Las nuevas responsabilidades en los tratamientos de datos personales
El Reglamento General para la Protección de Datos Personales (Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, en adelante “el Reglamento”) tiene como objetivo establecer un punto de inflexión en varios aspectos de la protección de datos en la Unión Europea, entre los cuales destaca la responsabilidad de las empresas que realizan tratamientos de datos personales, ya sea en calidad de responsables o de encargados.
Ese punto de inflexión se articula en torno a varios ejes, como son el principio de responsabilidad proactiva, la privacidad desde el diseño y por defecto, el principio de minimización de datos, la modificación de las funciones y competencias de las Autoridades de Protección de Datos, la elevación de los importes de las sanciones que éstas pueden imponer por los incumplimientos, entre otros.
Para explicarnos un poco, el anterior sistema europeo de protección de datos se configuraba en la Directiva 95/46 que, como Directiva, sólo establecía la obligación, para los Estados miembros, de transponer su contenido fielmente a través de una norma jurídica interna. En principio, no podía ser directamente aplicada en los territorios de los Estados miembros, ni por las autoridades ni por los particulares. Esta directiva se transpuso al derecho interno español mediante la Ley Orgánica 15/99, de Protección de Datos Personales (en adelante, “LOPD”), normativa actualmente vigente en nuestro país, que deberá ser modificada cuanto antes a fin de adaptarse al Reglamento.
En cambio, el Reglamento tiene aplicación directa en el territorio de los Estados miembros, incorporándose a su derecho interno sin necesidad de ningún otro acto jurídico que lo transponga. Es decir que también es derecho vigente en España, las autoridades pueden exigir a los particulares el cumplimiento de obligaciones establecidas en el Reglamento y éstos pueden invocar su contenido para fundamentar sus derechos y reclamaciones, sin necesidad de que haya ninguna norma interna que transponga su contenido. No obstante, no será aplicable (es decir, no se exigirá su cumplimiento) hasta el 25 de mayo de 2018.
A primera vista, uno podría pensar que la exigibilidad del Reglamento se producirá en un momento muy lejano y que las empresas tienen tiempo suficiente para adecuarse a sus disposiciones. Sin embargo, si lo analizamos desde la perspectiva de las responsabilidades y obligaciones que el Reglamento pone a cargo de las entidades que realicen tratamientos de datos personales, la cosa cambia y ese período de tiempo se presenta muy ajustado.
Es que, en relación con las responsabilidades y obligaciones de responsables y encargados, hay una gran diferencia entre las disposiciones de la LOPD y las del Reglamento. En la primera basta con respetar los principios aplicables a los tratamientos y cumplir con las obligaciones que permiten en cierto sentido “descargar” la responsabilidad: Registrar los ficheros de datos personales ante la Agencia Española de Protección de Datos, solicitar las autorizaciones cuando son preceptivas y entregar el documento de seguridad (obligación que surge del Real Decreto 1720/2007, de 21 de diciembre, que reglamenta la LOPD).
El Reglamento, por su parte, no contiene ninguna actividad mediante la cual responsables o encargados puedan “descargar” responsabilidad; muy por el contrario, en virtud del principio de responsabilidad proactiva, el respeto de los principios de los tratamientos de datos y el cumplimiento de las obligaciones que el Reglamento pone a cargo de las empresas que realicen tratamientos implicarán la participación activa de éstas en la protección de los datos personales, que deberá preceptivamente ocupar una posición determinada en la organización de la entidad.
Pongamos como ejemplo las medidas de seguridad, que no se clasifican en distintos niveles (lo que facilita su determinación y cumplimiento) sino que será el propio responsable quien deberá realizar una autoevaluación del nivel de riesgo y de las medidas necesarias según las circunstancias de los tratamientos que realice; o la prueba de un incumplimiento, que no estará a cargo de quien lo alega sino a cargo del empresario; o los registros, que no serán sólo de los ficheros sino de todas las actividades de tratamiento y deberán ser llevados por el responsable y no por la autoridad de protección.
Y así podríamos continuar mencionando diferencias en lo atinente a los principios aplicables a los tratamientos, a los datos especialmente protegidos, al consentimiento del interesado, las relaciones entre los responsables y las autoridades de protección de datos, los derechos de los interesados y otros temas más, entre los cuales está incluso la posición que ocupan las actividades de protección de los datos personales con respecto al conjunto de actividades de la empresa.
Por otra parte, el incumplimiento de las obligaciones que el Reglamento pone a cargo de los responsables y encargados puede suponer sanciones de hasta 20.000.000 € o el 4% del volumen de negocios global del ejercicio anterior (la suma que resulte mayor) y para su determinación se tendrá en cuenta, entre otros factores, el cumplimiento del conjunto de las disposiciones del Reglamento y no sólo de uno o dos aspectos concretos del mismo.
En resumen, el tiempo corre y vale la pena comenzar a asesorarnos sobre los cambios a incorporar en nuestra empresa para prevenir y evitar gastos mayores.
Escrito por Carolina Reyes, Abogada en Adarve Abogados