Aplicando el RGPD
Más allá del constante e incesante bombardeo de correos que seguramente todos estamos recibiendo en nuestras bandejas de entrada (y de spam), anunciando la entrada en vigor del RGPD y sus consecuencias (cuestión queintentaré tratar más adelante o en otra entrada), valgan estas líneas para resumir desde Soluteca, las implicaciones que a las organizaciones que gestionamos, de una forma u otra, datos personales, nos supone la aplicación del Reglamento General de Protección de Datos Personales.
El RGPD es la norma más ambiciosa en esta materia que se ha promulgado en Europa, viene a derogar a la Directiva 95/46/CE sobre la que se basa por trasposición la L.O. 15/1999 (L.O.P.D.), lo cual, ya desde el plano legislativo significa una clara implicación:
El RGPD viene a derogar a la LOPD 15/1999 en todo aquello en que lo contradiga, no en aquello en lo que sea conforme al mismo
Esto supone que la norma europea se pone por encima de la normativa de los estados miembros de la UE, limita el poder legislativo de estos estados, que vienen obligados a modificar su ordenamiento interno en materia de protección de datos para:
(i) no contradecir a lo regulado en el RGPD, y
(ii) para desarrollar algunos aspectos que el Reglamento deja abiertos.
El Reglamento crea el Comité Europeo de Protección de Datos – heredero del Grupo del Artículo 29 – con la misión de dar coherencia a la aplicación del RGPD en toda la EU y apoyar a las distintas autoridades de control, en España, a la Agencia Española de Protección de Daros – AEPD.
El nacimiento del RGPD es una respuesta en materia de protección de datos al entorno digital (Big Data, publicidad digital, buscadores – léase Google – , Redes Sociales, IoT, segmentación y perfilado, decisiones automatizadas, robótica, correo electrónico, mensajería instantánea, …) ya universalmente implantado, en el que las actividades económicas y sociales se desarrollan. Es por ello y en consonancia con este ecosistema que viene a resultar un nuevo paradigma, o por lo menos, un cambio radical en la manera de plantear la regulación en la materia. La pretensión, espíritu o filosofía que el RGPD quiere trasladar no es tanto el de norma de obligado cumplimiento, sino la creación de una cultura de cumplimiento (cuestión de origen netamente anglosajón, que en la mentalidad latina y/o mediterránea no veo que termine de ser fácilmente asumida).
El RGPD hace una llamada a la responsabilidad, la auto-responsabilidad, de lo distintos actores implicados en tratamiento de datos personales (en el argot de la materia: los responsables y los encargados de tratamiento) estableciendo nuevas garantías a los interesados (los titulares de los datos) y lo que es más importante, imponiendo una responsabilidad pro-activa a los actores de los tratamientos de datos, es decir: yo (legislador) no te digo exactamente lo que tienes que hacer, sino que te doy un marco de actuación y tu “lo bailas”, luego veremos cuan de diligente has sido.
El RGPD también cambia el papel de las autoridades de control (AEPD en España), pretendiendo que pasen de policía a un órgano regulador y colaborador con los implicados en el cumplimiento de la protección de datos personales, pero sin perder su capacidad sancionadora, es más, aumentando los rangos sancionadores.
LOS GRANDES HITOS DEL RGPD
-
La responsabilidad proactiva.
También nos podemos referir como responsabilidad objetiva o principio de accountability – por su origen anglosajón -.
El concepto viene a ser que la norma no está para prohibir conductas concretas e imponer sanciones ante el incumplimiento de tal o cual precepto, sino que la norma viene a crear un marco de actuación, en cierta medida abstracto, en el que los destinatarios de la norma (responsables y encargados) deben de adaptar – más que adaptar prefiero crear o establecer – una estructura organizativa que, junto con las medidas técnicas de seguridad adecuadas y para aquellos que se dediquen a ello, el diseño desde el inicio de productos y servicios, consigan una respuesta positiva a los objetivos de preservar los derechos de los titulares de los datos (los interesados) como conjunto o colectivo compuesto por todos los ciudadanos de la Unión Europea.
De esta forma, a partir de la responsabilidad activa, los propios destinatarios de la norma, se convierten en aplicadores de la misma, con la gran ventaja de la personalización de esa aplicación y con la desventaja (al menos inicial) de actuar en un marco en creación, con matices abstractos y ciertas áreas de indefinición.
-
El consentimiento.
