Aún hoy los obligaciones derivadas de la gestión de datos personales parece algo nuevo para amplios sectores económicos, cuando, si hacemos memoria, la primera regulación se establece por la L.O. reguladora del Tratamiento Automatizado de Datos, conocida como LORTAD, que fue aprobada allá por 1992 – año de Olimpiadas y Expo – y sustituida en 1999 por la vigente L.O.P.D., complementada y dotada con verdadera eficacia por su Reglamento de desarrollo en 2007. Por tanto, llevamos algo así como 24 años con obligaciones sobre los tratamientos de datos personales que realizamos en nuestra actividad. Esa nota de novedad, sin duda, la pone la rápida evolución e importancia que en estos años ha tomado el procesamiento de datos, facilitado por las TI, Internet y el Big Data, considerándose hoy por hoy que la obtención y tratamiento de la información y datos personales como el nuevo “maná”.
Los viejos deberes
Recordar los deberes actuales, por reiterativo, no debería mencionarlo, pero parece necesario para tomar la perspectiva adecuada. Cualquier responsable de ficheros – aquella entidad, persona u órgano administrativo con capacidad de decisión sobre la finalidad, el contenido y uso de un tratamiento de datos personales – debe:
- Notificar al Registro General de la AEPD la creación de cualquier fichero de datos personales, para que esta, previa verificación de la solicitud, proceda a su inscripción.
- Definir e implantar las correspondientes medidas de seguridad a aplicar en los correspondientes tratamientos en función de tipo de datos (de nivel básico siempre y adicionalmente medio o alto)
- Emitir el correspondiente documento de seguridad donde se recojan a modo de guía de actuación los ficheros, las medidas de seguridad, los usuarios y medios intervinieres en el tratamiento de los ficheros de datos.
- Establecer un protocolo de atención de los ejercicios de derechos derivados de los datos personales de sus titulares (acceso, rectificación, cancelación y oposición.
- Informar adecuadamente a los interesados o afectados de los tratamientos de datos que se pretendan realizar
- Regular el tratamiento de datos que hagan por cuenta de terceros (muy frecuente en la prestación de servicios y de suma importancia)
- Regular el tratamiento de datos que se realicen sobre nuestros fichero, es decir, la recepción de servicios
Aspecto clave: las medidas de seguridad
No fue hasta la entrada en vigor del Reglamento cuando quedaron claramente definidas la segmentación y medidas de seguridad a aplicar según el tipo de datos personales que manejemos en nuestra organización. Como es conocido, tenemos tres niveles: básico, medio y alto, siendo el Artículo 81 del RLOPD el que marca su aplicación. En todo caso, debemos saber que toda organización queda obligada a aplicar, al menos, las medidas de seguridad de nivel básico, obligación que alcanza tanto el responsable del fichero como al encargado de su tratamiento a tenor del Artículo 9.1 de la LOPD.
El documento de seguridad
De las medidas a implementar, su colofón se encuentra en la elaboración de un documento – el documento de seguridad – que recoja el conjunto de medidas técnicas y organizativas que se implementen, el cual será de obligado cumplimiento para el personal con acceso a los datos de carácter personal.
La relación con los servicios de la sociedad de la información
Cada día menos fronteras existen entre lo on-line y lo off-line, poco a poco se va difuminando las diferencias y los procesos digitales son el común en las organizaciones actuales mediante la presencia de la Web y otros medios tecnológicos.
Respecto de el uso de páginas Web en nuestra actividad se producen, al menos, dos vínculos claros (que son uno solo en dos modos) que afectan a la regulación de datos personales:
- Obtención de datos a través de formularios de registro, carritos de la compra o páginas de contacto.
- Uso de cookies – consciente o inconscientemente – como instrumento técnico que recaban información de los usuarios de nuestra Web
En ambos supuestos es necesario y primordial contar con el consentimiento del usuario para el lícito tratamiento de los datos obtenidos.
