Jesús Mateo,
socio director de MMYA Abogados, un despacho jurídico fundado en 1997,
especializado en asesoramiento de empresas y entidades con una clara vocación
internacional, analiza con motivo del Día Internacional de Protección de Datos,
que se celebra mañana, 28 de Enero, las obligaciones de las empresas en esa
materia.
En MMYA
Abogados contáis con un área muy especializada en Privacidad y Protección de
Datos. ¿Cómo podemos identificar que cumplimos?
Actualmente
hay que contar con una documentación y requisitos básicos, de forma obligatoria
por normativa legal, para poder acreditar que tenemos convenientemente
implantada una política de privacidad, bien para responder ante cualquier
inspección o requerimiento de la Autoridad nacional de Control (En España la
Agencia Española de Protección de Datos), o como medida de respuesta eficaz ante
el ejercicio de sus derechos por parte de cualquier afectado (Derechos ARCO).
Esta documentación básica es la inscripción de Ficheros ante la Agencia Española
de Protección de Datos, Avisos legales con el principio de información para
todos los grupos de afectados (Como mínimo para clientes y para nuestros
empleados), Contratos de tratamiento por cuenta de terceros con aquellas otras
empresas o profesionales con los que compartamos datos personales de clientes
(Subcontratación de servicios) o de empleados (Gestoría que realiza las nóminas,
y trámites ante la Seguridad Social), Documento de seguridad del nivel de
protección que nos corresponda; y en función de las instalaciones (Video
vigilancia, control de accesos), del sector de actividad a que corresponda la
empresa (Telecomunicaciones, Seguridad, Servicios financieros, Servicios de
Sanidad, Fondos de inversión, Aseguradoras, etc), existirán requisitos
adicionales en atención a su normativa específica en materia de protección de
datos, así como la obligación de pasar auditorias bianuales y contar con un
Responsable de seguridad cuando se tratan datos de nivel medio o alto (Datos que
suelen manejarse en despachos de abogados, servicios financieros, servicios
médicos, servicios de estudios de mercado por perfiles de consumo, etc).
Chequear que contamos con esta documentación y requisitos puede ser un paso
inicial importante para saber si contamos con una base mínima de cumplimiento de
protección de datos.
No obstante,
toda la regulación legal de protección de datos se va a ver considerablemente
modificada y me atrevería incluso a señalar que sacudida, por el nuevo
Reglamento General europeo de Protección de Datos
(RGPD), al tener que adaptarse organismos tanto públicos como privados a los
nuevos requerimientos y obligaciones que trae consigo.
¿Cómo
afecta ese nuevo Reglamento europeo General de Protección de Datos
(RGPD), en
concreto a las empresas?
El nuevo Reglamento afecta a todas las empresas que recaben
datos de carácter personal y hoy en día ¿Qué empresa no tiene una base de datos
de clientes, de empleados?, obviamente afecta a todas las empresas. Bien es
cierto que aquellas empresas que tratan datos
sensibles
(salud, origen racial, religión, vida sexual, etc.) se van a ver especialmente
afectadas, por ejemplo por requisitos que conciernen al consentimiento de los
afectados, que deberá ser claramente inequívoco y por tanto, explícito, entre
otras muchas novedades. Lo que es más, es aplicable a empresas
que aun sin estar establecidas en el territorio de la UE, dirigen sus bienes o
servicios a los usuarios europeos, con independencia de dónde se produzca el
pago. Como se puede apreciar, la relevancia de este Reglamento es total,
sustituye a la Directiva 95/46/CE y es de aplicación directa en todos los
Estados miembros. Desde este punto de partida, es claro que la importancia para
cualquier empresa es vital porque a través de la
regulación
de la protección de datos, se está protegiendo a los afectados en general y a
los consumidores en particular.
¿De qué
novedades del nuevo Reglamento hablamos?
Para
señalar de forma muy esquemática estas novedades podríamos enunciar entre las
más relevantes, las siguientes:
- El ámbito
de aplicación del Reglamento, es de forma directa en todos los Estados miembros
de UE, sin que tenga que mediar normativa de transposición del mismo a las
normativas internas de cada Estado miembro. Se trata de
una única norma de protección de datos para todos los países de la UE.
