ámbito de la Sanidad, acerca del incordio documental que representaba para sus clientes/pacientes la
puesta en vigor, el pasado mes de mayo, del nuevo Reglamento General de Protección de Datos
europeo que, según afirmaban, les habían dicho que sustituía a la normativa española hasta ahora
vigente, se me ocurrió contrastar sus comentarios sobre el particular con los de otras pequeñas y
medianas empresas de diferentes ámbitos (sin valor estadístico, por supuesto), observando en la
mayoría sensibilidades coincidentes que se podrían resumir en:
- Esto de la protección de datos es una mera obligación legal que, simplemente, nos cuesta
dinero, aparte del tiempo que “X” le dedica a gestiones de papeleo.
- Esto nos lo llevan todo (recalco el “todo”, que no es baladí) los asesores, que para eso
cobran, y nosotros sólo tenemos eso que llaman ahora un Delegado de Protección da Datos; el personal, claro, queda fuera de este rollo.
- Las leyes son muy cambiantes y nuestros clientes ya están mareados de hacerles firmar papeles
cada vez que cambia la norma.
- …
 |
Parafraseando a don Ramón de Campoamor con su poema/dolora, ya conocido como “ley campoamor”, en lo de que la protección de datos personales es una mera obligación legal y poco más, recordemos que “En este mundo traidor / nada es verdad ni mentira / todo es según el color / del cristal con que se mira” y, como dice el poema, si se cambia el cristal, cambia todo. Dejadme que relate un caso real ilustrativo de la problemática, cambiando, eso sí, el nombre del protagonista, que no viene al caso:
Eustaquio Sorderas tenia que ir al médico a revisarse de una otitis mal curada que arrastraba desde
hacía un tiempo y, como su otorrino habitual estaba de viaje para asistir a un Congreso profesional en el extranjero y él no quería esperar, concertó visita con otro especialista recomendado por un conocido. El resultado de la visita fue, profesionalmente, satisfactorio, pero la sorpresa vino al cabo de unos días, cuando el Sr. Sorderas empezó a recibir, por carta, correo electrónico y teléfono un auténtico bombardeo de empresas fabricantes de audífonos ofreciendo sus productos y servicios.”¿Cómo me conoce esta gente? ¿Cómo saben mis direcciones y teléfono? ¿Quién se las ha dado? ¿Quién lo ha autorizado?… “
A la vista de este caso (real, además, a quien más y quien menos le ha pasado algo parecido), y más allá del cumplimiento de una norma legal, está claro que
- procurar proteger nuestros datos personales es algo de sentido común, manteniendo la capacidad
de decidir quién, cómo y para qué tiene acceso a ellos.
- los datos valen dinero, mucho más a medida que puedan ser considerados “datos sensibles”, por
las razones que sean (comerciales, políticas, etc.) y el tráfico de estos datos se ha convertido en un negocio floreciente que, como muchos negocios, obtiene resultados más inmediatos recurriendo al soborno para conseguirlos. Y no hace falta acudir a casos extremos como el de Cambridge Analytica y Facebook (ya sabéis, ese caso reciente, que aún colea, en el que la consultora británica Cambridge Analytica fue acusada de manipular los datos de 50 millones de usuarios de Facebook para influir con sus mensajes personalizados durante la campaña electoral de Donald Trump mediante la descarga de una aplicación en la plataforma cuyo uso daba acceso no solo a los datos del usuario, sino también a los de sus “amigos”. Esa aplicación pudo acceder a los “me gusta” y el perfil de los que respondían la encuesta y así recolectó los datos personales de todos los encuestados y sus amigos. En total unos 50 millones de usuarios. Esos resultados se cruzaron con las gustos de los usuarios en Facebook y con algoritmos se diseñaron campañas especialmente segmentadas para unos 2 millones de votantes), no, a nivel mucho más modesto, como en lo que le ocurrió al señor Sorderas en su inocente visita al otorrino, también hay estos cambalaches.
 |
Es por eso que, sin interferir en la relación y el asesoramiento que prestan a las empresas obligadas a la observancia de las normas los expertos en la materia, nos permitiremos reflexionar junto con vosotros sobre algunos aspectos, seguramente ya conocidos de sobras, de eso de la protección de datos personales.
