LA NUEVA REGULACIÓN EUROPEA DE PROTECCIÓN DE DATOS PERSONALES (RGPD)
Después de dos años desde de la publicación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, el 25 de mayo de 2018 entró en vigor el Reglamento Europeo de Protección de Datos (RGPD) –GDRP en inglés-.
Hasta el momento se encontraba en vigor la Ley Orgánica 15/1999 de Protección de Datos de Carácter personal, ley del año 1999, por lo que sus deficiencias y carencias derivadas de la aplastante evolución de las tecnologías y el difícil tratamiento de los datos de carácter personal eran más que evidentes. Pese a que desde hace años se prepara una nueva Ley de Protección de Datos en el Congreso de los Diputados, y los años de margen que ha dado la UE para la adaptación, todavía no se ha promulgado, por lo que deberemos atenernos a lo dispuesto en el Reglamento, de aplicación directa, pese a que en muchos puntos no es demasiado concreto.
En el plano europeo, la necesidad de manejar más de 27 legislaciones diferentes acerca del trato de los datos personales era del todo insostenible, por lo que la promulgación de un Reglamento que regule de manera unitaria toda la UE, aunque sea todavía de manera escasa, es la respuesta a las muchas reivindicaciones de la mayoría de empresas europeas.
La principal función del RGPD es proteger a todos los ciudadanos europeos en el aspecto de la privacidad y tratamiento de los datos de carácter personal. Se aplica por lo tanto este Reglamento a todas las empresas que actúen dentro del ámbito europeo, independientemente de donde tengan su domicilio social (piénsese en Facebook, Apple o Amazon). Lo que conllevará esta nueva regulación será dotar de más derechos y herramientas a los usuarios para proteger sus derechos, reforzando la seguridad jurídica y la transparencia, facilitando a los ciudadanos herramientas para poder decidir cómo quieren que se traten sus datos personales.
Una de las principales novedades que aporta este nuevo Reglamento, es la nueva política de previsión y prevención, lo llamado “Accountability”, una responsabilidad activa que va a requerir que las empresas adopten medidas para garantizar de manera efectiva que se cumpla el RGPD. Para hacer efectiva esta política se exige a determinadas entidades un “Delegado de Protección de Datos”, especialmente importante dentro del sector privado. Estas entidades obligadas se encuentran recogidas en el artículo 37.1 del RGPD, y son entre otras Colegios Profesionales, Centros Docentes, Aseguradoras etc., es decir, entidades que manejan una gran cantidad de datos personales.
Por otro lado, dejaran de existir las casillas premarcadas y los consentimientos tácitos de cesión de datos. A partir de ahora, todas las empresas que usen y almacenen nuestros datos estarán obligadas a informarnos a los clientes de los usos y destinos de estos y tener nuestro consentimiento expreso y manifiesto. Es por culpa de esta exigencia el por qué durante las últimas semanas hemos recibido un aluvión de correos electrónicos de diferentes empresas que no imaginábamos que tenían y usaban nuestros datos. Muchos de estos correos sin embargo, se limitan a informarnos de que han modificado su política de privacidad para adecuarla al RGPD alegando mucha más accesibilidad y transparencia, pero sin embargo no solicitan que prestemos nuestro consentimiento para continuar procesando nuestro datos, encontrándonos nuevamente ante consentimientos tácitos.
¿Pero cómo va a afectar a los ciudadanos esta nueva regulación?
