EUROPA LLAMA A FILAS AL “NUEVO” DPO.
Hace escasas semanas
tuvo lugar un acontecimiento que, según parece, va a marcar un antes y un
después en la protección de la Privacidad de los datos personales de los
ciudadanos europeos. Hablamos del nuevo Reglamento General de Protección de
Datos, aunque al legislador le gusta ponerle nombres más largos, para que quede
más solemne. Así, se trata del Reglamento
2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo
a la protección de las personas físicas en lo que respecta al tratamiento de
datos personales y a la libre circulación de estos datos y por el que se deroga
la Directiva 95/46/CE.
El citado texto
normativo, al tratarse de un Reglamento, es de aplicación directa a los Estados
Miembros de la UE, no así la también reciente (del mismo día) Directiva sobre
el tratamiento de datos relativos a cuestiones penales por las autoridades
competentes, que necesitará de transposición nacional. Ahora bien, a lo largo
del cuerpo del nuevo Reglamento, en torno a la mitad del articulado deja la
puerta abierta a que los EE.MM. regulen ciertas materias, eso sí, respetando el
principio de lealtad comunitaria. En cualquier caso, dado que en nuestro país
disponemos de un Reglamento de Medidas de Seguridad, el shock será menor que en
otros estados europeos, aunque hoy mismo, en el marco del IV Congreso Nacional
de privacidad APEP, tanto la directora de la AEPD como la subsecretaria de Estado
de Justicia y el Ministro de Justicia han planteado la inminente reforma de
nuestra actual LOPD pues, tal como dicen, el nuevo RGDP es “una norma con
cuerpo de reglamento y alma de directiva“.
Entre las principales
novedades de esta normativa unificadora se encuentran las siguientes: la
“nueva” figura del Delegado de Protección de Datos (DPO), que explicaremos más
adelante; el Privacy by design,
referido a adelantar la protección desde el diseño de los nuevos aparatos electrónicos,
en lugar de a posteriori, una vez en manos del usuario; el derecho al olvido,
cuestión nacida del pleito ganado a Google en 2014 para impedir la indexación
de contenido obsoleto e innecesario; la obligación de notificar una violación
de seguridad en 72 horas al órgano de control, o si es de alto riesgo, al
interesado; el nuevo consentimiento,
ahora “inequívoco y afirmativo”; la ventanilla única (One Stop Shop), mediante
la cual las empresas europeas internacionalizadas podrán dirigirse tanto a la
AEPD como a la oficina del país en que operen; la evaluación de impacto (PIA),
que consiste en un análisis de riesgos cuando se prevea que un concreto tratamiento
pueda entrañar un “alto riesgo para los derechos y libertades de las personas
físicas”; la seudonimización para el tratamiento de datos personales, de forma
que no se puedan relacionar con los afectados a los que se refieren; el derecho
a la portabilidad de datos; la transparencia de la información; la exigencia de
accountability o responsabilidad
proactiva de las empresas en el tratamiento de datos para demostrar que están
cumpliendo correctamente la normativa; y, por si fuera poco, el incremento
descomunal de las multas con respecto a lo que nuestra LOPD dispone, pasando de
un máximo actual de 600.000 € a la mayor cifra de entre 20 millones de € o el 4%
de la facturación empresarial global.
En términos
generales, la normativa que viene tiene como objetivo primordial el
aseguramiento de la efectiva aplicación de las medidas de seguridad necesarias
para preservar la privacidad de los datos personales de los europeos, no siendo ya suficientes los parches que
consuetudinariamente se han ido poniendo a las deficiencias de privacidad
existentes en el día a día de la operativa empresarial. Según parece, ya no
valdrá actuar de cara a la galería inscribiendo algunos ficheros o disponiendo
de un documento de seguridad lleno de polvo en el cajón que sirva de
cortafuegos ante la desagradable visita de un inspector de la AEPD, sino que se
impondrán los seguimientos periódicos para la comprobación de que aquello
acordado en el documento de seguridad está completamente integrado en la rutina
diaria. Asimismo, se deberá llevar un registro interno y por escrito de las
actividades de la empresa que impliquen tratamiento de datos, todo ello en el
marco de la introducción del concepto de responsabilidad proactiva empresarial.
Por una parte, podría
ser comprensible la dificultad que encuentra el gerente de una sociedad
mercantil a la hora de implementar medidas que, de alguna manera, torpedean el
funcionamiento habitual de la misma, pues es más cómodo que todos los empleados
puedan acceder a todo tipo de documentos y que éstos se encuentren lo más
accesibles posible. Pero he aquí que nuestra Carta Magna, en su artículo 18,
consagra el derecho fundamental a la intimidad y privacidad de las personas
físicas. Algo debió de ver el legislador cuando lo integró en el título de los
derechos fundamentales. Además, dado el veloz e imparable incremento que ha
experimentado la World Wide Web en los últimos años y teniendo en cuenta que ya
todo está conectado, el flujo de información es constante e ilimitado. ¿Y qué
relevancia tiene eso? Más de lo que parece, porque como dijo aquél, la
información es poder, y el poder es dinero, y viceversa.
