Cargando. Por favor, espere

El RGPD exigirá a las organizaciones encontrarse en 'perfecto estado de revista' en cuanto a la protección de datos

  • 26-4-2018 | Wolters Kluwer
  • Europa se está tomando muy en serio la protección de datos, adoptando para ello un modelo regulatorio cercano al anglosajón, que deja al responsable libertad a la hora de adoptar las medidas necesarias para cumplir la normativa a la vez que le exige estar en condiciones de demostrar que lo hace y que respeta el amplio catálogo de derechos que el Reglamento reconoce a los ciudadanos.

Carlos B Fernández. Europa se está tomando muy en serio la protección de datos, pero al hacerlo ha optado por la adopción de un modelo regulatorio muy cercano al anglosajón y alejado de la tradición continental, representada por los sistemas francés y español.

Esto significa alejarse de un sistema formalista, fijado desde la norma, a otro en el que el responsable goza de mayor libertad para adoptar las medidas que considere necesarias para cumplir el Reglamento. Libertad que se combina, a la vez, con la obligación de poder demostrar en todo momento que se encuentra “en perfecto estado de revista” en cuanto a dicho cumplimiento, so pena de enfrentarse a un régimen sancionador de gran dureza.

Así lo explicó Pablo García Mexía, abogado experto en Derecho digital y of counsel de Ashurst, en un desayuno organizado por Genetsis Solutions en Madrid.

En el mismo García Mexía recordó de entrada que entre los principales riesgos que, según la CEOE, se asocian a las tecnologías de la información y las comunicaciones, se encuentran la privacidad y la ciberseguridad. Ambas son dos caras de la misma moneda, pues no puede haber privacidad sin ciberseguridad y esta, sin la primera, pierde buena parte de su sentido. Por ello destacó la importancia de la Directiva NIS sobre seguridad de las redes y sistemas de información que ha pasado un tanto desapercibida ante la importancia del RGPD, pero que va a ser de gran trascendencia para los operadores de servicios de comunicaciones, a los que impone todo un conjunto de obligaciones en materia de organización interna y de información sobre brechas de seguridad.

El problema de que no llegue a tiempo la LOPD (LA LEY 4633/1999)

Entendida la privacidad, en su acepción más simple, como el derecho “a ser dejado en paz” (the right to be let alone) según la clásica definición de Warren y Brandeis de 1890, en la actualidad este derecho se encuentra regulado según tres modelos bien diferenciados. Para el norteamericano, su fundamento son el Common Law y las regulaciones sectoriales específicas. El europeo, que es el predominante, se basa en una regulación exhaustiva de la materia por medio de completos textos normativos (como es el caso del RGPD). Este modelo es el que se sigue también por países como Corea y Japón en Asia, y por México, Brasil y Argentina en América del Sur. Finalmente, existe un modelo que intenta combinar ambos modelos, que es el seguido por países tan relevantes como China o la India.

Pero el Reglamento europeo presenta otro rasgo diferenciador más. Además de establecer la regulación jurídica general de la figura, deja un amplio margen a los Estados miembros para precisar a nivel nacional diferentes aspectos de su contenido.

En nuestro país esa regulación se quiere establecer mediante una ley orgánica presentado por el Gobierno en noviembre de 2017, pero cuyo estado de tramitación corre muy lento. Y esto puede provocar muy graves problemas si el próximo 25 de mayo no se hubiera aprobado la nueva ley, pues ello obligaría a dejar vigente la actual, cuyo contenido no está adaptado al Reglamento. Algo que supondría un escenario “dantesco” en palabras de García Mexía quien, sin embargo, espera que en ese caso las autoridades de control españolas sean igual de exigentes con los administrados como lo han sido con ellas mismas para evitar esa situación.

Nuevas obligaciones del responsable y nuevos poderes de los titulares de los datos

En su repaso de las principales novedades que introduce el nuevo Reglamento europeo, García Mexía destacó tres: su ámbito universal, el principio de responsabilidad proactiva y la atribución de nuevos derechos a los titulares de los datos.

A este respecto recalcó en primer lugar que el ámbito de aplicación del Reglamento es universal. Si una empresa responsable del tratamiento se encuentra en la Unión Europea, está obligada en todo caso a someterse a sus disposiciones. Y si no cuenta con establecimiento en la Unión pero trata datos de ciudadanos europeos, también deberá hacerlo así. Sin embargo, y curiosamente, anonimizar los datos elimina cualquier problema en la práctica, pues el dato anónimo no es personal y por ello su tratamiento queda fuera del ámbito del Reglamenteo.

La responsabilidad proactiva, por su parte, significa que, como apuntamos al principio, en materia de protección de datos se ha impuesto un modelo característico de países como Estados Unidos o Alemania. En este, la regulación normativa minuciosa ha sido sustituida por un conjunto de grandes principios que las organizaciones deben cumplir, pero sin ceñirse a unas pautas cerradas en cuanto a la ordenación de los medios precisos para ello. Así, la obligación de registrar ficheros (que era el arquetipo de la protección de datos con la todavía vigente LOPD de 1999 (LA LEY 4633/1999)), ha sido sustituida por un registro de operaciones de tratamiento que debe reflejar el conjunto de la actividad tendente a la protección de datos personales realizado por la empresa.

Finalmente, el Reglamento atribuye a los titulares de los datos un amplio poder para gestionar, autorizar o limitar el uso que se haga de los mismos. Ello es consecuencia de la preocupación de la Unión por el alcance de la ultradigitalización en la que vivimos y que se encuentra regida por un extraño nuevo principio que podríamos denominar “internet por defecto”.

Para limitar o paliar esos efectos, la norma europea faculta a los ciudadanos titulares de los datos para ejercer como genuinos dueños de los mismos. Para ello aumenta las obligaciones de información y transparencia de los responsables del tratamiento y refuerza los requisitos para la validez del consentimiento del interesado, que ahora ha de quedar fuera de toda duda.

Este consentimiento no es el único título habilitante para el tratamiento de los datos, pues, como señala el Reglamento, también cabe acudir al principio del interés legítimo, que permite una amplia libertad de actuación, pero que también exige sopesar los intereses de la empresa con los del titular de los datos y demostrar que se ha realizado el análisis oportuno. Algo que va a requerir atención y cuidado.

Además se introducen nuevos derechos como el del olvido; oposición a la elaboración de perfiles automatizados y portabilidad, que significa la posibilidad de impedir que un titular de datos sea perseguido a través de Internet. 

Todo esto significa que los órganos directivos de las empresas van a tener que estar completamente involucrados en la protección de datos, para que la organización disponga de un sistema eficaz y demostrable de gestión de los mismos.

¿Cuánto valen mis datos?

Finalmente Pablo García Mexía hizo referencia a la existencia de un posible derecho patrimonial del interesado sobre sus datos. Un tema que el Reglamento no contempla pero que algunos autores están empezando a considerar. Se basan para ello en el hecho de que muchas compañías tecnológicas disfrutan de un altísimo valor económico, gracias principalmente al enorme volumen de los ciudadanos que manejan y que en la mayoría de casos adquieren gratuitamente.

Según los seguidores de esta línea argumental, no parecería disparatado que al menos parte de ese valor revertiera en los titulares de esos datos en forma de un patrimonio digital del que pudiesen disponer, incluso por via de herencia, como ya se ha regulado en Cataluña.

Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioWolters Kluwer no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar

Últimos tweets

NÚMEROS DISPONIBLES

Scroll