A tenor de la avalancha de correos que recibimos anunciando la entrada en funcionamiento (que no en vigor, ya que lleva así desde mayo de 2016) parece que el concepto del consentimiento cambia mucho, yo creo que no es así, cambia pero todo consentimiento válido con la LOPD sigue siendo un consentimiento válido con el RGPD, siempre que podamos acreditar la legitimación por el consentimiento obtenido, como, por ejemplo: en la suscripción a una lista de distribución de correo o newsletter, un registro de usuario y/o cliente de Web, clientes de otros canales, proveedores. Por lo que, de todos estos correos que nos llegan, a los que muchos pudiéramos haber dado válidamente nuestro consentimiento, sino lo reiteramos en esta nueva petición ante la entrada RGPD, el responsable que nos hace llegar corre el riesgo de perder la legitimidad que ostentaba sobre todo o parte de su base de datos.
El RGPD viene a reiterar más de lo mismo respecto de los requisitos del consentimiento, que sea: libre, específico, informado e inequívoco.
¿Qué es lo que modifica entonces el RGPD respecto del consentimiento?. Viene a ampliar lo siguiente:
- Respecto a la condición de especificidad, obliga a que la solicitud de consentimiento distinga cada uno de los específicos tratamientos a realizar y obliga a solicitar un consentimiento individual a cada tratamiento (esto puede suponer una complejidad técnica alta en el caso de las cookies).
- El requisito de inequívoco impide claramente que la obtención sea tácita.
- El requisito de libertad impide la validez del consentimiento cuando queda condicionado o no existe opción de oposición al mismo.
Por otra parte, el RGPD no entiende únicamente como supuesto de legitimación para el tratamiento de datos personales el consentimiento, sino que mantiene el resto de los supuestos de legitimación
- Relación contractual entre el interesado y el responsable.
- Intereses vitales del interesado o de otras personas.
- Obligación legal para el responsable.
- Interés público o ejercicio de poderes públicos.
- Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
Lo que hace el RGPD es equivaler su relevancia (Art. 6 RGPD) y, por tanto, deriva la responsabilidad de la aplicación de cada unos de ellos según la situación o circunstancias adecuadas y a las obligaciones de transparencia en la información de la base legitimadora del tratamiento. Aquí será interesante profundizar en su momento en la causa de legitimación por “intereses legítimos prevalentes del responsable” y la aplicación de su correcta ponderación.
En el entorno actual tenemos una situación relevante que ha preocupado al legislador en este Reglamento que son los grandes y masivos tratamiento de datos, lo que se conoce como Big Data, así como, un hecho que muchas veces viene de la mano, que es la generación de perfiles personales y toma automatizada de decisiones en base a esos datos y perfiles. El RGPD requiere de una base legitimadora, que debieran ser el consentimiento y/o el interés legítimo
-
Registro de actividades de tratamiento.
¡Mala noticia para aquellos que “vendían” estar adaptados a la LOPD cuando sólo contaban con el registro de fichero o ficheros en la AEPD!: desaparece la obligación de registrar ficheros ante el registro general de la Agencia Española de Protección de Daos y, esta, presumiblemente, con el tiempo, eliminará tal Registro.
Los ficheros de datos son sustituidos por las actividades de tratamiento de datos, las cuales deben ser debidamente identificadas por el responsable y por el encargado. Además, tanto para responsables como encargados, (i) las organizaciones con más de 250 empleados, (ii) aquellas que traten datos sensibles (el RGPD añade a los ya conocidos los datos genéticos y los datos biométricos) o (iii) que del tratamiento o tratamientos realizados puedan generar riesgos relevantes para los interesados, deben crear y mantener un registro de actividades de tratamiento de datos con toda la información relevante del tratamiento.
-
Análisis de riesgo
Conocidas las actividades de tratamiento que realizamos en la organización, debemos conocer los riesgos que implican cada una de ellas … ¿Para quién? … ¡para el interesado, no para la organización!, si es tos son relevantes o no y, caso de serlo, proceder a la realización de una Evaluación de Impacto de la Privacidad (PIA – Privacy Impact Assessments) cuando hayamos detectado que un tratamiento supone un riesgo alto o relevante para las libertdes y derechos de los interesados, sea por su alcance (o volumen), por su tipología o naturaleza, por sus fines, o por el contexto de riesgo en el que se realiza.
¿Todo esto para qué?: para:
(i) determinar las medidas de seguridad a implementar en la organización y
(ii) para saber si estamos obligados a contar con un Delegado de Protección de Datos.