Entiendo que no es
esa la única vertiente del derecho a la privacidad, ya que éste se basa en
primer término en la sensación de libertad que otorga el hecho de que cada uno
pueda elegir quién conoce los entresijos de su vida privada. Por su parte, lo
anterior tiene otra lectura: si alguien tiene acceso a tu información personal,
sabrá cómo eres y qué te interesa, por lo cual serás predecible. No se trata de
psicoanálisis, sino de marketing. Es más, aun a riesgo de incurrir de alguna
forma en divagación, no es baladí el que actualmente ya está científicamente demostrado
que lo que decimos o escribimos no necesariamente es lo que deseamos. Me
explico: sólo el 15 % de las decisiones son conscientes, pues el 85 % forma
parte de nuestro subconsciente, razón por la cual en los últimos años el
marketing ha ido dejando paso al neuromarketing, toda vez que no acabamos
consumiendo aquello que razonadamente es bueno, sino aquello que nuestro
cerebro, a través de la activación de unas concretas zonas y no otras,
considera relevante. Así, los medidores biométricos han resultado ser mejores
"bolas de cristal" que las tradicionales encuestas personales.
Volviendo a nuestro
tema, quisiera destacar la figura del DPO (Data
Protection Officer) que, como indicaba anteriormente, no es algo tan
novedoso como pudiera parecer, puesto que en países como Alemania existe el “Bundesbeauftragten für den Datenschutz”
desde 1977, lo cual bien pudo ser la razón de su inclusión en la extinta Directiva
europea del 95 que ahora pasa a mejor vida. No olvidemos quién manda en la UE.
Así, el nuevo RGPD también evita restringir la definición de DPO, aunque deja
meridianamente claro el perfil jurídico que requiere a través de los artículos
37.5 y 39 de su cuerpo normativo. Y es que no olvidemos que está en juego la
protección de un derecho fundamental, así que habrá que tomárselo en serio de
una vez por todas.
En este sentido, es
relevante resaltar el hecho de que no siempre será necesaria la figura del DPO,
sólo cuando las principales actividades del responsable de fichero o
tratamiento involucren datos especialmente protegidos (ahora también lo son los
genéticos y biométricos), se requiera seguimiento continuado de los interesados
o el tratamiento sea masivo, a gran escala. Con su permiso, pese a lo anodino
de la redacción, me van a permitir extractar el artículo 39 del nuevo RGPD, que
dispone que las funciones del DPO serán las siguientes:
“a) informar y asesorar al responsable o al
encargado del tratamiento y a los empleados que se ocupen del tratamiento de
las obligaciones que les incumben en virtud del presente Reglamento y de otras
disposiciones de protección de datos de la Unión o de los Estados miembros; b)
supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras
disposiciones de protección de datos de la Unión o de los Estados miembros y de
las políticas del responsable o del encargado del tratamiento en materia de protección
de datos personales, incluida la asignación de responsabilidades, la
concienciación y formación del personal que participa en las operaciones de
tratamiento, y las auditorías correspondientes; c) ofrecer el asesoramiento que
se le solicite acerca de la evaluación de impacto relativa a la protección de
datos y supervisar su aplicación de conformidad con el artículo 35; d) cooperar
con la autoridad de control; e) actuar como punto de contacto de la autoridad
de control para cuestiones relativas al tratamiento, incluida la consulta
previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre
cualquier otro asunto.”
Resumiendo tan
plomiza parrafada, podríamos decir que este profesional de la protección de
datos tiene como cometido principal la orientación seria a las empresas e
instituciones que traten datos, otorgando un asesoramiento de primer nivel a la
hora de aconsejar en el cumplimiento, monitorizar el mismo, desarrollar las
evaluaciones de impacto, relacionarse con la AEPD, o atender a los afectados.
En conclusión, la
aprobación del nuevo RGPD nos da un toque a los EE.MM. para hacernos ver que la
protección de la privacidad de los datos personales es algo que, dada su creciente
implicación en todo tipo de nuevas tecnologías, es necesario saber gestionar.
Así, las asesorías en esta materia deberán ser más profesionales de lo que
hasta ahora hemos visto en no pocos casos, de ahí la introducción del
archicitado DPO, esto es, no vale el simple amago, hay que retratarse y
demostrar nuestra ética empresarial y que somos buenos y honrados ciudadanos.
Cecilio Criado Ruz
Abogado
FERNÁNDEZ-PALACIOS ABOGADOS
Por otro lado, cuando
el autor cede en exclusiva a un tercero sus derechos de explotación sobre una
obra inédita, autoriza al cesionario a ejercitar la divulgación de su obra
puesto que de no ser así, no podrá éste explotar la obra de ninguna forma, ya
que se encontrará con el obstáculo infranqueable del derecho moral de
divulgación.
