D. Alberto Picón Cintas abogado titular del Bufete Alberto Picón de Pamplona, colaboradores habituales en la sección de consumo, nos informa acerca de la última novedad en materia de Protección de Datos, la aprobación del nuevo Reglamento Europeo de protección de datos (RGPD 2018 en el lenguaje habitual), y la publicación del proyecto de la nueva Ley Orgánica de de Protección de Datos LOPD, en España.
Tal como comentamos en Pamplona Actual en un artículo anterior, tras la aprobación del nuevo Reglamento Europeo de protección de datos (RGPD en el lenguaje habitual), cada país miembro debía actualizar su Ley nacional al mismo, por lo que la actual LO 15/1999, la famosa LOPD, va a ser sustituida por una nueva LOPD cuyo proceso de aprobación en el Congreso comenzó en el consejo de ministros del pasado viernes 10 de noviembre de 2017, donde se ha aprobado el proyecto de ley Orgánica de protección de datos.
Este Reglamento Europeo, que se aplicará a partir del próximo 25 de mayo de 2018, tiene como uno de sus principales objetivos aumentar la seguridad jurídica, y acabar con la fragmentación existente en las distintas normativas de los países comunitarios, así como adaptar la normativa a la evolución tecnológica, y los fenómenos derivados del desarrollo de la sociedad de la información y la globalización.
En el caso de España, donde la protección de datos es un derecho fundamental protegido por el artículo 18.4 de la Constitución, se recogen novedades, tanto en el régimen de consentimiento como en los tratamientos y en la introducción de nuevas figuras y procedimientos, como por ejemplo respecto a los Menores y personas fallecidas, adelantando a los trece años la edad de consentimiento para el tratamiento de datos en consonancia con la normativa de otros países de nuestro entorno.
Además, se tomará en cuenta el tratamiento de los datos correspondientes a personas fallecidas en base a la solicitud de sus herederos, se excluye la figura del consentimiento tácito que se sustituye por una acción afirmativa y expresa por parte del afectado y se recoge manifiestamente el deber de confidencialidad. En caso de una inexactitud en los datos personales obtenidos de forma directa, se excluye la imputabilidad del responsable de su tratamiento si éste ha adoptado todas las medidas razonables para su rectificación o supresión.
En las cuestiones relacionadas con el tratamiento de datos, incorpora el principio de transparencia en cuanto al derecho de los afectados a ser informados sobre dicho tratamiento y contempla de forma expresa los derechos de acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como a la portabilidad y oposición.
Para evitar situaciones discriminatorias, se mantiene la prohibición de almacenar datos de especial protección, como ideología, afiliación sindical, religión, orientación sexual, origen racial o étnico y creencias. En estas categorías, el solo consentimiento del interesado no basta para dar viabilidad al tratamiento.
Asimismo, introduce algunos supuestos en los que el legislador contempla como presunción la prevalencia del interés legítimo del responsable del tratamiento de los datos en cumplimiento de determinados requisitos, como en el caso de los sistemas de información crediticia. Igualmente, regula situaciones en las que se aprecia la existencia de interés público, como los relacionados con la videovigilancia y sistemas de exclusión publicitaria («listas Robinson»), la función estadística pública y las denuncias internas en el sector privado.
Pero no solo trae novedades para incrementar los derechos de los ciudadanos, sino que respecto a las empresas va a suponer un gran cambio de planteamiento. El RGPD va a suponer un cambio cultural respecto a la forma de ver la protección de datos, porque esta tiene que pasar de ser considerada como una mera carga administrativa, lo que algunos llamábamos el “reglamento de los cerrojos”, a cambiarse al criterio de la “countability” conforme al cual cada responsable tiene que velar no solo por el cumplimiento de una norma, sino por la efectividad de las medidas que adopta para el cumplimiento no solo de la norma sino de la materialización efectiva de los derechos de los ciudadanos.
Este cambio de criterio va a suponer que una gran cantidad del fraude actual que se oferta a las empresas con la famosa oferta del “Lopd a coste cero” desaparezca, ya que a las empresas no se les va a exigir que tengan un documento o dossier muerto de risa en las estanterías de su oficina, sino que se les va a requerir que hagan un examen de los riesgos que supone el tratamiento de los datos, y que lo hagan incluso con carácter previo a la propia obtención de los datos, o incluso a la elaboración de sus bases de datos, adoptando una protección de la privacidad por defecto y por diseño.
La privacidad por diseño significa que cada nuevo servicio o proceso de negocio que hace uso de datos personales debe tener en cuenta la protección de dichos datos y que el cumplimiento de la misma se supervisa, de forma que se tenga en cuenta la privacidad durante todo el ciclo de vida del sistema o desarrollo del proceso.