- Las medidas a adoptar e implementar tienen como base el riesgo que conlleve el
tratamiento de los datos personales para el afectado; y en este sentido habrá
que designar
un
"Delegado
de Protección de Datos" (DPO),
realizar una "Evaluación
de impacto de la protección de datos"
(DPIA) o incluso
llevar a
cabo una
consulta previa al tratamiento de los datos personales
con la autoridad nacional de protección de datos (En España la
Agencia Española de Protección de Datos),
si existe un alto riesgo para la persona a la que se refieren los datos en
ausencia de la adopción de medidas por el responsable, para mitigarlo.
-
Nuevos principios de la protección de datos
como son los de
transparencia,
responsabilidad,
protección de datos desde el diseño
y
por defecto.
En lo fundamental, implican que quien trata datos personales
lo haga considerado esta normativa desde el comienzo, ya sea, el desarrollo de
una aplicación, un sistema de información, un servicio, etc., de manera que,
adoptando las medidas adecuadas al riesgo que implica el tratamiento de los
datos, pueda demostrarse responsabilidad en el cumplimiento, incluyendo, en su
caso, la elección de encargados del tratamiento (Terceros que tratan los datos
personales por cuenta del responsable) que aporten garantías suficientes. En
este sentido, Códigos de conducta y certificaciones pueden ser un buen aliado
para demostrar el cumplimiento.
-
Derechos al olvido, a la portabilidad y a saber cuándo se ha producido una fuga
de datos personales. El
derecho al olvido
implica el borrado de los datos personales de su titular, por ejemplo las fotos
descargadas en una red social. Las compañías de Internet están obligadas a
transmitir esta petición a los sitios donde la información se haya replicado o
enlazado. No obstante, el derecho al olvido estará limitado por el ejercicio de
la libertad de expresión e información, no es un derecho absoluto, tiene
límites; el
derecho a la portabilidad de los datos personales, por ejemplo, entre redes sociales u otros servicios
electrónicos (Servicios de Cloud Computing), de manera que la persona se pueda
llevar sus datos personales, así como el
derecho a saber cuándo han sido “hackeados”
o se ha producido una brecha de seguridad que implique una fuga de datos personales, sin perjuicio de
que
el responsable del tratamiento tenga que notificar dicha fuga
a la autoridad nacional de supervisión, hasta ahora esa obligación en España
existía solo para empresas del sector de las Telecomunicaciones.
-
Datos sensibles, pasando a engrosar la lista de los ya conocidos
(Salud, origen racial, de carácter sexual, creencias
religiosas etc.), otros nuevos como los
datos genéticos
y datos biométricos.
-
Consentimiento para el tratamiento de los datos personales, que
con carácter general pasará de ser "expreso" a ser "claramente inequívoco",
debiendo ser "explícito" en el caso de datos sensibles (salud, origen racial,
religión, vida sexual, etc.). El
responsable tendrá que ser capaz de demostrar que obtuvo el consentimiento
necesario del titular de los datos personales
y, por otra parte,
que el titular no tenga que hacer nada para obtener su consentimiento no es
válido para cumplir con el requisito de que sea “claramente inequívoco”.
Habrá que establecer
mecanismos adecuados que permitan al titular de los datos personales
revocar el consentimiento dado.
El sentido práctico de esto es que empresas como Facebook o Twitter sólo podrán
procesar información personal si tienen el “consentimiento inequívoco” de los
usuarios, que podrá ser retirado en cualquier momento. También se restringe el
acceso a las redes sociales a los menores de un umbral de edad entre los 13 a
los 16 años (A determinar por cada Estado miembro), que necesitarán la
autorización de sus padres para que sus datos sean procesados.
- En la transferencia
internacional de datos, se abren
nuevas posibilidades de transferir datos personales a terceros
países, fuera de la UE o del Espacio Económico Europeo (EEE) en atención, por
ejemplo, a un sector de actividad, como pudiera ser el de Cloud Computing.
