El Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en lo sucesivo, RGPD), encara ya sus últimos trimestres antes de que sea aplicable en la UE.
Concretamente, a partir del 25 de mayo de 2018, empezará a aplicarse a entidades públicas y privadas un nuevo régimen de protección de datos personales con un régimen mucho más estricto que el actual. Hay que recordar, tal como se reconoce en el art. 8 de la Carta de los Derechos Fundamentales de la UE, que la protección de las personas físicas en relación con el tratamiento de de datos personales es un derecho fundamental, si bien no se trata de un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, tal como se expone en los propios Considerandos del RGPD.
El motivo de elegir por el legislador europeo un Reglamento y no una Directiva es evidente: homogenizar y unificar la normativa sobre protección de datos en personales en todos los países de la UE. El Reglamento, a diferencia de la Directiva, no precisa de transposición por los países miembros y devendrá obligatorio para todos los países de la UE a partir de esa fecha. Si bien, son muchos los expertos que cuestionan que la homogeneidad y uniformidad en los países de la UE llegue a lograrse, ya que casi todos los Estados miembros están elaborando normativa propia, entre ellos España.En este contexto, la Agencia Española de Protección de Datos (AEPD) ha elaborado con la colaboración de las autoridades catalana y vasca de protección de datos, tres nuevas Guías que contienen directrices dirigidas a facilitar el cumplimiento RGPD, esta vez a las pequeñas y medianas empresas (pymes).
Lo cierto es que el RGPD supone, innegablemente, un mayor compromiso por parte de las organizaciones con la protección de datos e implica tanto un nuevo conjunto de nuevas obligaciones para las empresas, como un evidente cambio de enfoque que las organizaciones, en este contexto de necesidad de desarrollo de la economía digital en el mercado interior, van a tener que acometer cuanto antes. Paso a intentar, del modo más sintético posible, desgranar las principales vigas maestras del RGPD:
1) Su estructura formal es la siguiente: 173 Considerandos que son esenciales y que aclaran diferentes aspectos relacionados con el Reglamento. Algunos de esos Considerandos debieran ir en el articulado y se compone, además, de 99 artículos agrupados en 11 Capítulos.
2) El RGPD, sobre todo, implica un nuevo modelo que pasa de la simple gestión de datos al gobierno responsable de los mismos. Lo que implicará para las empresas una nueva mentalidad: ya no se van a inscribir ficheros en la AEPD, sino que la empresa se va a tener que "autocontrolar", bajo el prisma del principio de accountability o responsabilidad activa. Al tiempo, surgen nuevas figuras como Códigos de Conducta, Certificaciones y Sellos. Es un Nuevo modelo, que tal como se desprende del Considerando 171 del RGPD, no se prevé un régimen transitorio. Esto es, toda actividad que implique tratamiento de datos en el seno de la UE, tal como dispone el art. 98 del RGPD, deberá estar plenamente operativa y adaptada por las empresas, bajo este nuevo sistema, el 25 de mayo de 2018, si bien el Considerando 171 da un plazo de dos años para que los tratamientos se ajusten al Reglamento.
3) La nueva figura del Delegado de Protección de Datos (DPO) (arts. 37-39), va a ser una de las bases sobre las que se asienta este nuevo sistema, tendrá que informar y asesorar, supervisar del cumplimiento y de las evaluaciones de cumplimiento así como prestar atención a los riesgos asociados a las operaciones de tratamiento, además de cooperar y ser el punto de contacto con la autoridad de control. Un mismo DPO podrá trabajar para varias empresas.
4) Al tiempo el papel del Responsable de tratamiento es de gran trascendencia: en un plazo de 72 horas debe notificar a la autoridad competente de cualquier violación de la seguridad de los datos personales a la autoridad de control competente que constituya un riesgo para los derechos y libertades para las personas físicas, a menos que el responsable pueda demostrar, atendiendo al principio de responsabilidad proactiva, la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas.
5) De particular interés son los principios relativos al tratamiento y su licitud (arts. 5 y 6). Este último artículo pone fin a los tratamientos automáticos de datos. El responsable del tratamiento debe velar porque los datos sean tratados de manera lícita, leal y transparente.
6) Para que el tratamiento de datos sea lícito, será necesario el consentimiento del interesado, cuya concepción da un giro: el consentimiento tácito deja de ser aplicable y pasa el consentimiento a tener que ser siempre libre, informado, específico e inequívoco y se le debe prestar al titular facilidades para retirar su consentimiento si así lo desea. El llamado consentimiento tácito deja de ser aceptable. Los Considerandos del Reglamento, concretamente el 32, deja claro que "las casillas ya marcadas o la inacción no deben constituir el consentimiento". Además se pretende dar mayores protecciones al menor.
7) Los elementos más innovadores del Reglamento y que se proyectan en todas sus normas son : el principio de responsabilidad proactiva (el responsable del tratamiento debe aplicar medidas técnicas y organizativas apropiadas para garantizar y demostrar que el tratamiento es conforme con el Reglamento); y el enfoque de riesgo (la aplicación de las medidas del RGPD debe hacerse en función del nivel del riesgo que el tratamiento de datos represente para los derechos y libertades de los ciudadanos)
8) Los derechos de los interesados son los siguientes: 1) Transparencia e información; 2) Acceso, Rectificación y Oposición; 3) Supresión/olvido; 4) Limitación y 5) Portabilidad. (arts.12 a 23). Asimismo todo interesado tiene derecho a no ser objeto de una decisión basada en un tratamiento automatizado.
9) Las empresas tienen un fuerte desafío en relación con las cláusulas de sus Contratos, que deberán contener mayor control para los interesados y derechos nuevos como el de la Portabilidad va a tener un impacto sobre las mismas.
10) El Reglamento intensifica la posición de los titulares en sus derechos, lo que implica un aumento en la cuantía de las multas administrativas de 20. 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, tal como se desprende del art.83. Si bien, hace remisiones constantes a las legislaciones nacionales y deja la posibilidad de que cada Estado pueda fijar los plazos de prescripción de infracciones y sanciones. Esto es particularmente delicado, puesto que las empresas van a establecer su sede social en los países donde los plazos de prescripción sean más cortos. Se puede abrir una "extraña y peligrosa competencia" entre los países de la UE a la hora de fijar sanciones laxas en materia de P.D. con el fin de atraer a empresas a los territorios que tengan más breves los plazos de prescripción de infracciones y sanciones.
11) Pero el Reglamento, sobre todo, implica un nuevo modelo dando más protagonismo tanto a las evaluaciones de impacto previas antes del tratamiento cuando entrañe un alto riesgo (PIA) como a la Protección de Datos desde el diseño y por defecto (Privacy by design and Privacy by default).
El Reglamento tiene cierta vocación expansiva, en cuanto a efectos se refiere, y si se tratan datos de interesados residentes en la UE se regirán por el mismo, aunque se produzca el tratamiento fuera de la UE.
A partir del 25 de mayo de 2018 el Reglamento desprenderá sus efectos en la UE, y, por tanto, en España, con independencia de que se haya adaptado la legislación nacional. En nuestro país, de momento, el Anteproyecto de la futura LOPD, estará terminado para marzo.
