LA ZONA PÚBLICA : La U.E. y el nuevo Reglamento General de Protección de Datos.

Como ya es conocido, dicho nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas -en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE, conocido como “Reglamento General de Protección de Datos”-  será de efectiva aplicación a partir del día 25 de mayo de 2.018, quedando, asimismo, derogada en dicha fecha, la hasta ahora vigente Ley Orgánica 15/1.999, de 13 de diciembre, y su Reglamento de desarrollo.


Tal como señala la Agencia Española de Protección de Datos, el nuevo Reglamento General al ser, valga la redundancia, un Reglamento Comunitario, una norma jurídica de aplicación inmediata y directa, que no requiere, por tanto, que se proceda como paso previo para su aplicación, a su transposición en el derecho interno de las normas contenidas en el mismo.

No obstante ello, si bien la previsión inicial del Legislador Comunitario, era la existencia de una normativa a nivel global para todos los Estados miembros de la Unión Europea que regulara en su integridad todo el ámbito relativo a esta materia, ello al final no ha sido posible por la existencia de múltiples particularidades y especificidades en los ámbitos de los diferentes derechos nacionales.


Al final esto ha determinado que cada uno de los países podrá dentro de sus respectivas competencias legislativas existentes al efecto, incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.

Lo que puede producir una cierta incertidumbre jurídica ya que tales desarrollos normativos volverán a producir disensiones internas y disparidades de unos Estados frente a otros, en la regulación interna sobre determinados aspectos atinentes al régimen jurídico de la protección de datos de carácter personal, si bien es cierto, que dichas diferencias no tendrán, ni los caracteres ni la magnitud que presentaba la implementación práctica de la citada Directiva Comunitaria 95/46/CE.

Debe indicarse, tal como afirma la indicada Agencia Española, que dicho Reglamento General de Protección de Datos contiene muchos conceptos, principios y mecanismos similares a los establecidos por la Directiva 95/46 y por las normas nacionales que la aplican.

Por ello, las organizaciones que en la actualidad cumplen adecuadamente con la Ley Orgánica 15/1.99, de 13 de diciembre (LOOPD) española tienen una buena base de partida para evolucionar hacia una correcta aplicación del nuevo Reglamento.

La nueva regulación, continuista en la práctica

Esto es sumamente importante, ya que la nueva regulación es en la práctica continuista de la hasta ahora vigente, introduciendo ciertamente la actualización de algunas cuestiones, que, por el transcurso del tiempo, y el crecimiento exponencial producido en el uso y la multiplicidad de los flujos de datos personales, y el que se producirá seguro en los próximos años, necesitaban ser revisadas a los efectos de adecuar la regulación necesaria en esta materia a las exigencias tecnologías, sociales y económicas existentes en la actualidad.

No debe pasarse por alto, tampoco, la existencia de nuevas obligaciones, y tal vez, una mayor responsabilidad de los operadores jurídicos que tratan los datos personales, pero ello no ha de servir de excusa para buscar la implantación del nuevo Reglamento General de una manera complicada, porque más que nunca se hace preciso aplicar criterios sencillos y fáciles que permitan obtener dicha evolución de un régimen jurídico a otro, sin causar graves problemas de funcionamiento a los responsables del tratamiento en general y a las empresas en particular.

Debe partirse del hecho de que uno de las premisas básicas de la nueva normativa consiste en devolver al ciudadano el empoderamiento sobre sus propios datos de carácter personal. Cuando se menciona el término “empoderamiento”, se está haciendo referencia a la devolución a toda persona de la capacidad de decidir de manera efectiva, sobre la disposición y el control de dichos datos, de modo y manera que pueda determinar en cada momento quien puede tratar tales datos, y a que fin o fines está autorizado para destinar dicho tratamiento.

A esta nueva realidad, la Agencia Española de Protección de Datos, le adiciona dos principios, sobre los cuales debe pivotar toda la actividad que cualquier responsable lleve a cabo en el tratamiento de los datos personales.

Estos principios son los que se indican seguidamente:

El principio de responsabilidad proactiva

De acuerdo con el mismo, y tal como se establece en el Reglamento General, el mismo se configura sobre la base de la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.

En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.

A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.

En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.

El enfoque de riesgo

Así, debe indicarse, que el Reglamento General señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como el riesgo para los derechos y libertades de las personas.

De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten.   

La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones.

Lo que puede ser adecuado para una organización que maneja datos de millones de interesados en tratamientos complejos que involucran información personal sensible o volúmenes importantes de datos sobre cada afectado no es necesario para una pequeña empresa que lleva a cabo un volumen limitado de tratamientos de datos no sensibles.

Sobre estos pilares:

(I) el empoderamiento del ciudadano sobre sus datos personales;

(II) el principio de responsabilidad pro activa;

(III) el enfoque de la actividad de tratamiento vinculado manifiestamente a los riesgos es, fundamentalmente, sobre el que se ha de construir la implantación del nuevo régimen jurídico derivado del tratamiento de los datos de carácter personal, y por ende, de la privacidad.