Pues bien, ahora los ciudadanos tenemos derecho a saber y decidir que se hace con nuestros datos. Hasta el momento el comercio con los datos personales era el mayor negocio del momento, y nosotros sin ni siquiera saber quiénes y cómo vendían nuestra información. Ahora, se dota a los ciudadanos de una serie de derechos mucho más amplios, y se limita la plena libertad que poseían las entidades que se lucraban con nuestra información privada. Para ejercer estos derechos, al igual que para lograr comprender de un modo más sencillo la nueva regulación en materia de protección de datos, la Agencia Española de Protección de Datos (AEPD) ha actualizado su página web (https://www.aepd.es/reglamento/derechos/index.html) introduciendo formularios para poder ejercer tus derechos. De este modo, los derechos que se reconocen ahora de una manera más efectiva a los ciudadanos son:
- Derecho de acceso.- Al igual que en la anterior regulación, se reconocen los derechos ARCO –acceso, rectificación, cancelación y oposición-, pero introduciendo nuevos mecanismos para ejercerlos. Este derecho de acceso nos permite conocer quien posee nuestros datos personales y con qué finalidad. Se ha añadido ahora el derecho a obtener una copia de todos los datos que posean. (Formulario disponible en la página web de la AEPD https://www.aepd.es/media/formularios/formulario-derecho-de-acceso.pdf)
- Derecho de rectificación.- Derecho a poder modificar los datos y obligación a las empresas de corregir datos inexactos o incompletos a través de los responsables designados por las empresas. (Formulario https://www.aepd.es/media/formularios/formulario-derecho-de-rectificacion.pdf)
- Derecho de oposición del tratamiento de tus datos personales salvo cuando la entidad acredite un interés legítimo para el uso de los mismos. (Formulario: https://www.aepd.es/media/formularios/formulario-derecho-de-oposicion.pdf)
- Derecho al olvido.- La nueva regulación introduce nuevos derechos, este derecho al olvido, el derecho a la limitación del tratamiento, el derecho a trasladar los datos o el derecho a opinar. En el caso del derecho al olvido, o supresión de los datos, los ciudadanos podremos solicitar ante el responsable la supresión de los datos de carácter personal en el caso de que los datos ya no sean necesarios en función de los fines para los que fueron recogidos, cuando retires tu consentimiento etc. Se recoge ahora la opción de eliminación de todo el entorno de Internet, enlaces, copias o réplicas, siempre que no se vulnere el derecho a la libertad de expresión e información. (Formulario: https://www.aepd.es/media/formularios/formulario-derecho-de-supresion.pdf)
- Derecho a la limitación del tratamiento.- Permite suspender el tratamiento cuando impugnes la información o de conservación cuando los datos son ilícitos pero quieres que la compañía continúe usándolo para determinadas finalidades. (Formulario: https://www.aepd.es/media/formularios/formulario-derecho-de-limitacion.pdf)
- Derecho a trasladar los datos.- Permite al ciudadano a la compañía que tenga sus datos personales a otro responsable de tratamiento de datos, recibiendo los datos de una manera estructurada y sencilla. (Formulario: https://www.aepd.es/media/formularios/formulario-derecho-de-portabilidad.pdf)
- Derecho a opinar.- Permite a los ciudadanos revisar decisiones de empresas que nos puedan afectar a partir del tratamiento de datos personales. Se pretende asegurar que no seamos objeto de decisiones basadas en el tratamiento de los datos personales y elaboración de perfiles.
Una de las secciones del nuevo RGPD ha sido el Título VII de este reglamento donde se recoge el procedimiento en el caso de vulneración de la normativa de protección de datos, debido a su clara falta de concreción, que esperamos que se supla en la nueva Ley estatal. De lo que no hay duda es que se mantendrá la calificación de infracciones leves, graves y muy graves, pero ahora las entidades en el caso de las infracciones muy graves se verán obligadas a abonar multas que podrán llegar hasta los 20 millones de euros o el 4% de la facturación anual.
Además de las herramientas para poder ejercer los ciudadanos de una manera eficaz sus derechos, la página web de la AEPD ha añadido una herramienta, Facilita, para que las pymes puedan conocer qué hacer con el tratamiento de sus datos de escaso riesgo.
En conclusión, nos encontramos ante una nueva regulación en materia de protección de datos cuya finalidad es mucho más preventiva y concreta. Ha sido un error por parte del legislativo no conseguir equiparar en el tiempo esta nueva regulación europea y la estatal, pero esperemos que no se demore mucho para que las lagunas y carencias evidentes de esta regulación sean suplidas. Además, durante estos dos años en los que las empresas debían adecuarse a la nueva regulación no lo han hecho de manera eficiente, por lo que todos debemos ponernos las pilas y cumplir de una vez con la protección de datos personales, fundamentalmente para evitar que continúen negociando con nuestra información privada.
Laura Bermúdez Faraldo- Carvajal de la Torre Abogados 2018