Empecemos por el principio: ¿qué son datos personales y qué es eso del tratamiento de datos?
Respecto de lo primero, en definición de la Comisión Europea, “Los datos personales son cualquier
información relativa a una persona física viva identificada o identificable. Las distintas informaciones, que recopiladas pueden llevar a la identificación de una determinada persona, también constituyen datos de carácter personal…. no importa cómo se conservan los datos; ya sea en un sistema informático, a través de videovigilancia o sobre papel; en todos estos casos, los datos personales están sujetos a los requisitos de protección...”, y dan como ejemplos el nombre y apellidos, domicilio, dirección de correo electrónico, del tipo nombre.apellido@empresa.com, número de documento nacional de identidad, datos de localización (como la función de los datos de localización de un teléfono móvil), dirección de protocolo de Internet (IP), el identificador de una cookie, el identificador de la publicidad del teléfono, los datos en poder de un hospital o médico, etc., que podrían ser un símbolo que identificara de forma única a una persona.
Respecto del “tratamiento”, este concepto, siguiendo otra vez lo que dice la Comisión Europea, abarca una amplia gama de operaciones realizadas sobre los datos personales, que incluyen procedimientos manuales o automatizados. Estas son la obtención, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción de datos personales. La norma a seguir se aplica al tratamiento de datos personales total o parcialmente automatizado, así como al tratamiento no automatizado, si este forma parte de un fichero estructurado. Entre los ejemplos, gestión de personal y administración de nóminas (a veces se olvida que los datos personales de los trabajadores también están protegidos), acceso o consulta a bases de datos de contactos que contengan datos personales, envío de correos electrónicos promocionales (sujetos también, por cierto, a la Directiva sobre intimidad y comunicaciones electrónicas), triturado de documentos que contengan datos personales, publicación o colocación de una foto de una persona en un sitio web, almacenamiento de direcciones IP o MAC, grabación de vídeo (CCTV), etc.
Quedémonos con tres detalles:
- el de que las normas legales se aplican a datos que, automatizados o no, forman parte de un
fichero,
- el de que los datos personales lo son con independencia del soporte en el que estén, y
- el de que, en todos los casos, están sujetos a protección.
 |
En todos los escenarios de relaciones humanas se conocen/manejan datos personales si bien no todos de igual importancia. Para un fabricante de muebles a medida, los datos que maneja son el
nombre/dirección/teléfono de su cliente, los datos acreditativos de que le puede pagar, seguramente
todo ello en un fichero automatizado, y poco más; contrariamente, la enfermera de un centro asistencial (ni siquiera el gerente del centro) en el que se facilita metadona a sus usuarios en programas de desintoxicación del consumo de drogas maneja otros datos radicalmente diferentes de los del supuesto anterior, de mucha más trascendencia, y quizá no recogidos en ficheros, pero sometidos, obviamente, a una discreción extrema.
En eso se basa los que las normas contemplan como “niveles de seguridad”; el básico, de aplicación para todos los datos que se manejen, se refiere a datos como nombre, dirección, teléfono, etc, el medio, que debe de entenderse de aplicación además del básico, referido a datos relativos a la comisión de infracciones administrativas o penales, los relativos a la prestación de servicios
de información sobre solvencia patrimonial y crédito, aquellos de los que sean responsables
Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias, los que
tengan como responsables entidades financieras para finalidades relacionadas con la prestación de
servicios financieros, aquellos de los que sean responsables las Entidades Gestoras y Servicios
Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias, los que tengan
como responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad
Social o, en definitiva, aquellos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de la persona y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de la misma; por último, el nivel alto, de aplicación además del básico y el medio, se refiere a lo que se conoce como datos especialmente protegidos, es decir, los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual1, los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas o aquellos que contengan datos derivados de actos de violencia de género.
