acceso rectificación cancelación y oposición tratamiento, ARCO, los derechos al olvido, la portabilidad, y la limitación de los tratamientos. Es decir, nos obliga a prestar particular atención a cancelar datos y especialmente en el ámbito de Internet. Los sistemas de información serán capaces de generar registros de datos que se entreguen al cliente en formatos compatibles. Por último, el cliente puede solicitar que bloqueemos temporalmente sus datos para garantizar sus derechos e intereses. La garantía de los derechos de las personas cuyos datos tratamos es esencial para definir relaciones de confianza.

Tratar los datos con seguridad

En materia de seguridad se produce una enorme flexibilización de las metodologías. Es posible que el vigente Título Octavo del RLOPD no resulte de aplicación obligatoria, aunque sí recomendable. El RGPD exige que adoptemos decisiones muy concretas. La primera de ellas realizar un análisis de riesgo que nos indique las vulnerabilidades de nuestros sistemas, y que adoptemos medidas de acuerdo con el estado de la técnica y de nuestras capacidades. Por tanto, más establecer la lista de medidas pedir las dos y nos indica el Reglamento General de Protección de Datos es que debemos decidir qué medidas concretas aplicaremos. Por otra parte, es imperativo mantener un buen sistema de alerta de incidencias de seguridad que garantice su notificación a la AEPD o al propio interesado ante incidentes graves que puedan poner en peligro derechos y libertades fundamentales.

Además, se recomienda la adopción de medidas complementarias como el cifrado de datos y la pseudonimización. El RGPD permite implementar medidas de seguridad partir de esquemas de certificación y concede en tal caso una presunción de diligencia en la actuación del responsable.

Escoger bien a mis proveedores

El RGPD, insiste más si cabe todavía en las condiciones de diligencia en la elección del encargado, determinando que las decisiones en materia de contratación y subcontratación de servicios que impliquen un tratamiento de datos de carácter personal por parte de un tercero deben cumplir con las mayores garantías posibles. Estas contrataciones, adquieren un valor singular cuando comporten transferencias internacionales de datos.

Otras obligaciones

Aunque el Reglamento exime de llevar un registro de actividades del tratamiento a las a empresas con menos de 250 trabajadores, pueden existir elementos cualitativos que imponen obligaciones específicas particularmente significativas. Nos referimos a las evaluaciones de impacto en la protección de datos y el nombramiento del delegado de protección de datos. La evaluación de impacto es obligatoria en los siguientes casos:

a) evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;

b) tratamiento a gran escala de categorías especiales de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física, o de los datos personales relativos a condenas e infracciones penales, o

c) observación sistemática a gran escala de una zona de acceso público.

Y también cuando la autoridad protección de datos del país en el que se encuentra la pequeña empresa imponga esta obligación.

Del mismo modo el artículo 37 RGPD prevé la necesidad de nombrar delegados de protección de los siguientes casos:

a) el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;

b) las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física, o de los datos personales relativos a condenas e infracciones penales.