Laura Melgar Martínez, Abogada y fundadora de Digital Crime Abogados,  Asociada de ENATIC.

Respecto al día 25 de mayo de 2018, en que será de aplicación el Reglamento General de Protección de Datos (RGPD), se ha creado como un halo de “miedo” que envuelve el ambiente y que incita a la necesidad de adaptar no sé qué a una normativa que regula datos personales.

Mi pretensión no es meter miedo, sino exponer de forma esquemática las principales obligaciones a las que autónomos y profesionales con establecimiento en España van a tener que hacer frente para adecuarse a la nueva normativa (para lo cual me voy a basar en el RGPD y en el proyecto de LOPD). De este modo, estarán en mejores condiciones para decidir si necesitan o no asistencia o asesoramiento, teniendo en cuenta que las sanciones previstas pueden llegar a ser de tal calado que el incumplidor puede verse obligado a cerrar su negocio.

Laura Melgar Martínez, Abogada y fundadora de Digital Crime Abogados,  Asociada de ENATIC

He de comenzar recordando tres figuras: 1) responsable del tratamiento es quien determina los fines y medios del tratamiento (en nuestro caso, el autónomo o profesional); 2) encargado del tratamiento es quien trata datos personales por cuenta del responsable (por ejemplo, la gestoría contratada por  el responsable); y, 3) interesado o afectado es la persona titular de los datos personales objeto de tratamiento.

Entrando en materia, los contratos suscritos antes del día 25.5.2018 entre el responsable y el encargado del tratamiento mantendrán su vigencia hasta la fecha en que, según el contrato, venzan; si el contrato se suscribió por plazo indefinido, el mismo se tendrá que adecuar a la nueva regulación en el plazo de 4 años a contar desde el día 25.5.2018 y, si se trata de contratos que se prorrogan automáticamente salvo que alguna de las partes comunique a la otra la voluntad de no prorrogarlo, la adaptación se tendrá que producir antes de la fecha prevista para la prórroga.

Esta previsión presupone que los contratos entre responsable y encargado cumplen con las formalidades contempladas en el artículo 12 de la vigente LOPD, pero, si no las cumplieran, sin perjuicio del incumplimiento, y a los efectos de evitar futuras modificaciones, sería conveniente suscribir un contrato adecuado a la nueva regulación.

Por lo que se refiere a los consentimientos de los que se dispongan antes del 25.5.2018, serán válidos si se otorgaron en la forma prevista por el RGPD.

Esto tendrá especial incidencia para los empresarios que hayan hecho uso excesivo del consentimiento tácito (que sería ser algo así como: “te doy la información sobre el tratamiento y, si en 30 días no me dices que no puedo tratar tus datos, entiendo que sí puedo”), ya que tendrán que volver a recabar los consentimientos conforme al RGPD o intentar encuadrar el tratamiento en otra causa legitimadora.

Haya iniciado o no su actividad, el autónomo o profesional:

1. Solo puede tratar los mínimos datos necesarios para cumplir con las finalidades que motivaron su recolección y durante el tiempo estrictamente necesario, debiendo de adoptar todas las medidas necesarias para garantizar su integridad y confidencialidad, previo análisis del riesgo que el tratamiento pueda suponer para los derechos y libertades de los interesados. Además, en caso que el tratamiento se lleve a cabo por un encargado, tendrá que existir un contrato (adecuado a la normativa).

2. Tiene que informar al interesado en los términos previstos en el RGPD.

3. Para tratar datos de carácter personal, debe contar:

• con el consentimiento libre, específico, informado e inequívoco, manifestado por medio de una declaración expresa o de una clara acción afirmativa (no vale el consentimiento tácito) respecto a cada una de las finalidades para las que se pide el consentimiento; o
• con alguna otra causa legitimadora de las previstas en el artículo 6 del RGPD.

4. En materia de transferencias internacionales de datos (por ejemplo, si el empresario contrata un servicio de cloud para gestionar sus clientes particulares y el proveedor está fuera del territorio del Espacio Económico Europeo), deberá prestar atención al lugar a que se van a transferir los datos, a las garantías ofrecidas y a la legitimación del tratamiento, ya que, según el supuesto, puede ser necesario informar o recabar la previa autorización de la Agencia Española de Protección de Datos (AEPD).

5. Debe atender las peticiones que los interesados formulen en base a sus derechos (acceso, rectificación, supresión,  limitación de tratamiento, portabilidad y  oposición), o las deberá denegar motivadamente.

6. En su caso, ha de notificar a la AEPD y/o comunicar a las personas afectadas, las violaciones de seguridad que hayan tenido lugar.

Además, en función del tipo de tratamiento, tendrá que:

• llevar un registro de las actividades de tratamiento, si el tratamiento que realiza puede entrañar un riesgo para los derechos y libertades de los interesados, no es ocasional, o incluye categorías especiales de datos o datos relativos a condenas e infracciones penales;
• realizar una evaluación de impacto, si es probable que el tratamiento vaya a entrañar un alto riesgo para los derechos y libertades de los interesados, y, en su caso, hacer una consulta previa a la AEPD, cuando de la evaluación de impacto resulta que el tratamiento entrañaría un alto riesgo y no toma medidas para mitigarlo;
• designar un delegado de protección de datos, si tiene entre sus actividades principales operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala o el tratamiento a gran escala de categorías especiales de datos y de datos relativos a condenas e infracciones penales.