El pasado 25 de mayo de 2018 ha entrado en vigor el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD), que se aplica directamente en todos los Estados miembros de la Unión Europea.
La Unión Europea ha elegido la aplicación directa de la norma para garantizar la unificación de la protección de los datos personales en todo su territorio, apostando por una regulación con vocación de permanencia que se vaya adaptando progresivamente a la rápida evolución tecnológica y a la globalización.
A partir de lo regulado por el RGPD, las legislaciones nacionales pueden seguir vigentes en todo lo que no contradigan a dicha normativa. No obstante, la norma europea anima a los Estados a adaptar su articulado a sus propias realidades en determinadas materias. Con este panorama, en aras a la seguridad jurídica lo más conveniente sería aprobar una legislación nacional donde se introdujesen las modificaciones contenidas en la norma europea y las matizaciones posibles.
En cualquier caso, este nuevo acerbo legislativo se impone a una sociedad en la cual la ciudadanía expone con facilidad sus datos personales en las redes sociales de forma voluntaria. Lo cual plantea el siguiente interrogante: ¿qué implicaciones va a tener esta nueva regulación que trata de garantizar la privacidad en la era digital? Dicho en otros términos, ¿no resulta un poco sorprendente esta dicotomía en la que la privacidad y la publicidad se entremezcla?
Este nuevo acerbo legislativo se impone a una sociedad en la cual la ciudadanía expone con facilidad sus datos personales en las redes sociales de forma voluntaria
La primera advertencia que hay que hacer es que el RGPD no rompe con todo el desarrollo anterior de la protección europea de los datos personales. Se arrastran muchos elementos y principios que ya estaban aplicándose. De forma sumaria, las grandes modificaciones incluidas son la forma de concesión del consentimiento del tratamiento de los datos personales, que pasa a ser expreso en todas las circunstancias; la inclusión del principio de proactividad en las políticas de protección de datos y la creación de una nueva figura como es el Delegado de Protección de Datos.
Así, el concepto de dato personal protegible se mantiene. Se entiende como "toda información sobre una persona física identificada o identificable". No obstante, el RGPD inicia ya la actualización de esta noción, incluyendo expresamente nuevas formas de identificación, tales como la fisiológica y genética, yendo más allá de los modelos más clásicos.
Desde el análisis de los grandes principios aplicables, se puede obtener una visión panorámica de las novedades del RGPD. En primer lugar, se encuentra el principio de licitud del tratamiento. Todo tratamiento tiene que tener una base lícita para desarrollarse que, en principio, es el consentimiento del interesado, pero que también, entre otros, puede ser la ley (por ejemplo, el tratamiento de los datos personales por la Agencia Tributaria para el cobro de los tributos) o el contrato entre las partes (por ejemplo, el tratamiento de los datos personales de los trabajadores por el empresario en el desarrollo de las relaciones laborales). Por otra parte, conforme a lo ya manifestado anteriormente, tampoco es preciso el consentimiento en el supuesto que los datos personales que el propio interesado haya hechos públicos, por ejemplo, en las redes sociales. Pero, cuando el fundamento de la licitud sea el consentimiento, este debe ser expreso, claro y libre. Por lo tanto, ya no son válidos los consentimientos tácitos. Además, debe ser tan fácil darlo como cancelarlo. Un elemento que complementa a la licitud es que el tratamiento siempre tiene que realizarse para una finalidad/des concreta/s. De esta forma cuando se consiente, debe ser siempre con una finalidad limitada y no de forma general.
Con independencia de que sea preciso o no el consentimiento, o su licitud venga apoyada en otro elemento, de acuerdo con el principio de trasparencia, será preciso siempre informar sobre el tratamiento de dichos datos a los interesados. Dicha información tendrá que ser concisa, accesible y entendible, por lo que habrá que emplear un lenguaje claro y sencillo, lo que debe valorarse especialmente en situaciones de complejidad tecnológica. Esta información facilita la puesta en marcha de otro principio, como es el de la exactitud de los datos, vinculado al derecho de rectificación, que es más fácil de garantizar con una correcta información.
Otros principios aplicables son el de la minimización del dato y la limitación de la conservación de los datos recogidos. Así, solo se tratarán los datos necesarios, y una vez perdida la finalidad para la que se realizó el tratamiento, en principio, se cancelarán. Se busca limitar, en la mayor medida posible, la manipulación de datos personales, evitando posibles brechas de seguridad. Asimismo, se mantiene el principio de la integridad y confidencialidad de los responsables y encargados del tratamiento.
No obstante, la gran novedad es el principio de la responsabilidad proactiva. Ahora es preciso que los responsables del tratamiento prevean sus acciones a través del diseño de políticas donde deben establecer cómo van a manejar los datos personales tratados desde el análisis del riesgo. Tendrán que evaluar los riesgos del tratamiento, y establecer medidas de seguridad que eviten posibles brechas. Además, las acciones determinadas no serán estáticas, sino que se irán modificándose continuamente de acuerdo con la propia evolución de los tratamientos de los datos, que estará muy vinculada a la transformación tecnológica. En todo caso, es importante tener en cuenta que la puesta en marcha de buenas políticas activas pueden ser un buen elemento para fidelizar clientes. De hecho, el propio RGPD apuesta por la creación de sellos de calidad en esta materia.
Para finalizar hay que hacer una breve referencia a la nueva figura del Delegado de Protección de Datos. Se trata de un experto en la materia desde dos puntos de vista: el legal y el tecnológico. Siempre será un agente independiente de la organización que le contrate y actuará como enlace con la Agencia de Protección de Datos. En todo caso, no es obligatorio su nombramiento, sino solo para aquellas entidades que tratan datos de categorías especiales o/y un número ingente de datos personales, dado que precisarán de un especial asesoramiento en este contexto a los efectos de cumplir adecuadamente la normativa aplicable. Así, en general, su contratación será precisa únicamente en las empresas grandes o en aquellas que por su actividad afecten a datos de categorías especiales.
En definitiva, aquellas organizaciones que ya tenían puesta en marcha políticas de protección de datos personales de acuerdo con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, solo tendrán que adaptarse a las nuevas consignas del RGPD, y no tanto modificar todo lo hecho hasta ahora. Así, tendrán que continuar con sus acciones en la materia, pero esta vez desde un puesto de vista activo y desde el análisis del riesgo, solicitando el consentimiento de los interesados de forma expresa, dando un correcto contenido al derecho de información y, en su caso, contratando un Delegado de Protección de Datos, cuando su actividad lo requiera. Todo esto mientras se espera a que se regule una nueva legislación nacional en la materia que aclare la puesta en marcha de la regulación europea.