Con todo lo dicho hasta ahora, ya se confirma que la idea generalizada de que la implementación y
cumplimiento de las normas relativas a la protección de datos personales en la empresa es sólo cosa de los asesores en la materia, mecanizada y que el personal debe quedar fuera del conocimiento de sus obligaciones para no distraerlos de sus funciones laborales es un error que puede tener consecuencias gravísimas, si se constata la evidencia habitual de que hay datos personales (curiosamente, muchos de los denominados “sensibles”, de nivel de protección alto) que quedan fuera del circuito sometido a control automatizado, generalmente sólo en poder de algún empleado, del que una mera distracción o error inadvertido puede originar situaciones, cuando menos, incómodas, si no es que la autoridad de supervisión determina que realmente ha habido infracción e impone la correspondiente sanción, de importe cada vez más abultado.
Corresponde a los asesores, si efectivamente lo son, diseñar, coordinados con los responsables de la empresa, los documentos informativos/formativos necesarios (en forma de Documento de Seguridad u otra), junto con las acciones de sensibilización personalizadas pertinentes para que todo el personal
(incluidos, por supuesto, los free-lances, si los hubiera) sepa las obligaciones oficiales de la empresa y asuma, conociéndolas, las obligaciones operativas propias en este tema para que nadie tenga problemas inesperados.
Lo que sí que produce un cierto desasosiego es el cambio (o no) habido últimamente en la legislación, aunque el mismo no requiriera “molestar” a los clientes salvo para informárselo, caso que les afectara. Porque, ¿qué Ley está en vigor? Acudiendo a la autoridad de supervisión, la Agencia Española de Protección de Datos, nos enteramos de que la normativa aplicable en materia de protección de datos de carácter personal tanto en la legislación específica como en la sectorial es un híbrido compuesto por:
- REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de
abril de 2016 (RGPD) (General Data Protection Regulation, GDPR en su original en inglés) relativo a
la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de
protección de datos), incluyendo el documento de corrección de errores.
- Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho
español a la normativa de la Unión Europea en materia de protección de datos.
- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su
Reglamento en el R.D. 1720/2007, de 21 de diciembre. (vigentes en aquellos artículos que no
contradigan el RGPD)
O sea, que conviven en su vigencia el Reglamento europeo y la Ley nacional. Pues vaya… Se presta a confusión, es verdad.
 |
Porque, hasta hoy, estábamos familiarizados con la LOPD, y ¿qué es la LOPD? La Ley Orgánica
15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, LOPD, es la ley con
carácter doméstico que se encarga de la transposición para España de la Directiva 95/46/CE (ahora
derogada por el RGPD) que hasta el 25 de mayo de 2016 ha sido el texto de referencia, a escala
europea, en materia de protección de datos personales. En concreto la Directiva citada creó un marco
regulador destinado a establecer un equilibrio entre un nivel elevado de protección de la vida privada
de las personas y la libre circulación de datos personales dentro de la Unión Europea (UE), fijando
límites estrictos para la recogida y utilización de los datos personales y solicitando la creación, en cada Estado miembro, de un organismo nacional independiente encargado de la supervisión de cualquier actividad relacionada con el tratamiento de los datos personales.
¿Y eso del nuevo Reglamento?¿Qué es el RGPD? El 25 de mayo de 2016 entró en vigor el
Reglamento General de Protección de Datos (RGPD), de aplicación el 25 de mayo de 2018, o sea, con dos años de carencia. A diferencia de lo que ocurrió con la Directiva 95/46/CE o con cualquier otra, la naturaleza del Reglamento es que es de aplicación directa y por tanto no necesita ninguna ley de carácter nacional para implementarlo, teniendo ahora en cuenta, simplemente, que la futura ley que se encargue de regular este aspecto, en este caso la protección de datos, contemple las previsiones ya establecidas en el Reglamento. Por este motivo, en cuanto se redacte, apruebe y promulgue, entrará automáticamente en vigor la nueva Ley Orgánica de Protección de Datos de Carácter Personal, de la cual ya salió un Proyecto de Ley el 24 de noviembre de 2017.