Mientras la Privacidad por defecto supone una configuración de privacidad más estricta, de forma que se aplica automáticamente una vez que un cliente adquiere un nuevo producto o servicio, y no se requiere ningún cambio manual en la configuración de privacidad por parte del usuario
Tal como decía además de este análisis de los riesgos que deben hacer todas las empresas antes del 25 de mayo de 2018, fecha tope que tienen las empresas para estar adaptadas al RGPD, las empresas deberán seguir adoptando todas aquellas medidas de seguridad que conforme al reglamento anterior y conforme al análisis de riesgos que hagan sean necesarias para asegurar la integridad, seguridad y confidencialidad de los datos, además de establecer todas las medidas necesarias para poder verificar la validez y el cumplimiento efectivo de dichas medidas.
En este sentido nuestra experiencia nos revela que un gran número de las empresas españolas ya apostó hace tiempo por contratar servicios de Consultoria profesional, gracias a los cuales no solo respondieron a la pregunta de porque debo adaptarme a la lopd, sino a la fundamental de esta norma para que me sirve, encontrando respuesta a problemas habituales como la fuga de datos, la securización de procesos de trabajo, la gestión de la seguridad de la información, implementando procesos de calidad en los procesos de tratamiento y conservación de la información empresarial.
En este sentido en Bufete Alberto Picón llevamos más de veinte años desarrollando nuestro trabajo por todos los rincones de la geografía nacional, adaptando y securizando los procesos de trabajo de las empresas e impartiendo en las empresas formación a los empleados, siendo esta última cuestión uno de los aspectos en los que más insiste el RGPD 2018, junto con la verificación de las medidas y el análisis de riesgos.
Esta verificación del cumplimiento efectivo de las medidas, va a suponer la realización auditorias de control de las medidas con una periodicidad mayor de la que se ha venido realizando hasta el momento, dado que la mayoría de las empresas se ha limitado a realizar el mínimo exigido por el artículo 96 del reglamento actual en el que se señala que “A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas”.
Entre las novedades, destaca la potenciación de la figura del delegado de protección de datos, persona física o jurídica cuya designación ha de ser comunicada a la autoridad competente, que mantendrá relación con la Agencia Española de Protección de Datos (AEPD). Por su parte, esta Agencia se configura como autoridad administrativa independiente cuyas relaciones con el Gobierno se realizan a través del Ministerio de Justicia.
En relación con el procedimiento, promueve la existencia de mecanismos de autorregulación, tanto en el sector público, como en el privado, e introduce la obligación de bloqueo que garantiza que los datos queden a disposición de un tribunal, el Ministerio Fiscal u otras autoridades competentes, como la AEPD, para la exigencia de posibles responsabilidades derivadas de su tratamiento, evitando así que se puedan borrar para encubrir el incumplimiento.
Este Reglamento atiende a nuevas circunstancias provocadas, fundamentalmente, por el aumento de los flujos transfronterizos de los datos personales como consecuencia de la actividad del mercado interior, teniendo en cuenta que la rápida evolución tecnológica y la globalización han provocado que esos datos sean un recurso fundamental para la Sociedad de la Información.
Ante esta situación, han aumentado los riesgos inherentes a que las informaciones sobre los individuos se hayan multiplicado de forma exponencial siendo más accesibles y más fáciles de procesar, al tiempo que se ha hecho más difícil el control de su uso y destino.
Como vemos el nuevo Reglamento RGPD 2018 va a suponer un gran cambio en la materia, por ello los miembros del Bufete Alberto Picón, llevamos tiempo colaborando en diferentes grupos de trabajo relacionados con la privacidad y la protección de datos, tanto de ámbito local como nacional, a fin de poder ofrecer un informe concreto y práctico sobre cómo nos va a afectar esta nueva normativa y como debemos afrontar la misma.
Esperamos que este artículo les sirva de introducción en la materia, pero si necesitaran mayor detalle recuerden que Bufete Alberto Picón es un despacho que se haya Especializado desde 1998 en Protección de datos y Derecho de Internet y de las nuevas Tecnologías, participando y colaborando en diferentes Foros jurídicos relacionados con la materia, por lo que en caso de que necesitaran una mayor concreción de información, estaremos encantados de atenderles.
Asimismo si están interesados en más información pueden visitarnos en la página web del bufete, donde podrán conocernos y ver la metodología de trabajo, pudiendo informarse sin compromiso de nuestro servicio a través de info@bufetepicon.com
Fdo: Alberto Picón Cintas
Colegiado MICAP 1496