Hace escasas semanas tuvo lugar un acontecimiento que, según parece, va a marcar un antes y un después en la protección de la Privacidad de los datos personales de los ciudadanos europeos. Hablamos del nuevo Reglamento General de Protección de Datos, aunque al legislador le gusta ponerle nombres más largos, para que quede más solemne. Así, se trata del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
El citado texto normativo, al tratarse de un Reglamento, es de aplicación directa a los Estados Miembros de la UE, no así la también reciente (del mismo día) Directiva sobre el tratamiento de datos relativos a cuestiones penales por las autoridades competentes, que necesitará de transposición nacional. Ahora bien, a lo largo del cuerpo del nuevo Reglamento, en torno a la mitad del articulado deja la puerta abierta a que los EE.MM. regulen ciertas materias, eso sí, respetando el principio de lealtad comunitaria. En cualquier caso, dado que en nuestro país disponemos de un Reglamento de Medidas de Seguridad, el shock será menor que en otros estados europeos, aunque hoy mismo, en el marco del IV Congreso Nacional de privacidad APEP, tanto la directora de la AEPD como la subsecretaria de Estado de Justicia y el Ministro de Justicia han planteado la inminente reforma de nuestra actual LOPD pues, tal como dicen, el nuevo RGDP es “una norma con cuerpo de reglamento y alma de directiva“.
Entre las principales novedades de esta normativa unificadora se encuentran las siguientes: la “nueva” figura del Delegado de Protección de Datos (DPO), que explicaremos más adelante; el Privacy by design, referido a adelantar la protección desde el diseño de los nuevos aparatos electrónicos, en lugar de a posteriori, una vez en manos del usuario; el derecho al olvido, cuestión nacida del pleito ganado a Google en 2014 para impedir la indexación de contenido obsoleto e innecesario; la obligación de notificar una violación de seguridad en 72 horas al órgano de control, o si es de alto riesgo, al interesado; el nuevo consentimiento, ahora “inequívoco y afirmativo”; la ventanilla única (One Stop Shop), mediante la cual las empresas europeas internacionalizadas podrán dirigirse tanto a la AEPD como a la oficina del país en que operen; la evaluación de impacto (PIA), que consiste en un análisis de riesgos cuando se prevea que un concreto tratamiento pueda entrañar un “alto riesgo para los derechos y libertades de las personas físicas”; la seudonimización para el tratamiento de datos personales, de forma que no se puedan relacionar con los afectados a los que se refieren; el derecho a la portabilidad de datos; la transparencia de la información; la exigencia de accountability o responsabilidad proactiva de las empresas en el tratamiento de datos para demostrar que están cumpliendo correctamente la normativa; y, por si fuera poco, el incremento descomunal de las multas con respecto a lo que nuestra LOPD dispone, pasando de un máximo actual de 600.000 € a la mayor cifra de entre 20 millones de € o el 4% de la facturación empresarial global.
En términos generales, la normativa que viene tiene como objetivo primordial el aseguramiento de la efectiva aplicación de las medidas de seguridad necesarias para preservar la privacidad de los datos personales de los europeos, no siendo ya suficientes los parches que consuetudinariamente se han ido poniendo a las deficiencias de privacidad existentes en el día a día de la operativa empresarial. Según parece, ya no valdrá actuar de cara a la galería inscribiendo algunos ficheros o disponiendo de un documento de seguridad lleno de polvo en el cajón que sirva de cortafuegos ante la desagradable visita de un inspector de la AEPD, sino que se impondrán los seguimientos periódicos para la comprobación de que aquello acordado en el documento de seguridad está completamente integrado en la rutina diaria. Asimismo, se deberá llevar un registro interno y por escrito de las actividades de la empresa que impliquen tratamiento de datos, todo ello en el marco de la introducción del concepto de responsabilidad proactiva empresarial.