De manera sucinta en estas líneas, repasemos qué cambios más significativos comporta el cumplir con la nueva reglamentación y cómo se diferencia de lo ya establecido por la LOPD actual. Si bien muchos de los conceptos y principios del RGPD son parecidos a la norma actual, el RGPD
introduce nuevos elementos, que suponen nuevas obligaciones para las empresas y organizaciones de
la UE pero una de las principales novedades, independiente de la operativa, es el importe de las
sanciones, de hasta un 4% de la facturación global anual o 20 millones de euros, y otra, la relevancia
para muchos negocios de publicidad digital, que por vez primera están obligados a cumplir con las
normas de protección de datos.
 |
El primer paso que todas las empresas deberían ejecutar es identificar y analizar las áreas de riesgo y
documentar los tratamientos de datos personales que se llevan a cabo, a través de un inventario de todas las actividades de tratamiento que realiza la compañía. Este enfoque exige proactividad por parte de cada organización para analizar correctamente estos aspectos, determinar los riesgos y en función de su nivel, establecer las medidas necesarias para minimizarlo. En los casos en los que se detecten tratamientos con un nivel alto de riesgo cara a los derechos y libertades de los usuarios, deberá realizarse adicionalmente una Evaluación de Impacto sobre la Protección de Datos (EIPD) e introducir las medidas necesarias para la mitigación de los mismos. Esta obligación también se
extiende a lo que conocemos como brechas de seguridad, que pueden tener importantes consecuencias, por lo tanto, las empresas deben asegurarse de poner en marcha todos los procedimientos que permitan detectar, informar e investigar una eventual brecha de seguridad.
Por lo que respecta a los usuarios, el RGPD amplía los derechos con la limitación de tratamiento a los
datos indispensables para prestar un servicio y una vez acabado tendrán que dejar de utilizarlos, pero
también regula una serie de derechos adicionales a los tradicionales ARCO (Acceso, Rectificación,
Cancelación, Oposición), de tal forma que los usuarios tendrán:
1.- Consentimiento libre, específico, informado e inequívoco. No se aceptará el consentimiento
genérico, tácito o por omisión;
2.- Derecho de acceso: Se puede ahora obtener una copia de los datos personales que se estén
tratando.
3.- Derecho al olvido.
4.- Los interesados pueden solicitar que cesen las operaciones de tratamiento de sus datos.
5.- Portabilidad. Los interesados podrán recibir los datos personales que han proporcionado a un
responsable del tratamiento, en un formato estructurado, de uso común y legible.
Finalmente, el Reglamento introduce una figura nueva que es el Delegado de Protección de Datos
(DPD) (Data Protection Officer, DPO, en su original en inglés)2, no siempre necesario. El RGPD estipula que uno de los criterios para decidir si es necesario designar un delegado de protección de datos es cuando las actividades principales del responsable o del encargado requieran una “observación habitual y sistemática de interesados a gran escala”. El DPD puede ser, sin ir más lejos, un trabajador de la entidad o un consultor externo, encargado de comprobar y registrar el tratamiento que se realiza de los datos personales dentro de la organización.
El RGPD tiene especial relevancia, pues, para el nuevo grupo profesional de los delegados de
protección de datos, cuyo número aumenta considerablemente debido a la interpretación de dicho
reglamento. A partir de ahora, todos los organismos públicos y empresas en las que sus actividades
principales hagan referencia a la manipulación de datos personales deben designar a un delegado de
protección de datos. Aun cuando la actividad principal no esté relacionada con el tratamiento de datos, debe nombrarse a un delegado de protección de datos cuando haya al menos 10 personas que se ocupen del tratamiento automatizado de los datos personales, lo que tiene validez para muchas
empresas de mediana envergadura aunque difícilmente para la mayoría de pequeñas empresas.