-
Medidas como la
Pseudonimización y anonimización de
los datos personales, se ven afectadas de muy distinta forma.
Mientras la pseudonimización no escapa a las disposiciones del Reglamento que
seguirán siendo aplicables ya que es posible identificar a la persona a la que
se refieren los datos personales, en el caso de la anonimización, siempre que
sea irreversible, ya no estamos ante datos personales y, por tanto, las
disposiciones del Reglamento dejan de ser aplicables.
- Una reducción significativa de
burocracia para las empresas, por la que las empresas se ahorrarán hasta 2.300 millones de euros al año por aplicar
una única norma de protección de datos en toda la UE en lugar de las 28
actuales, según los cálculos de Bruselas. Además, se establece un sistema de
‘ventanilla única’ tanto para las empresas como para los consumidores, que
tendrán como interlocutora a una sola autoridad de control.
Entre las
novedades del nuevo Reglamento ha mencionado usted una figura que últimamente ha
despertado mucho interés por el desconocimiento general sobre qué perfil tiene,
que funciones desempeña y en qué tipo de organizaciones es obligatorio. Me
refiero al "Delegado de Protección de Datos" (DPO) ¿Qué puede explicarnos al
respecto?
En primer lugar hay que señalar que tendrán que ser
Profesionales que puedan acreditar formación
y conocimientos especializados en materia
de
protección de datos. Por tanto, Delegado de Protección de Datos no lo puede ser
cualquiera, lo que se ha acogido con gran satisfacción por parte de los
profesionales de la protección de datos que han dedicado tiempo, esfuerzo e
inversión en especializarse en esta materia. En cuanto a las funciones, serán
básicamente, asegurar el cumplimiento normativo de la protección de datos,
haciendo compatible el funcionamiento de la organización, la consecución de los
objetivos lícitos y legítimos del negocio, y la garantía del derecho a la
protección de datos y la seguridad de la información; además será el
interlocutor necesario con la Autoridad de Control de la Protección de Datos. Su
implantación será obligatoria (Bien a través de contratación externa o su
designación dentro de la plantilla de la organización) para
todas las organizaciones públicas
(a
excepción de los tribunales en ejercicio de la potestad jurisdiccional),
empresas
que
desarrollen
"profilling"
(Registro
y análisis de las características psicológicas y de comportamiento de una
persona, a fin de evaluar o predecir sus capacidades en un determinado ámbito o
para ayudar en la identificación de las categorías de personas) y que
requieran
una
monitorización periódica y sistemática de los titulares de los datos a gran
escala (Ej: solvencia patrimonial, investigación de mercados o en controles
asociados a la productividad o en el análisis de riesgos),
empresas cuya actividad principal consistan en el
tratamiento a gran escala de
categorías especiales de datos (Ej: Datos
que revelen el origen racial o étnico, ideología, religión o creencias
filosóficas, afiliación sindical, datos genéticos, y el tratamiento de datos
biométricos para identificar unívocamente a una persona, así como los relativos
a la salud y vida y orientación sexual, y datos relativos a condenas y
antecedentes penales) y cuando
lo
disponga el Derecho de la Unión o el del Estado miembro.
Es una figura que introduce el nuevo Reglamento y que dará mucho que hablar por
ser una figura esencial en la protección de datos y porque las empresas y
organismos obligados a contar con uno deberán asesorarse muy bien antes de
contratar sus servicios, o de nombrarlo entre el personal interno de la empresa,
debido a la necesidad de acreditar su habilitación para desempeñar estas
funciones. En MMYA ABOGADOS apostamos por esta figura y contamos en el despacho
con una profesional cualificada oficialmente para desempeñar esta labor para
empresas que opten por contratar los servicios de un Delegado de Protección de
Datos externo.
¿Qué tipo
de sanciones se establecen en caso de no cumplir con los requisitos del nuevo
Reglamento?
