Tiempo de lectura: 7 minutos
El RGPD se empezó a aplicar en la Unión Europea hace ahora un año. Este periodo ya es suficiente para hacer balance y pensar en el siguiente paso. El RGPD es un texto jurídico que genera gran expectación en muchos países, por ser facilitador de negocios internacionales y norma mundial referente en cuanto a la privacidad.
En estos doce meses ha habido una cantidad importante de empresas de todos los tamaños que han abordado las obligaciones legales del RGPD de forma reflexiva y adecuada. Muchas otras han tramitado el cumplimiento, buscando el papel certificador, al mejor precio posible. Otras han quedado a la espera.
En lo anterior cabe un apunte: los principios generales y operativos sobre los que se asientan las normas legales de hoy (el RGPD, puesto que el LOPD es subsidiaria de aquél) no han cambiado sustancialmente desde la Directiva anterior (1995). La novedad era relativa.
Sin embargo, tres factores han contribuido a la sensación de un cambio de ciclo:
- el sorprendente enfoque de la legislación española anterior, reducido a una visión de medidas y recetas del curioso Reglamento de Desarrollo de la anterior LOPD 1999
- el progresivo e irreversible asentamiento en el derecho español del concepto compliance, que obliga a la diligencia por defecto
- la presencia amplia en el texto legal del concepto riesgo (riesgo para los derechos y libertades fundamentales de los interesados, para ser exactos)
Es decir, hemos transitado de un cumplimiento formalista (puntear una lista) hacia una combinación de factores :
- lo anterior (tengo un Registro de Actividades de Tratamiento, tengo un formulario de ejercicio de derechos,…)
- decisiones razonadas sobre un elenco de posibilidades (ese tratamiento lo baso en el consentimiento, ese otro en obligación legal, aquél en un determinado interés legítimo y el correspondiente análisis de ponderación de intereses y derechos de los interesados….)
- la hoja en blanco (medidas técnicas y organizativas), donde cada empresa y organismo rellenará de la forma que considere adecuada, sin más contestación que el potencial criterio divergente de una autoridad de control o un tribunal
El ICO (la autoridad de control británica) opina que el segundo año del RGPD debe ser el de la concienciación de los actores (incluyendo las personas físicas) en la interiorización del concepto de protección de datos personales y su rango, en absoluto reciente, de derecho fundamental.
Las PYMES
En RGPD prevé abundantes mecanismos para promover esa concienciación.
Delegado de Protección de Datos
Figura relevante ya en la anterior Directiva, el RGPD y la LOPD señalan 19 supuestos en los que su designación es obligatoria. Al mismo tiempo, la designación voluntaria conlleva una cierta ventaja para la empresa o institución: es un criterio más de graduación en caso de infracción. El Delegado goza de amplias facultades, sólo limitadas por su propia negligencia o dolo. Una de ellas es la interlocución con la autoridad de control. En algunos casos (Conferencia Episcopal Española, por ejemplo) incluso se recomienda que el Delegado de Protección de Datos se auxilie de una empresa externa especializada, por motivos tácticos perfectamente comprensibles.
Delegado de Protección de datos en Asociaciones
Mencionados en el artículo 37.4 del RGPD, se habilita la opción del Delegado colectivo en nombre de los afiliados a asociaciones. Una figura que, sin duda, tendrá un interesante recorrido durante los próximos años.
Códigos de conducta
Mecanismo ciertamente complejo descrito en RGPD 40, las pymes tienen en él un instrumento que refuerza el cumplimiento, aunque obliga firmemente a quien se adhiere a él. Nuevamente, el RGPD recomienda a las asociaciones tomar parte activa en esa iniciativa. De forma que las pymes se agrupen bajo un paraguas colectivo (formal, la asociación empresarial) para tomar decisiones comunes con un coste repartido y asequible, evitando la acción innecesariamente individual.
El papel de las Autoridades de Control
Las autoridades de control no pueden sustraerse a la realidad. Cuentan con una extensa red de Delegados de Protección de Datos que permiten tener una visión fidedigna del estado de las cosas en cuanto a la protección de los datos personales. Tienen hilo directo con otras Autoridades de Control (en la Unión Europea y fuera de ella), y con el Comité Europeo de Protección de Datos. El entorno es favorable a interpretaciones y ejecuciones armónicas de la norma europea.
Sin embargo, el propio diseño del RGPD no permite dibujar un coto cerrado, con unas fronteras claras y de manual entre lo lícito y lo ilícito. El propio ICO advierte que no es un “Delegado de Protección de datos por horas”, en referencia a consultas a las que no debe responder. Es la empresa o institución consultante que, por sus propios medios o con la ayuda externa que considere, debe diseñar una respuesta jurídicamente fundada, con los riesgos balanceados y las garantías necesarias. Ese ejercicio debe desembocar en la solución más equilibrada, y llegado el caso, en una actitud especialmente detallista y oidora de la autoridad competente.
Por qué los datos personales son importantes
Más allá, pues, de cumplir con un texto legal, la protección de datos se enmarca en conceptos esenciales de la Unión Europea: prevención de la discriminación, el derecho al honor, a la propia imagen y a la intimidad, derecho a la dignidad en el trabajo ,.. todos ellos presentes en las constituciones europeas. En casos extremos y desafortunados, transgredir los derechos de los interesados puede tener consecuencias muy graves.
El reciente suicidio de una mujer por la difusión repetida de un video es una muestra de lo que nunca debiera suceder. Tener conocimiento de un dato personal no autoriza a su propagación. Las redes han reaccionado contra el acoso que sufrió:
El sexting es un derecho sexual. Pero compartir la intimidad sin consentimiento es violencia.
Y no, las mujeres no tenemos la culpa
Sucedió en el entorno laboral. Cinco años de preámbulo y dos semanas de desenlace.
<p style="color:#06567D">Antonio March | amc@datium.eu<br>Junio 2019 </p>
<p style="color:#06567D">Imagen: Chris Lawton - Reino Unido - Unsplash</p>