Está claro que hoy en día, la protección de los datos personales debe ocuparse de conceptos que en
1995, fecha de promulgación de la anterior Directiva, ni se imaginaban, como el big data, la Industria
4.0, la robótica o la inteligencia artificial (IA), de ahí que surgiera la necesidad de incluir novedades en el RGPD. Lo más importante, sin embargo, del nuevo RGPD es que, junto con las regulaciones, algunas ya mencionadas, introduce, en principio, relativamente pocas modificaciones para el comercio online. Las normas con respecto a los temas más importantes para los gestores de páginas web (cookies, seguimiento de los usuarios, spam y marketing directo) se introducirán probablemente a partir de 2019.
Mientras tanto, los gestores de páginas web se rigen por el RGPD y por los principios generales de
protección de datos de la LOPD y de la LSSI (Ley de Servicios de la Sociedad de la Información y de
Comercio Electrónico), que siguen vigentes hasta que se apruebe una nueva ley nacional que recoja y
concrete los principios del RGPD.
 |
Y la pregunta del millón: ¿Cuándo estará lista la nueva Ley Orgánica de Protección de Datos? Esa es
una pregunta difícil de contestar. El nuevo texto, que fue presentado como anteproyecto de ley ante el
Consejo de Ministros el 24 de junio de 2017, se encuentra en fase de consultas, modificaciones e
información pública previa a su aprobación. Expertos, juristas y miembros de la oposición no están tan seguros de la respuesta y de hecho, son más bien de la opinión de que los plazos son demasiado justos. A esto hay que añadirle que ya ha habido que ampliar hasta tres veces el plazo de presentación de enmiendas, lo que complica aún más las cosas. Estos expertos confían más en que el texto esté listo para la segunda mitad del año. Ya veremos si España "hace los deberes".
-------------------------------------------
1Conviene
puntualizar como excepciones que en datos de ideología, afiliación
sindical, religión, creencias, origen racial, salud o vida sexual,
bastará la implantación de las medidas de seguridad de nivel
básico cuando:
- Los datos se utilicen con la única
finalidad de realizar una transferencia dineraria a entidades de las
que son los afectados asociados o miembros.
- Se trate de ficheros o tratamientos no
automatizados en los que de forma incidental o accesoria se
contengan aquellos datos, sin guardar relación con su finalidad.
También podrán implantarse las medidas de
seguridad de nivel básico en datos relativos a la salud, referentes
exclusivamente al grado de discapacidad o la simple declaración de
la condición de discapacidad o invalidez del afectado, siempre
que sea con motivo del cumplimiento de deberes públicos (por
ejemplo, para gestionar la declaración del IRPF).
2Es
usual ver que casi todas las empresas han incorporado esta figura,
inexistente en nuestra normativa y que nace en Alemania en 1977 (Ley
Federal de Protección de Datos) influyendo decisivamente en su
inclusión en la Directiva de 1995. El considerando 97 del RGPD
dice que el responsable o el encargado del tratamiento de los datos
debe contar con la ayuda de una persona con conocimientos
especializados del Derecho y con práctica en materia de protección
de datos si el tratamiento lo realiza una autoridad pública, a
excepción de los tribunales u otras autoridades judiciales
independientes en el ejercicio de su función judicial; si el
tratamiento lo realiza en el sector privado un responsable cuyas
actividades principales consisten en operaciones de tratamiento a
gran escala que requieren un seguimiento habitual y sistemático
de los interesados, o si las actividades principales del responsable
o del encargado consisten en el tratamiento a gran escala de
categorías especiales de datos personales y de datos relativos a
condenas e infracciones penales.. Tales delegados de protección de
datos, sean o no empleados del responsable del tratamiento, deben
estar en condiciones de desempeñar sus funciones y cometidos de
manera independiente. El Delegado será designado por los
denominados responsables y encargados de tratamiento antes de la de
la fecha de la aplicación plena del Reglamento, atendiendo a sus
cualidades profesionales y, en particular, a sus conocimientos
especializados del Derecho y la práctica en materia de protección
de datos y a su capacidad para desempeñar sus funciones.
No hay comentarios:
Publicar un comentario