Comprender lo básico en 4 claves
Es posible que, debido a la entrada en vigor de la nueva normativa en materia de Protección de Datos, haya Ud recibido durante las últimas semanas multitud de información y correos relativos a la protección de datos de carácter personal; lo que sin duda puede generarle incertidumbre y hasta desasosiego.
Pues bien, me he propuesto en este artículo aportar claridad en dicha materia y trasladarle las claves fundamentales que debe Ud., como empresario, saber sobre esta materia ciertamente farragosa.
En primer lugar el pasado 25 de mayo de 2018 entró en vigor la plena aplicación del nuevo Reglamento Europeo del Parlamento y del Consejo en materia de protección de datos de carácter personal (R.P.D.). Por ello, si Ud. capta, almacena, gestiona o realiza cualquier otra operación de tratamiento de datos de carácter personal de personas físicas, deberá ajustarse al citado Reglamento P.D.
Clave 1: ¿Qué es un “dato personal”?
Es toda información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo, concerniente a persona física identificada o identificable, entendiéndose por “identificable” toda persona cuya identidad pueda determinarse directa o indirectamente mediante un identificador, que puede ser un número o un dato (un número de socio, de abonado, etc.).
Como ejemplos de datos de carácter personal, le indicamos los siguientes: DNI, nombre y apellidos, número de socio, de suscriptor, domicilio, imagen, cuenta corriente, geolocalización, etnia, incluso el correo electrónico, siempre que éste permita identificar al titular del mismo. Así, si el correo fuera info@clinicapzys.es, el dato no tiene protección en esta normativa. Pero si el correo fuera manuela.perez.delfis@clinicapzys.es entonces sí nos hallamos ante un dato personal protegido.
Clave 2: ¿Qué datos se protegen?
Este régimen de protección de datos sólo resulta de aplicación a los ficheros de las personas físicas. Éstos son los sujetos protegidos, y no de las personas jurídicas ni tampoco de los empresarios individuales cuando hagan referencia a ellos en su calidad de comerciantes. Igualmente, no es de aplicación a los ficheros de datos que tengan las personas físicas en el ámbito de actividades personales domésticas, como pueden ser son las redes sociales, blogs, etc.
Resaltamos que ciertos datos revisten una mayor y muy especial protección, como por ejemplo los relativos al origen étnico, la salud, la sexualidad, los datos genéticos, la afiliación sindical, las convicciones religiosas o filosóficas, etc. 1
¿Los datos del personal laboral se incluyen en la protección de la norma? Sí. Y se somete al Reglamento.
Sin embargo, no son los datos personales en general lo que se quiere proteger en el nuevo Reglamento, sino sólo los que son sometidos a tratamiento cuando éstos pertenezcan a personas físicas. De ahí la tercera clave que expresamos a continuación.
Clave 3: ¿Qué es el “tratamiento” de datos?
Es cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjunto de ellos, como por ejemplo, la recogida, captación, registro, organización, conservación, consulta, difusión, o cualquier otra forma de acceso, cotejo, estructuración, etc.
¿Tener un programa o una hoja de cálculo con los datos de los clientes es “tratamiento de datos”? Sí. ¿Y tener en un cajón o armario esos datos? También es un tratamiento de datos.
Si tengo un negocio o comercio que no maneja ni realiza tratamiento de dato alguno, ¿qué he de hacer? Si no realiza tratamiento de datos, ni siquiera del personal contratado, sólo estará sujeto a la norma cuando capte, registre y trate datos personales.
Si realizo tratamiento de datos personales de los que ya tengo su consentimiento, ¿tengo que recabar un nuevo consentimiento?
Sí. Es muy recomendable, pues el consentimiento no es válido si no está adaptado al nuevo RPD.
Clave 4: Principales novedades que introduce el nuevo RPD
- El consentimiento del titular de los datos. Lo importante en el nuevo RGP a este respecto es si el tratamiento de los datos es lícito o no (principio de “Licitud” 2). Y será “lícito” cuando el tratamiento está basado en el consentimiento expreso del titular (con el contenido e información que obliga el RGP) o bien en otra base legítima que, por Ley, no precise el consentimiento del titular.
Resultan novedosas en el RGP dos cuestiones: (i) se elimina el consentimiento tácito; (ii) el consentimiento debe abarcar expresamente todas las finalidades para las que se pide, es decir, el consentimiento para un tratamiento de datos determinado no ampara el uso posterior para finalidades comerciales. Esta finalidad debe ser igualmente consentida.
Resaltar en este apartado que no es necesario recabar el consentimiento cuando el tratamiento es necesario para la ejecución de un contrato en el que el interesado en parte o para la aplicación, a petición de éste, para relaciones precontractuales.
- La obligación de comunicar a la Agencia de Protección de Datos los ficheros. Hasta ahora, existía la obligación de comunicar a la APD los ficheros que eran objeto de tratamiento. Pero desde el 25 de mayo de 2018 ya no es obligatorio, sino que tal Registro se realizará internamente por cada responsable del tratamiento.
- La figura del Delegado de Protección de Datos (DPD / DPO). En el Sector Privado, el DPO es sólo obligatorio para empresas que realicen tratamientos “a gran escala” o de ciertos datos de contenido de especial protección.
El D.P.O. es quien, entre otras funciones debe supervisar el cumplimiento de la normativa en materia de Protección de Datos Personales y, en su caso, gestionar las consultas de las personas que se pongan en contacto con él en relación a sus datos. No tiene por qué ser abogado pero sí, indudablemente, debe tener conocimientos especializados en esta materia, ya que tendrá una especial posición de responsabilidad personal. Podrá ser externo o interno.
- Ampliación de derechos de los titulares. Se los derechos de los afectados, lo que obligará ponernos al día en la información de los mismos. A los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), se le unen, entre otros, los siguientes:
- Derecho de limitación de tratamiento, se caracteriza por la posibilidad de suspender el tratamiento de los datos en determinados supuestos que establece el Reglamento.
- Derecho de supresión (“Derecho al olvido”), se caracteriza por la posibilidad de solicitar la supresión de los datos personales del interesado sin dilación siempre y cuando se reúnan los requisitos establecidos
- Derecho a la portabilidad de datos, se caracteriza por la posibilidad de solicitar al responsable del tratamiento que se le faciliten los datos personales en un formato estructurado y claro a otro responsable.
- Violaciones de la seguridad de los datos personales. Obligación de comunicar las violaciones sufridas en el sistema de seguridad en un plazo de 72 horas a la Agencia Española de Protección de Datos, y en casos graves, a los propios afectados.
- Si Ud encarga un determinado tratamiento a un tercero colaborador, deben ambos firmar un contrato especial con el nuevo contenido que obliga el Reglamento.
- Responsabilidad proactiva en el tratamiento de datos personales, implica que el responsable del tratamiento tiene que aplicar medidas técnicas y organizativas adecuadas para cumplir y acreditar el cumplimiento de la normativa aplicable sobre protección de datos de carácter personal.
- Privacidad por Diseño. Es decir, el marcaje de opciones por el interesado debe ser restrictiva, sin que haya opciones por defecto o previamente marcadas que no sean necesarias para la finalidad específica que se solicita (como pue-den ser los fines comerciales o la cesión de los datos a terceros).
- Se establecen multas de hasta 20.000.000 € o 4% del volumen de negocio global del último año en caso de incumplimiento.
El Reglamento es tedioso y de compleja comprensión. Así que espero haber despejado las dudas más acuciantes que a todos nos suscita esta norma, que desde luego –ya que nos amenazan con tan graves sanciones–ya podría haber sido redactada de forma más sencilla y directa. ●