Por José Antonio Ruiz Milanés, responsable del Área de Privacidad y Derecho Digital
Casi a nadie le queda por conocer, debido, entre otras cosas, a la avalancha de correos electrónicos recibidos durante las últimas semanas, que, desde hoy, 25 de mayo de 2018, será exigible el Reglamento General en materia de Protección de Datos, más conocido como RGPD (o por sus siglas en inglés GDPR).
No obstante, es importante señalar que, tanto en el ámbito europeo como en nuestra normativa nacional, la regulación del uso y protección de los datos personales no es ninguna novedad en la que sea pionera esta RGPD;desde el año 1992, disponemos de leyes que regulan el tratamiento de datos, y actualmente todavía está en vigor la Ley Orgánica de Protección de Datos 15/1999, de 13 de diciembre… por lo tanto, podemos afirmar que la regulación legal, que establece limitaciones al tratamiento de datos personales, lleva con nosotros más de veinticinco años.
En cualquier caso, es cierto que este RGPD viene a ‘reformular’ los procesos y mecanismos que todas las empresas y entidades públicas que recojan datos personales deben observar en su tratamiento, sobre todo teniendo en cuenta el cambio tecnológico que se ha producido en nuestra sociedad en los últimos 15 años; todo esto se hace sin perder de vista el respeto a las cuestiones fundamentales que persiguen todas las regulaciones sobre protección de datos a lo largo del tiempo, y que no son otras que permitir al ciudadano ‘saber quién tiene sus datos’, ‘para qué está usando sus datos’, ‘saber a quién le ha cedido o comunicado sus datos’ y, en su caso, ‘oponerse a que sus datos sigan siendo tratados de esa manera’, y/o ‘solicitar que sus datos sean eliminados’.
Partiendo de esas simples premisas, uno de los cambios a destacar que impone el RGPD a las empresas es la ampliación de la información que la empresa debe dar al ciudadano en el momento de la recogida de sus datos; este derecho a ser informado es un requisito inicial y esencial para el control de los datos personales del sujeto, a efectos prácticos implica saber quiénes tienen tus datos, con qué finalidad los tienen.
Para cumplir con esta obligación, la empresa debe utilizar un lenguaje claro y sencillo, además del hecho de que debe proporcionarse de forma concisa, transparente, inteligible y de fácil acceso. Además, la empresa debe informar sobre la identidad y datos de contacto del responsable del tratamiento, los datos del delegado de protección de datos (en caso de que sea obligatorio), las finalidades a las cuales serán destinados los datos, los destinatarios de mis datos personales, si hay intención de transferir datos a un tercer país, el plazo de conservación de mis datos, el ejercicio de los derechos de acceso, rectificación, supresión o derecho ‘al olvido’, limitación al tratamiento, portabilidad y oposición, así como la posibilidad de acudir a la Agencia Española de Protección de Datos en caso necesario.
Este derecho al olvido, que estaría incluido en el derecho a la supresión de datos, es uno de los derechos que han surgido a raíz de nuestra relación con el entorno digital, básicamente se refiere al derecho que tenemos a solicitar que un motor de búsqueda como Google elimine nuestra información relacionada con nuestro nombre.
Otra novedad importante es lo relativo al consentimiento: ya no vale solo con obtener el consentimiento tácito, sino que las empresas han de obtener el consentimiento expreso, afirmativo y por escrito, salvo que haya otra ‘base jurídica’ que justifique o sustente el tratamiento. Esto quiere decir que no es necesario solicitar por defecto y siempre el consentimiento para seguir tratando los datos, por ejemplo, de un cliente actual.
Esta situación, a tenor de la gran cantidad de correos electrónicos que estamos recibiendo durante estos días, es de las que más dudas están creando entre las empresas, y hace que muchas de ellas estén complicando en exceso, y sin necesidad, el proceso de adaptación al nuevo RGPD. Por tal motivo, siempre es necesario, aparte de acudir a abogados especializados, desarrollar un proceso de adaptación al RGPD pormenorizado para cada empresa, porque las obligaciones dependen de muchos factores: la normativa sectorial y actividad concreta. Todo ello sin olvidar el sentido común, así como la necesidad de interpretar este RGPD (como cualquier otro cuerpo normativo) de forma global con el resto del ordenamiento jurídico español; la interpretación de leyes en solitario, sin tener en cuenta el resto, normalmente nos llevan a situaciones y planteamientos equívocos.
Aparte de los dos aspectos indicados, el RGPD establece un nuevo enfoque de las medidas de seguridad, y la creación de la figura del DPO o Delegado de Protección de Datos. Aquí igualmente, lejos de la desinformación que se está ofreciendo en muchos casos a las empresas, es totalmente falso que todas las empresas deban disponer de un DPD; el RGPD establece esta obligación en entidades y empresas con determinadas características concretas.
En caso de incumplimiento de las obligaciones establecidas por parte del RGPD a las empresas, las sanciones podrán alcanzar los 20 millones de euros, o un 4% del volumen de negocio anual de la empresa.
En cualquier caso, como podemos entrever, las obligaciones relativas al tratamiento de los datos personales van más allá de la simple remisión de un correo electrónico pidiendo consentimiento para seguir enviando comunicaciones comerciales.
No obstante, en España tenemos la suerte de contar con la Agencia Española de Protección de Datos que ofrece una amplia información y recursos que las empresas pueden utilizar para poder desarrollar procesos tendentes a cumplir con este nuevo RGPD.