El
incumplimiento puede conllevar
multas de
hasta 20 millones de euros o, en el caso de las empresas, hasta el 4% de la
facturación total a nivel mundial del año financiero previo, siendo aplicable la
suma que sea mayor. Este tipo de multas puede conllevar para muchas empresas una
dura brecha económica que se puede evitar tomando las medidas legales y técnicas
oportunas, con el tiempo suficiente y con carácter preventivo. No hay que
dormirse esperando que el Reglamento entre en vigor en 2.018, cuanto antes nos
pongamos en marcha mejor, ya que eso nos permitirá definir bien y con carácter
previo, el diseño de nuestra política de privacidad e ir realizando las
modificaciones y adaptaciones necesarias de tal forma que cuando entre en vigor
el Reglamento tengamos una implantación acorde a las exigencias de esta
normativa. Quien espere a ponerse manos a la obra cuando ya irremediablemente
caiga el peso de la normativa cual Espada de Damocles, créame, dada la
complejidad de esta normativa, pasará apuros para cumplir en tiempo y forma.
Prevenir mejor que curar.
¿Está todo
formateado en protección de Datos o se pueden aplicar soluciones adaptadas a las
necesidades reales de los clientes?
Sé que la
respuesta que le voy a dar puede descolocar a sus lectores, pero honestamente
debo advertir que hay que huir de quien "vende" protecciones de datos
estandarizadas y por tanto a muy bajo coste. Demasiadas empresas, desde su
completo desconocimiento de esta materia, contratan a proveedores sin
solicitarles la más mínima acreditación de que saben lo que se traen entre
manos, siendo el único criterio de selección unos costes muy bajos, en algunos
casos incluso sospechosamente bajos. No es serio y por tanto puede llevar
consecuencias a las empresas que confían su política de privacidad a este tipo
de empresas, teniendo que asumir sanciones que les pillan de sorpresa porque
pensaron que ya habían cumplido con la protección de datos. No vamos a
explayarnos ya en el gancho comercial de repercutir los costes de protección de
datos a las contingencias de formación de la Seguridad Social, la propia
Fundación Tripartita de la Seguridad Social advierte sobre estas técnicas
irregulares.
Por consiguiente, una implantación seria de protección de
datos debe responder a la actividad que desarrolla la empresa y dentro de ella
al tratamiento de datos personales de clientes y/o empleados, necesario para
atender a sus necesidades concretas en respuesta a estrategias comerciales o de
gestión interna (Perfiles de consumo de clientes, controles y gestión de la
productividad del personal, etc..). Nuestro consejo, hacer un buen traje a la
medida de sus necesidades, lo que no implica un coste difícil de asumir por la
empresa y puede ser una inversión en la fidelización de clientes y en la
optimización de la productividad.
El
comportamiento del consumidor ha evolucionado y considera preocupante que sus
datos puedan no estar seguros, es necesario que se considere internamente como
un requisito para atraer al cliente, una inversión en lugar de un coste.
¿Qué
consejos podéis ofrecernos para proteger nuestros datos?
Lo primero es identificar bien las necesidades de tratar datos
personales arreglo a su estrategia de Mercado o a las diversas necesidades que
tiene la organización. Una vez la empresa toma verdadera conciencia de qué
necesita, acudir a profesionales de la Privacidad convenientemente acreditados y
una vez expuestas sus necesidades, dejarse asesorar y que le sea implantada la
documentación y requisitos que señalaba en respuesta a tu primera pregunta. Es
fundamental que la empresa respete los protocolos que se facilitan para que la
implantación de protección de datos sea efectiva y de utilidad. El profesional
por el que se opte puede realizar una documentación e implantar unas medidas de
seguridad impolutas, pero si no existe una concienciación de la empresa con la
utilidad de proteger los datos, lamentablemente, perderá su efectividad. La
protección de datos es un barco en el que deben remar en coordinación y en la
misma dirección, el abogado especialista, el técnico informático y la empresa
como responsable final ante la Autoridad de Control y lo que es más importante,
antes sus clientes.
Por último, recomendaría a la empresa como consumidor de
servicios de protección de datos, que exija por contrato la acreditación y la
responsabilidad del trabajo realizado, por parte del profesional que realice la
implantación de su política de privacidad. Que no le den gato por liebre.