Por una parte, podría ser comprensible la dificultad que encuentra el gerente de una sociedad mercantil a la hora de implementar medidas que, de alguna manera, torpedean el funcionamiento habitual de la misma, pues es más cómodo que todos los empleados puedan acceder a todo tipo de documentos y que éstos se encuentren lo más accesibles posible. Pero he aquí que nuestra Carta Magna, en su artículo 18, consagra el derecho fundamental a la intimidad y privacidad de las personas físicas. Algo debió de ver el legislador cuando lo integró en el título de los derechos fundamentales. Además, dado el veloz e imparable incremento que ha experimentado la World Wide Web en los últimos años y teniendo en cuenta que ya todo está conectado, el flujo de información es constante e ilimitado. ¿Y qué relevancia tiene eso? Más de lo que parece, porque como dijo aquél, la información es poder, y el poder es dinero, y viceversa.
Entiendo que no es esa la única vertiente del derecho a la privacidad, ya que éste se basa en primer término en la sensación de libertad que otorga el hecho de que cada uno pueda elegir quién conoce los entresijos de su vida privada. Por su parte, lo anterior tiene otra lectura: si alguien tiene acceso a tu información personal, sabrá cómo eres y qué te interesa, por lo cual serás predecible. No se trata de psicoanálisis, sino de marketing. Es más, aun a riesgo de incurrir de alguna forma en divagación, no es baladí el que actualmente ya está científicamente demostrado que lo que decimos o escribimos no necesariamente es lo que deseamos. Me explico: sólo el 15 % de las decisiones son conscientes, pues el 85 % forma parte de nuestro subconsciente, razón por la cual en los últimos años el marketing ha ido dejando paso al neuromarketing, toda vez que no acabamos consumiendo aquello que razonadamente es bueno, sino aquello que nuestro cerebro, a través de la activación de unas concretas zonas y no otras, considera relevante. Así, los medidores biométricos han resultado ser mejores "bolas de cristal" que las tradicionales encuestas personales.
Volviendo a nuestro tema, quisiera destacar la figura del DPO (Data Protection Officer) que, como indicaba anteriormente, no es algo tan novedoso como pudiera parecer, puesto que en países como Alemania existe el “Bundesbeauftragten für den Datenschutz” desde 1977, lo cual bien pudo ser la razón de su inclusión en la extinta Directiva europea del 95 que ahora pasa a mejor vida. No olvidemos quién manda en la UE. Así, el nuevo RGPD también evita restringir la definición de DPO, aunque deja meridianamente claro el perfil jurídico que requiere a través de los artículos 37.5 y 39 de su cuerpo normativo. Y es que no olvidemos que está en juego la protección de un derecho fundamental, así que habrá que tomárselo en serio de una vez por todas.
En este sentido, es relevante resaltar el hecho de que no siempre será necesaria la figura del DPO, sólo cuando las principales actividades del responsable de fichero o tratamiento involucren datos especialmente protegidos (ahora también lo son los genéticos y biométricos), se requiera seguimiento continuado de los interesados o el tratamiento sea masivo, a gran escala. Con su permiso, pese a lo anodino de la redacción, me van a permitir extractar el artículo 39 del nuevo RGPD, que dispone que las funciones del DPO serán las siguientes:
“a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros; b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes; c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35; d) cooperar con la autoridad de control; e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.”
Resumiendo tan plomiza parrafada, podríamos decir que este profesional de la protección de datos tiene como cometido principal la orientación seria a las empresas e instituciones que traten datos, otorgando un asesoramiento de primer nivel a la hora de aconsejar en el cumplimiento, monitorizar el mismo, desarrollar las evaluaciones de impacto, relacionarse con la AEPD, o atender a los afectados.
En conclusión, la aprobación del nuevo RGPD nos da un toque a los EE.MM. para hacernos ver que la protección de la privacidad de los datos personales es algo que, dada su creciente implicación en todo tipo de nuevas tecnologías, es necesario saber gestionar. Así, las asesorías en esta materia deberán ser más profesionales de lo que hasta ahora hemos visto en no pocos casos, de ahí la introducción del archicitado DPO, esto es, no vale el simple amago, hay que retratarse y demostrar nuestra ética empresarial y que somos buenos y honrados ciudadanos.
Cecilio Criado Ruz
