Colaboración de José F. Estévez Socio de Cremades & Calvo-Sotelo
“No tendríamos que pedirles a nuestros clientes que elijan entre privacidad y seguridad. Tenemos que ofrecerle ambas”
Tim Cook
La semana pasada se ha celebrado con éxito, en IFEMA Madrid, el Digital Business World Congress, – DES 2018. Ha tenido muchas novedades aunque quizás ninguna de tanta actualidad como la entrada en vigor y aplicación directa del nuevo Reglamento europeo de protección de datos. Este se aplica de manera efectiva a partir del viernes pasado 25 de mayo 2018. ¿Cuáles son las claves de esta nueva reglamentación?
La primera es que las empresas y entidades que manejen datos deberán analizar ¿qué datos tratan? ¿Con qué finalidad lo hacen? y ¿qué tipo de operación de tratamiento llevan a cabo?
Los responsables de dicho tratamiento deberán aplicar, medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al Reglamento (UE) 2016/679. Es lo que se denomina el principio de responsabilidad proactiva, que toma carta de naturaleza en la implementación de las medidas indicadas.
La segunda de las claves, estriba en considerar que las medidas contempladas y que van dirigidas a garantizar el cumplimiento de las disposiciones del Reglamento deben tener siempre en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.
Las medidas previstas deberán adaptarse a las características de las organizaciones. En este sentido, lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos a gran escala “big data”, no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamiento de datos no sensibles.
Además, el Reglamento no sólo será aplicable a los responsables o encargados del tratamiento de datos establecidos en la UE, sino también a estas mismas personas que no estén establecidos en la UE, siempre que realicen el tratamiento derivado de una oferta de bienes o servicios destinados a ciudadanos de la Unión.
La normativa europea previene así con acierto la elusión y/o el fraude de Ley que comportaría la deslocalización geográfica.
El consentimiento es la clave de bóveda sobre la que se construye el sistema. Hasta ahora el consentimiento podía ser tácito. De una u otra manera, había una cierta elipsis que podía amparar a las empresas. Desde el viernes pasado, 25 de mayo de 2018 el consentimiento debe ser expreso como una manifestación de la voluntad libre, informada, específica e inequívoca. Ello, obliga a las organizaciones y entidades a cambiar sus protocolos de recogida de datos y de tratamiento de estos.
En definitiva, con el nuevo reglamento el consentimiento no puede deducirse del silencio o de la inacción del ciudadano.
Además el Reglamento prevé que el consentimiento haya de ser explícito, en algunos casos, como puede ser para autorizar el tratamiento de datos considerados sensibles.
En cuanto a otras novedades que introduce el Reglamento, podemos destacar cuatro apartados:
- En materia de medidas de seguridad, el Reglamento ya no incluye una lista de medidas de seguridad que deberán adoptar los responsables en función de la categorización de datos. De este modo, es el responsable quien debe valorar en función del tipo de dato y tratamientos realizados, cuáles son las medidas organizativas y técnicas apropiadas para la protección de datos de carácter personal.
- Se instituye el derecho a la supresión, más conocido como derecho al olvido. Se trata de un derecho que ya había sido reconocido en una sentencia del Tribunal de Justicia de la UE de 13 de mayo de 2014, y que consagra ahora el Reglamento. Los ciudadanos podrán pedir así a las empresas que supriman sus datos personales si fueran obtenidos de forma ilícita, no fueran ya necesarios para la finalidad para la que fueron recopilados o se haya retirado el consentimiento.
- Se establece también, el derecho a la portabilidad de las bases de datos. Éste derecho supone la posibilidad de transmitir directamente los datos de un responsable a otro, sin necesidad de que sean transmitidos previamente al propio interesado.
- Se establece la obligación que tienen las empresas, de comunicar las brechas de seguridad en 72 horas. Las empresas están obligadas a comunicar a la Agencia Española de Protección de Datos la destrucción o pérdida de datos personales, conservados o transmitidos, o el acceso o transmisión no autorizada de dichos datos.
En definitiva, las novedades son muchas y que por razones de espacio no podemos abordar todas, como el “tratamiento por cuenta de terceros” o el nuevo régimen aplicable a las transferencias internacionales de datos o como la figura del delegado de protección de derechos o el nuevo régimen sancionador aplicable que se endurece palmariamente.
Conviene terminar con la siguiente reflexión: la nueva regulación protege más al ciudadano que antes de la posible invasión ilegítima de la esfera de su privacidad e intimidad y sus derechos fundamentales. Además, desde el punto de vista de la política jurídica del derecho de la UE, España queda homologada pues antes nuestro régimen jurídico nacional de protección de datos era más duro y exigente que el de otros países comunitarios, tanto en el contexto europeo, como en el internacional, pues la misma afirmación podía hacerse con respecto a los Estados Unidos, lo que nos colocaba en una clara desventaja competitiva para nuestras empresas.
Como conclusión ¡ojo al dato!, cuando se trata de un tratamiento a gran escala y en una economía digital como la actual potenciada exponencialmente por la inteligencia artificial a través de algoritmos cada vez más sofisticados, creando perfiles y aplicativos de marketing digital resulta imprescindible el respeto a las reglas de juego que el Reglamento establece. Su aplicación constituirá un reto para la AEPD, Tribunales y operadores jurídicos que nos ocupamos de estos casos en el nuevo entorno del derecho digital.
Abogado Socio de CREMADES & CALVO-SOTELO