Por Pedro MARTIN MOLINA
Martín Molina abogados y economistas

Con la futura entrada en vigor del Reglamento de la UE el próximo 25 de mayo de 2018  cambia radicalmente la concepción de la privacidad y, en consecuencia, modifica  las obligaciones que hasta ahora tenían las organizaciones en relación al tratamiento de la información de carácter personal. El Nuevo Reglamento estará presente en todas las empresas y son muchas las dudas y las consultas que se realizan sobre el mismo. Resulta de interés contar una guía básica de los aspectos más relevantes.

1º.- Determinar con claridad los flujos de datos de la sociedad. Se requiere una revisión de los procesos de protección de los datos; determinar, no sólo las personas capacitadas para la utilización de los datos, sino las que tienen acceso a los mismos dentro de la organización de la empresa. Hay que evitar el impacto que podría suponer para la compañía si desaparecieran, se robaran o se utilizasen incorrectamente los datos.

2º.- Documentar e identificar la base legal de los tratamientos de datos.  El interés real de este nuevo Reglamento consiste en la redacción de contratos que permita tener a la empresa los datos, así como un consentimiento expreso de aquél a quien pertenece esos datos. No existe un cambio sustancial respecto a la actual Ley Orgánica de Protección de Datos.

3º.-  Revisar los consentimientos ya obtenidos. Con el nuevo Reglamento solo van a tener legitimación suficiente los tratamientos de datos basados en el consentimiento inequívoco, con independencia del momento en el que se haya obtenido.

4º.- Adaptar el derecho de información. Tanto las condiciones del tratamiento de los datos como la respuesta al ejercicio de los derechos de los interesados deben ser informados de forma transparente, inteligible y de fácil acceso con un lenguaje claro y sencillo, dentro del marco de la obligación de proporcionar la adecuada información legal

5º.- Realizar una evaluación de impacto. El tratamiento de los datos se ha convertido en una materia de alto riesgo. Es por ello que cuando se efectúe la misma, se realice de forma correcta, sin equivocaciones y con controles de evaluación.

6º.- Nombrar a una persona como delegado de protección de datos. Ante la incertidumbre de la necesariedad de este cargo o no, entendemos que la designación de una persona, que puede ser propia de la plantilla de la empresa, daría confort a la empresa en tanto que alguien supervisaría a través de un test de debida diligencia sobre la materia de la protección de datos.

7º.- Revisar los contratos entre el responsable de los datos y el encargado de su tratamiento. Todos los contratos vigentes tienen la obligación de adaptarse a este Reglamento. Se ha de evitar cualquier tipo de generalidades. Si bien es cierto que tratador de los datos debe estar certificado por una agencia o adherido a un sistema que garantice que trata los datos de una forma correcta y adecuada al contenido del Reglamento, en realidad, en última instancia, el responsable serán los representantes legales de la sociedad

nuevo reglamento de protección de datos
Protección de datos

8º.- Cumplir con los nuevos derechos de los interesados. Además de los tradicionales derechos, se recogen otras clases de derechos tales como el del ejercicio, el de la limitación de tratamiento o el de portabilidad. Resulta crucial para la sociedad que el sistema diseñado permita cumplir con todos ellos en el supuesto que se recibe una reclamación.

9º.- Diseñar un registro de actividades de tratamiento. Como ya no existe la obligación de rellenar y declarar los modelos de ficheros a la Agencia Española de Protección de Datos, se recomienda  a las sociedades que diseñen un registro propio de actividades de tratamiento que permita organizar los nuevos ficheros de datos que se han generado, clasificado por tipos y especificando, entre otras cuestiones, para que se usan o si se han cedido a terceros.

10º.- Establecer medidas de seguridad. Las empresas deben revisar sus medidas de seguridad y sus controles, ya que cuando se aplique el Reglamento, de nada servirá el documento de seguridad existente pues no es objeto de auditoría. El nivel de seguridad no dependerá sólo del tipo de datos sino también de otras variables en base a un análisis de riesgo previo, que hasta ahora no se ha exigido. En consecuencia, las sociedades se forzarán a realizar estudios previos de impacto en la privacidad, cuando se trate implantar nuevas actividades que constituyan riesgo para la protección de datos.

11º.- Notificar las quiebras de seguridad. La realidad que encuentran las compañías es el intrusismo en sus bases de datos y por ello deben hacer una valoración del riesgo de quiebra. Se está preparando un formulario estándar para hacer estas notificaciones a nivel comunitario.

12º.- Proteger los datos de los clientes por diseño o por defecto. Con el Reglamento, los responsables de tratamiento deben adoptar, desde el inicio del mismo, las medidas suficientes para protegerlos. En el caso de que se trate de un nuevo tratamiento que se encuentra en curso, debe contar con un análisis de protección de datos antes de su puesta en funcionamiento. Asimismo, el nivel de protección de los datos, por defecto, debe ser el más alto.

13º.- Demostrar el cumplimiento. Se obliga a las empresas, bajo el principio de accountability, a demostrar el “cumplimiento”, incluyendo en su caso la adopción de políticas internas sobre tratamiento de datos y privacidad y concretos mecanismos de control que aseguren dicho compliance.

14º.- Sancionar por no adopción de las nuevas obligaciones. Uno de los grandes hitos de este Reglamento es la utilización de sanciones sobre las sociedades que no se adapten a las nuevas obligaciones. Se han endurecido las mismas pudiendo llegar hasta los 20 millones de euros o, tratándose de una empresa, el 4 por ciento del volumen del negocio total anual global, optándose por la mayor cuantía.

15º.-  Definir los agentes que participan en los procesos de protección de datos:  (i) El responsable del tratamiento que es la persona física o jurídica, autoridad pública, servicio u otro organismo que en el ejercicio de su actividad trata datos de carácter personal (por ejemplo, Metal, S.R.L.); (ii) el encargado de tratamiento que es la persona física o jurídica, autoridad pública, servicio u otro organismo que en el ejercicio de su actividad trata datos de carácter personal que son responsabilidad del responsable del tratamiento (por ejemplo: Servicios de Datos, S.L., que es la compañía que se encarga del mantenimiento informático de Metal S.R.L.); (iii) el responsable de privacidad que es la persona que trabaja en la empresa y que, aparte de su cargo, también es designada para coordinar todos los aspectos relacionados con la adecuación de las actuaciones de la entidad en materia de protección de datos (Carolina Díaz, gerente de Metal S.R.L.); (iv) el delegado de protección de datos es un profesional con conocimientos especializados de la normativa y práctica en materia de protección de datos (interno o externo), cuyas funciones  son la de ayudar al responsable o al encargado de tratamiento  de manera independiente y que una vez nombrado,  se comunican sus datos a la Agencia Española de Protección de Datos (AEPD).