Las medidas de seguridad deben ser adecuadas y determinadas por el análisis de riesgos realizado, siendo válidas las ya implantadas con ocasión de la adaptación a la LOPD para los niveles básico, medio o alto, si acreditamos su validez. Adicionalmente, el RGPD sugiere otras medidas de seguridad, aplicables según los casos: revisión de los procedimientos técnicos, pseudonimización y anominación, así como las propias revisiones o auditorias de los procedimientos organizativos establecidos.
-
Derechos
A los derechos ya consolidados, los conocidos derechos ARCO (acceso, rectificación, cancelación y oposición) se unen y consolidan otros de nuevo cuño. El derecho a la portabilidad, focalizado en el entorno digital, es una novedad ya que otorga al interesado la potestad de solicitar al responsable que le facilite electrónicamente y en formato compatible los datos de interactividad realizados con un servicio que haya sido contratado o utilizado en base al consentimiento prestado para ese uso. Es un derecho que se limita a la obtención de los datos derivados de la actuación del usuario, no es un derecho que dé acceso al obtener el código fuente o procesos internos del responsable ejecutados a partir de los datos del interesado.
Por otra parte, se consolida la especificidad el derecho al olvido como modacildad del derecho de oposición a un determinado tratamiento y se crea el nuevo derecho intermedio de limitación del tratamiento, pensado para la base de poder ejercitar otros derechos como son el acceso o la cancelación.
-
Encargados del tratamiento.
El RGPD extiende significativamente las responsabilidades de los terceros prestadores de servicios a partir del acceso a datos en manos del responsable, lo que es lo mismo, a los encargados de tratamiento, equiparándolas a las del responsable.
Por otra parte, se impone el deber de diligencia al Responsable en la elección y posterior control del Encargado, por lo que el responsable, por una parte, deberá tener adecuadamente identificados los tratamientos realizados y sobre los que va a realizar el encargo, y por otra parte, deberá tener unos criterios unos criterios claros para la gestión de los encargados, así como del control de su cometido.
-
Delegado de protección de datos (DPD o DPO)
Figura de nueva creación del RGPD, tan de nueva creación que aún quedan algunos flecos en el encuadramiento de su función, sus incompatibilidades y el propio perfil de la persona que lo desarrolle. Es obligatorio su nombramiento en el (i) caso de la administraciones públicas (excepto en los juzgados y tribunales), (ii) cuando se realicen tratamientos a gran escala que requieran de una vigilancia habitual, (iii) cuando el tratamiento tenga por objeto categorías especiales de datos (lo datos sensibles o de especial protección) a gran escala y (iv) cuando la legislación de un estado miembro lo exija. La nueva LOPD, que sustituirá a la 15/1999, prevé un apartado de supuestos específicos en los que será exigible contar con la figura del DPD. Por otra parte, nada impide su nombramiento voluntario por parte de la organización, es más, la AEPD lo puede considerar como una buena práctica.
Las funciones del DPD son la de ser el foco dentro de la organización que ilumine al resto de departamentos en el cumplimiento de la debida protección de datos personales, siempre desde la premisa ya señalada de la responsabilidad activa; también será el interlocutor de la organización tanto con los interesados, como con la propia AEPD; será el responsable de evaluar los riesgos de incumplimiento y evaluar los sistemas para evitarlos en coordinación con el resto de departamentos de la empresa u organización.
El DPD debe tener la cualificación de contar con conocimientos especializados de derecho, – aunque en si mismo no se le exige titulación alguna, ni tampoco que tenga la condición profesional de abogado –, experiencia específica en protección de datos y un perfil personal que le otorgue capacidad de relación en los distintos niveles de la organización.
Es importante señalar que el RGPD pide para el DPD independencia y ausencia de conflicto de intereses en el ejercicio de sus funciones, pero aún no encuentro la concreción para asegurar estas condiciones.
-
Sanciones
Cambia toda la tabla de sanciones, el RGPD distingue entre graves y muy graves, estableciendo para las entidades privadas sanciones del 2% y 4% respectivamente, de la base de su volumen de negocio anual y de 10 y 20 millones de euros para las organizaciones que no cuenten o estén sujetas a un volumen de negocio, es decir, los organismos públicos.
¿Qué pasa con las sanciones leves, no existen?. El RGPD no entra a su regulación, deja a los estados miembros la competencia para hacerlo, cosa que en España, a la fecha de entrada en funcionamiento del RGPD no se ha hecho, lo cual dependerá de los vaivenes de las legislaturas y las configuraciones políticas de las Cortes, lo cual puede significar una grave situación de inseguridad jurídica.
David García
Abogado – Asesor de Empresas
Socio – Director Soluteca