Uso de servicios de Cloud Computing o “en la nube”
Sería muy amplio tratar de abarcar todo lo que hoy significa el concepto del Cloud en estas líneas, en resumen, se trata de prestación de servicios de distinta índole: desde el más usual de archivo, hasta complejos servicios de programación, que en general dotan de una simplificación y, en muchos casos, ahorros en costes respecto de procedimientos realizados sobre nuestros propios servidores locales. En contraposición, estos servicios presentan no pocas incertidumbres respecto de su adecuación a lo que el legislador en materia de protección de datos personales demanda y respecto de la responsabilidad en que incurre el responsable del fichero en su uso: implantación de las medidas de seguridad, recuperación de la información, transferencias internacionales de datos.
Es importante señalar que antes de emplear servicios Cloud, debemos cerciorar que el proveedor cumpla con los parámetros exigidos.
Redes sociales.
En las redes sociales de uso personal, debe evitarse en todo caso tratamientos de datos relacionados con la actividad empresarial o profesional. Deberíamos crear perfiles específicos para la actividad que desarrollemos, alejados de la confusión entre lo personal y profesional.
Los nuevos retos
Hasta aqui he comentado lo que ya debe ser de sobra conocido, a lo que podemos señalar de vertiente clásica en materia de protección de datos personales, que es de plena vigencia y lo seguirá siendo ante el nuevo escenario que expongo.
Está prevista la entrada en vigor para el mes de julio de 2016, aunque suspendida su aplicación por dos años, del nuevo Reglamento de Protección de Datos, lo que va a suponer no pocos matices, nuevas formas u obligaciones modificadas, así como un nuevo régimen sancionador.
A los principios actuales de legitimación, información, finalidad y calidad del dato, tenemos que manejar lo nuevos principios que son absolutamente necesarios dado el exponencial desarrollo tecnológico en el que nos encontramos:
- Privacidad desde el diseño (Privacy by design)
- Privacidad por esencia o por defecto (Privacy by default)
- Responsabilidad en la gestión (Accontability)
que no buscan otra cosa que establecer la protección del dato personal como elemento esencial a todo proceso técnico, tecnológico o administrativo en que se vean involucrado un tratamiento de datos personales.
La perspectiva para los responsables y encargados de tratamientos cambiará desde un modelo de compliance del “tic”, es decir, de completar los puntos que nos exige la Ley y que he señalado arriba, al de gestor y analista de riesgos.
El registro de ficheros como tal desaparecerá a partir de la aplicación del Reglamento, sin embargo, ello no exime, ni mucho menos, de documentar el cumplimiento de las medidas de seguridad tomadas, recabar el consentimiento informado y demás obligaciones en el tratamiento. Así, tendremos que implementar las correspondientes Evaluaciones de Impacto en la Protección de Datos Personales (Privacy Impact Assesments) a partir del análisis de los riesgos que los productos o servicios puedan suponer para la protección de datos de los afectados por el tratamiento que de sus datos se haga. De este análisis, debemos obtener como resultado el procedimiento o procedimientos específicos para gestionar los riesgos, adoptando las medidas necesarias que los mitiguen o eliminen.
También mencionar que otro reto que nos encontraremos, será la necesidad de implantar en las organización la figura del Delegado de Protección de Datos (Data Privacy Officer) en algunos supuestos – y en forma que aún presenta ciertas indefiniciones –
En definitiva, el nuevo marco regulatorio a partir del Reglamento, las relaciones internacionales en la protección de datos personales, la tercera revolución industrial que estamos viviendo: digitalización, Internet, comunicaciones, RR.SS., cloud, cibersegridad, big data… así como la cuarta que ya se solapa: robótica, nanotecnología, el Internet de las cosas, genética, … son retos que en cuestión de poco tiempo re-escribiran la perspectiva que tenemos de la privacidad y la protección de datos personales.