Una vez superado el ecuador del período concedido hasta la fecha de transposición (25 de mayo de 2018) del Reglamento general de protección de datos de la Unión Europea (GDPR; 2016/679*) surge la duda de si realmente las empresas están preparadas, o se están preparando, para ser conformes a él.
Teóricamente, dado el tiempo transcurrido, sería de esperar que al menos las entidades mas directamente implicadas estuvieran en situación de aplicarlo; sin embargo, estudios recientes muestran que la realidad es otra: el porcentaje de las que están preparadas, o cerca de ello, es pequeño teniendo en cuenta el tiempo transcurrido, incluso algunas todavía desconocen el significado, alcance o fecha de implantación.
Esta realidad es preocupante, tanto desde la perspectiva del proveedor del tratamiento, que se expone a graves sanciones, de hasta 20 millones de euros o del 4% de su facturación global anual, como de los propietarios de los datos, que no conocen sus derechos perdiendo así la posibilidad de exigir la aplicación de los que se reconocen en el Reglamento.
Dada esta situación, basándome en mi interés y preocupación sobre el tema, trataré con este post de aportar mi contribución al conocimiento del GDPR y de algunas de sus implicaciones. No soy jurista, y por ello no me considero preparado para efectuar un análisis del Reglamento, pero si puedo, tras una minuciosa lectura de las 88 páginas que abarca el mismo, deducir algunos elementos de importancia que completen lo que ya expuse en mi post de 28 de mayo de 2016.
En primer lugar revisar las definiciones; el GDPR incluye 26 de las cuales 18 son nuevas respecto a la Directiva 95/46/EC, derogada por el Reglamento.
De las 8 que permanecen se han ampliado las dos siguientes:
Entre las nuevas destacaría la inclusión de dos categorías de datos, biométricos y genéticos, y la denominada “seudonimización” que obliga a un tratamiento de datos personales de manera tal que ya no puedan atribuirse a un sujeto determinado sin utilizar información adicional, siempre que esta figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
Otro elemento característico del Reglamento es el relativo a los derechos de los interesados; entre los que de una u otra forma se recogen entre sus diferentes artículos resalto los siguientes:
En el GDRP se recogen otra serie de derechos de los interesados en relación con el tratamiento y los medios para ejercerlos, entre ellos los siguientes:
Tal como hace un año señalaba en el mencionado post, otro elemento diferenciador del Reglamento es su orientación hacia la prevención por parte de las organizaciones que tratan datos, lo cual se asegura por medio de la calificada como “responsabilidad proactiva” la cual obliga a las organizaciones que tratan los datos a aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme al Reglamento.
Este enfoque cambia el anterior, basado en la actuación posterior a la infracción, al considerar que haciéndolo así se pueden evitar o disminuir los efectos de daños que afectan directamente a los propietarios de los datos que, en caso contrario, serían muy difíciles de compensar o reparar.
Entre las medidas que se toman para asegurarlo se incluyen la protección de datos desde el diseño y por defecto, el mantenimiento de un registro de las actividades del tratamiento, las evaluaciones del impacto sobre la protección de datos, la notificación a la autoridad de control de una violación de la seguridad de los datos personales, la adhesión a códigos de conducta y certificación y el nombramiento de un delegado de protección de datos.
La figura del Delegado de protección de datos (Data Protection Officer; DPO) constituye una novedad de importancia con respecto a la Directiva. Su designación será obligada cuando el tratamiento se lleve a cabo por una autoridad u organismo público, con algunas excepciones, o las actividades principales impliquen un tratamiento que requiera un seguimiento habitual y sistemático de los datos a gran escala o consistan en el procesamiento de categorías especiales de datos o de los relativos a condenas e infracciones penales.
Dentro de sus funciones destacan las de informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del mismo y supervisar el cumplimiento de las obligaciones que les incumben respecto al Reglamento y de otras disposiciones de protección de datos de la Unión Europea o de los Estados miembros.
El Reglamento atribuye al DPO características tales como la de ser un miembro del personal o un proveedor de servicios externo, ser elegido atendiendo a sus cualidades profesionales, en particular a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos, la obligación de contar con los recursos adecuados para llevar a cabo sus tareas y mantener sus conocimientos expertos y el poder desempeñar otras funciones y cometidos siempre que no den lugar a conflicto de intereses.
Podría resaltar otros muchos aspectos del extenso Reglamento, pero no quiero alargar el post, por lo que finalizaré con unos breves comentarios sobre el impacto y la responsabilidad de las empresas.
La entrada en vigor del GDPR obliga a las empresas a revisar sus políticas de obtención, tratamiento, almacenamiento y destrucción de los datos personales, así como a asegurar el cumplimiento del Reglamento tomando una serie de medidas que podríamos sintetizar en tres grandes conjuntos:
Algunas empresas consideran que la amplitud de la regulación y su carácter fuertemente restrictivo suponen un freno a su expansión, basada en muchos casos en la explotación de los datos. Sin embargo, como en otras múltiples ocasiones es preciso valorar lo positivo y tratar de identificar las oportunidades.
Consideremos la ventaja que supone el tener que cumplir solamente una normativa, común para todos los Estados miembro, sin necesidad de aplicar o responder a normativas nacionales diferentes, garantizando a los clientes una protección adecuada, amparada por el Derecho comunitario.
Además, la mencionada necesidad de revisar los datos que se gestionan, permitirá identificar aquellos que son verdaderamente útiles y a partir de ellos, mediante la aplicación del conocimiento aportado por el propio capital intelectual, convertirlos en inteligencia, que al apoyar la toma de decisiones permitirá obtener ventajas competitivas.
Finalizo el artículo como comencé, mostrando mi preocupación al respecto: ¿se están preparando las empresas? En el caso de la Administración la respuesta es afirmativa; por ejemplo, en España con objeto de adaptar la legislación nacional al GDPR comunitario el Gobierno ha presentado un Anteproyecto de Ley Orgánica, que sustituirá a la actual LOPD.
Asimismo, es de destacar que la Agencia Española de Protección de Datos (AEPD) está desarrollando una gran campaña para ayudar a los ciudadanos a comprender el nuevo marco normativo y a las organizaciones a cumplir con las obligaciones derivadas del GDPR.
Lamentablemente no parece existir la misma preocupación o interés en el caso de las empresas. Ha pasado más de un año desde la publicación del GDPR y el tiempo restante ya es inferior a este periodo lo cual me induce a reformular la pregunta que hacia al publicar el anterior post en mayo de 2016: ¿Estaremos preparados cuando llegue el momento? Esperamos y deseamos que así sea.
* REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)