Adicionalmente a ello, debe tenerse en cuenta otros elementos de singular importancia en la interpretación y aplicación del Reglamento General.

Es importante tener en consideración, que hemos pasado de una situación normativa caracterizada de manera principal, por una hiper regulación, en el sentido de que todo o la mayor parte de las relaciones jurídicas al efecto, se encontraban previstas legalmente en esta materia, o al menos así se trataba de interpretar, a una nueva situación, caracterizada esta vez, por la posibilidad de que tanto el responsable del tratamiento, como los encargados del mismo tengan una mayor autonomía a la hora de sentar las bases, en el modo y en la forma que desean llevar a cabo la organización de los tratamientos de datos de carácter personal bajo su responsabilidad.

Un ejemplo muy singular de esta manifestación se encuentra en las medidas técnicas y las de carácter organizativas de los tratamientos, que ha de llevar a cabo e implementar el responsable de los mismos.

En este momento existe libertad absoluta para su adopción, lo que implica la búsqueda de aquellas medidas que puedan proporcionar de manera específica una mayor seguridad, pero al mismo tiempo, que dichas medidas sean lo más económicas posibles, y si puede ser, incluso con un sustancial ahorro de costes.

Del mismo modo, se hace preciso tener en consideración, que con la aplicación efectiva del nuevo Reglamento General no sólo cobra especial importancia el cumplimiento de la normativa, que entre otras manifestaciones se materializa en la pro actividad a la que hemos hecho referencia, sino también en la acreditación del cumplimiento que se ha llevado a cabo, el cual se concreta en la justificación de las actuaciones que se han acometido, las decisiones que se han tomado al respecto.

En este sentido, hay que prestar una especial atención a la actividad desarrollada en pro del cumplimiento en esta materia.

En la mayoría de los operadores jurídicos, la misma alcanza al cabo del año un volumen muy notable, la cual se encuentra en consonancia directa con la voluntad del responsable de desarrollar dicho tratamiento conciliándolo con el derecho que asiste a cada uno de los titulares de los datos.


Prueba de la actividad desplegada por el responsable

Cobra, en su consecuencia, ahora, una especial sustantividad la prueba de la actividad desplegada por el responsable. Por eso debe hacerse especial hincapié, y exigir a los responsables y consecuentemente con ello, a los DPO las medidas que están adoptando para justificar la labor acometida.

Buscando un símil, cuando se hace referencia a Big Data, algún autor ha citado como ejemplo, los llamados “desechos digitales”.

Cuando compramos una entrada de un concierto, de un partido de futbol, muchas veces el consumidor lo hace de manera compulsiva ante la saturación de las líneas de comunicación, esos datos que aparentemente carecen de valor, bien tratados, proporcionan mucha información acerca de la voluntad de determinado consumidor de participar como espectador en determinado evento.

Trasladado dicho ejemplo a la actividad cotidiana en el tratamiento de datos de carácter personal, se evidencia que muchas son las actuaciones que se acometen, pero de las que no queda constancia alguna, y por tanto, carecen de virtualidad probatoria.

Por ello, parece necesario tomar conciencia de esta situación, y tratar de justificar y acreditar todas y cada una de las tareas realizadas, por nimias que estas sean, pues todas juntas no hacen sino demostrar ante el regulador, ante la autoridad judicial, o ante los consumidores o terceros, la voluntad real de dicho responsable del tratamiento, por llevar a cabo un cumplimiento diligente y ortodoxo de la normativa vigente, evidenciando su actuación activa en pro del respeto a los derechos y libertades fundamentales de las personas afectadas por el uso de sus datos personales.

Complementariamente a ello, ante cualquier conflicto que se pudiera suscitar, el hecho de poder probar un cumplimiento real y eficaz de dicha normativa, llevado a cabo de manera continuada y proyectado en el tiempo, sobre la base de una voluntad y una decisiones marcadamente encaminadas en esta dirección, libera de muchos problemas al responsable del tratamiento, el cual contará con una capacidad de defensa mayor.

Máxime si se tienen en cuenta el volumen que pueden llegar las nuevas sanciones administrativas en materia de privacidad, que pueden alcanzar los 20 millones de euros, o el 4% de la facturación global del año inmediatamente anterior, y entre estas dos cuantías, la que finalmente resulte mayor, si bien es cierto que para su determinación habrá que esperarse primero a la futura Ley Orgánica que desarrolle dicho Reglamento, y posteriormente, a la disposiciones a su vez reglamentarias que complementen esta última.











Más:
Guía del Reglamento General de Protección de Datos para responsables de tratamiento 






No hay comentarios:

Publicar un comentario

DEJA TU COMENTARIO