El ‘nuevo’ Reglamento General de Protección de datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo) ya lleva unos años entre nosotros. Desde que entró en vigor el 24 de mayo de 2016, y más específicamente desde su aplicación el 25 de mayo de 2018 hasta nuestros días, las empresas hemos tenido un tiempo para conocer e interiorizar en nuestras organizaciones las obligaciones que impone dicho reglamento respecto al tratamiento que hacemos con los datos de carácter personal., con más detalle todavía, una vez se ha adaptado el ordenamiento jurídico español con la publicación y entrada en vigor de la LOPDGDD ley 3/2018 de 5 de diciembre de protección de datos personales y garantía de los derechos digitales. Es importante que como empresario o responsable de empresa conozcamos las implicaciones de esta ley (su incumplimiento puede acarrear fuertes sanciones) y como ciudadanos, conozcamos los derechos que nos otorga.

Hemos hablado con José Manuel Machacón, Responsable del Área TIC/LOPD de Grupo Gefiscal, para que nos explique los puntos más importantes establecidos por la Ley (LOPDGDD) y que nos dé las claves que permitan entender la misma.

  • José Manuel, antes de nada deberías aclararnos quiénes están obligados a regirse por esta ley.

Cualquier empresa, sea o no europea, que trate datos de carácter personal (de clientes, proveedores, empleados, alumnos, profesores, socios, etc.), deberá regirse por esta normativa, incluso aquellas empresas que no tengan sede en la Unión Europea pero que vendan productos o presten servicios a ciudadanos que residan en ella.

La finalidad de la LOPDGDD es proteger los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales, algo que ya viene implícito en la propia Constitución Española (en su art.18.4) y garantiza la libre circulación de estos datos.

  • ¿Qué se entiende por datos de carácter personal? 

Entendemos por datos de carácter personal cualquier información numérica, alfabética, de imagen, acústica o de cualquier otro tipo, concerniente a una persona física identificada o identificable, tanto la relativa a su identidad (como nombre y apellidos, domicilio, filiación, imagen, voz, huella digital, datos biométricos, etc.) como la relativa a su existencia y ocupaciones (estudios, trabajo, aficiones, enfermedades, etc.)

  • Si el objetivo de esta ley es hacer que las empresas y organizaciones tengan un compromiso mayor con el tratamiento de datos y regular la protección de los mismos, ¿qué principios fundamentales actúan como base sobre los que se articula el contenido?

Pues son varios, que podríamos concretar en los siguientes:

  • Lealtad. No pueden recabarse datos personales por medios fraudulentos, desleales o ilícitos.
  • Transparencia. Toda información y comunicación relativa al tratamiento de datos personales sea fácilmente accesible y fácil de entender con un lenguaje sencillo y claro.
  • Licitud o legitimación del tratamiento. Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre otra base o fundamento jurídico. 
  • Limitación de la finalidad. Los datos personales deben ser recogidos con fines concretos, explícitos y legítimos, y no serán tratados, posteriormente, de manera distinta o incompatible con dichos fines.
  • Minimización. Deben ser adecuados, pertinentes y limitados a los necesarios para realizar el tratamiento, en relación con los fines que legitiman el tratamiento. 
  • Exactitud. Los datos deben ser exactos y, si fuera necesario, actualizados. Deben adoptarse todas las medidas razonables para corregir errores, modificar los datos que resulten ser inexactos o incompletos y garantizar la certeza de la información objeto de tratamiento. 
  • Limitación del plazo de conservación. No podrán conservarse o mantenerse los datos durante más tiempo del necesario para los fines del tratamiento. 
  • Integridad y confidencialidad. Debe garantizarse una seguridad adecuada para preservar la integridad de los datos e impedir el acceso o uso no autorizado. 
  • Ya nos has hablado de quiénes están obligados a regirse por esta normativa y de los principios fundamentales sobre los que se sustenta dicha ley, pero ¿qué obligaciones debe cumplir la empresa como responsable del tratamiento de los datos?

La principal obligación que tienen las empresas es recoger el consentimiento expreso, explícito e inequívoco de sus clientes. El consentimiento tácito ya no es aceptado como una forma legítimamente válida. En aquellos casos en los que la recogida de datos conlleve un alto riesgo sobre los derechos y libertades fundamentales de los interesados, hay que realizar una evaluación de impacto.

Por su parte, se amplían los derechos de los usuarios, conocidos ARCO (Acceso, Rectificación, Cancelación, Oposición). Se incluyen:

  • Derecho al olvido. Que es la consecuencia del derecho al borrado o una manifestación de los derechos de cancelación u oposición en un entorno online como es internet.
    • Limitación del tratamiento.
    • Derecho a la portabilidad de datos.

En las relaciones con los proveedores que tratan datos de los que somos responsables se tiene que firmar un contrato como encargado de tratamiento donde se establecerá el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable y del encargado del tratamiento. En caso de producirse cualquier incidente que provoque una destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos., el responsable deberá comunicarlo a la autoridad competente dentro del plazo de 72 horas a ser posible.

Como algo novedoso, se incorpora el concepto de privacidad desde el diseño lo que traslada la obligación desde la fase inicial de planificación de un nuevo proyecto, proceso o procedimiento empresarial de tener en cuenta lo establecido por la LOPDGDD. Asimismo, el nuevo reglamento suprime la obligación de registrar los ficheros en la agencia de protección de datos, pero incluye como novedad el registro de actividades de tratamiento. Lo que se pretende con la inclusión de obligación es trasladar la obligación de una efectiva responsabilidad proactiva que permita acreditar la conformidad de su actuación con la normativa establecida.

En definitiva, todas las organizaciones que tratan archivos deben efectuar un análisis de riesgos de sus tratamientos para poder establecer qué medidas han de aplicar y cómo hacerlo.

  • ¿Hay algún perfil profesional que realice el tratamiento de esos datos que son más sensibles? Delegado de protección de datos.

Sí, se ha creado recientemente una nueva figura, el Delegado de protección de datos (DPO), perfil obligado en administraciones públicas así como en las compañías privadas que realicen el tratamiento de estos datos a gran escala. Entre sus funciones se encuentra informar y asesorar al responsable, supervisar la aplicación del Reglamento, velar por la conservación de la documentación, supervisar la documentación, notificación y comunicación de las violaciones de datos personales, supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella, además de ofrecer asesoramiento al demandante.

  • ¿Qué ocurre si se incumple la normativa? 

Pues, evidentemente, el incumplimiento de la ley lleva aparejado una serie de sanciones, establecidas por el Reglamento General de Protección de Datos, catalogadas como leves, graves y muy graves, sin una cuantía mínima y cuyo importe puede alcanzar los 20 millones de euros o hasta el 4% del volumen de negocio del infractor.

La LOPDGDD, a partir de su artículo 79 Los derechos en la era digital, incluye que los derechos y libertades consagrados en la Constitución y en los Tratados y Convenios Internacionales, en que España sea parte, son plenamente aplicables en Internet. Así pues, los prestadores de servicios de la sociedad de la información y los proveedores de servicios de Internet contribuirán a garantizar su aplicación. Ya estamos viendo cómo se están implementando dichos derechos digitales y cómo la sociedad, en general, y los ciudadanos, en particulares, tomamos conciencia de la necesidad de ejercerlos. 

Como expertos en protección de datos, desde Grupo Gefiscal podemos ayudarte en la adaptación a la normativa de protección de datos de tu empresa. No dudes en contactar con nosotros, estaremos encanados de atenderte.

José M. Machacón

Responsable área TIC/LOPD en Grupo Gefiscal.

error: