Quien más y quien menos ha oído, aunque sea de pasada, que hay una nueva ley relativa a la protección de datos.
Efectivamente, en 2016 la Unión Europea aprobó un nuevo Reglamento (el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)), pero que comúnmente conocemos como “RGPD”.
De vez en cuando nos preguntan por qué se oye ahora hablar del Reglamento, si se aprobó hace dos años. Lo cierto es que no fue de obligado cumplimiento hasta 2018 y, como es habitual, a pesar de haber tenido mucho tiempo para adaptarse a la nueva normativa, a mucha gente le ha “pillado el toro”.
¿Realmente es importante adaptarse al RGPD? Es una pregunta lícita, en la medida que supone un coste en tiempo y esfuerzo para la adaptación, pero la respuesta es que sí.
En el momento en que nos encontramos, ahora que el RGPD acaba de ser de obligado cumplimiento, resulta que coinciden dos circunstancias: en primer lugar, existe una conciencia cada vez mayor respecto a los datos personales y su protección y en segundo lugar, con el efecto llamada que se produce cada vez que se aprueba una nueva normativa. Así, la mayoría de normativa tienen un gran impacto en los primeros años de aplicación y, posteriormente, se estabiliza su aplicación.
Eso mismo es lo que ha sucedido con el RGPD por lo que, desde la entrada en vigor del RGPD hasta ahora ha habido un aumento de un tercio en las reclamaciones iniciadas ante la Agencia Española de Protección de Datos (la AEPD), el organismo encargado de controlar el cumplimiento de la normativa de protección de datos.
Llegados a este punto, te preguntarás qué hay de especial en el RGPD y por qué está sonando tanto. La respuesta es que es una normativa de protección de datos que ha cambiado el foco de importancia en los datos. Lo que sucedía con la Ley española (la LOPD) es que lo esencial en la protección de datos era el tipo de datos que se trataban. En este sentido, se exigía un mayor cuidado con los datos en la medida en que se tratara de datos muy sensibles.
Pero el RGPD no ha seguido esta línea y, lo que es más, ha movido completamente el foco de los datos al usuario. Lo que sucede actualmente con el RGPD es que el usuario debe tener un gran control sobre sus datos y saber, en todo momento, qué datos suyos se están tratando y para qué. Te explicamos ahora cómo es necesario, en consecuencia, recibir los datos del usuario.
El primer punto es el relativo al consentimiento del usuario. Lógicamente, para poder tratar los datos personales de un usuario es necesario que el usuario haya consentido el tratamiento.
Esto era algo que ya sucedía con la LOPD pero, a diferencia de lo que sucedía con la LOPD –que permitía el consentimiento tácito cuando se trataba de datos no sensibles- el RGPD exige que se obtenga el consentimiento expreso del usuario y, además, se exige que para ello haya un comportamiento activo por parte del usuario. En otras palabras, no cabe la posibilidad de incluir casillas pre-marcadas o que la inacción del usuario se entienda como un consentimiento por su parte. Además, debe consentirse cada tratamiento que se vaya a dar de los datos.
Por otro lado, existe la obligación de cumplir con ciertos deberes de información con los usuarios. La LOPD ya obligaba a informar sobre la existencia de un fichero de datos, quién se encargaba de tratar los datos y a finalidad, además de los derechos que tenía el usuario al respecto.
El RGPD aumenta el contenido de la información (obliga a informar de la conservación de los datos, de la legitimación para su tratamiento y de la posibilidad de reclamar ante los organismos de protección) y, además, exige que la información sea accesible a primera vista.
En este sentido, deberá plasmarse una “información por capas”, de forma que la información básica sea siempre accesible (primera capa) y pueda ampliarse al completo de la información (segunda capa).
En cuanto a los derechos que tienen los usuarios, el RGPD ha añadido a los tradicionales derechos de Acceso, Rectificación, Cancelación y Oposición (los llamados derechos ARCO) los derechos de transparencia de la información (que la información sea siempre accesible y disponible para el usuario), de supresión (el llamado “derecho al olvido”), derecho de limitación (el derecho que tiene el usuario de restringir el tratamiento de sus datos) y el derecho de portabilidad (transmitir sus datos a otro responsable del tratamiento).
Además de las medidas “externas”, cuyo cumplimiento se exige frente al usuario, también hay algunas medidas internas para asegurar que el adecuado tratamiento de datos: la necesidad de realizar una evaluación de impacto (evaluar los riesgos que el tratamiento de datos pueda implicar), la comunicación de fallos a la autoridad protectora de datos en el caso que se produzcan, la existencia de un registro de los tratamientos que se realicen de los datos y la aplicación de diversas medidas de seguridad.
¡Hasta la próxima entrega!
El equipo de Cirial180º.
