La sociedad avanza, y con ella grandes términos que están dando pie a algunos de los conceptos grandilocuentes que tan de moda están últimamente. Así, es frecuente escuchar en telediarios, noticias y conversaciones de todo tipo términos como big data, internet de las cosas o ciudades inteligentes, en las que la tecnología se pone a los pies del ser humano. Las tecnologías de la información tan peligrosas como necesarias se convierten en parte de nuestra vida y, lo que es más importante, nosotros de la suya. Dejamos contraseñas, conversaciones, fechas de nacimiento, ideología política, huella dactilar y hasta nuestro iris.
Tal es la exposición de nuestra información, que la protección de datos se ha convertido en un tema de la agenda institucional de tal trascendencia como la situación económica o la propia crisis del PSOE –bueno vale, no, pero debería. Y es que las políticas públicas de salvaguarda de la privacidad de nuestro país se están convirtiendo en todo un referente –las cosas del benchmarking europeo- de tal manera que parte del nuevo Reglamento europeo se ha inspirado en nuestra LOPD. Aunque las políticas en protección de datos no se quedan en las leyes, sino que pasan por ámbitos tan trasversales como la educación, donde la Agencia de Protección de Datos está haciendo una gran labor por concienciar a niños y jóvenes de lo importante que son sus datos personales, en especial en redes sociales e internet.
Nuestra LOPD es tan exigente en materia de protección de datos que ha servido de inspiración en gran parte para dar a luz al tan en boca Reglamento Europeo de Protección de Datos, que entrará en vigor en 2018 y cuya incidencia es tal que las empresas ya están preparándose para “el gran acontecimiento”, ya que las implicaciones no son pocas.
- El nuevo Reglamento dará un viraje fundamental. Cambia el foco de actuación y decide centrarse en la privacidad y seguridad desde el momento en el que se tratan los datos y sin incidir –ya que ni lo menciona- en las medidas de seguridad de los ficheros. Considera que lo fundamental en la seguridad parte desde el tratamiento, o lo que es lo mismo, la privacidad desde el diseño y por defecto, y no en los ficheros, los cuales ha considerado irrelevantes e ineficientes.¿Qué va a pasar con nuestros ficheros? Recordemos que en España existe la obligación de declarar los ficheros que contengan datos de carácter personal. A priori, el nuevo Reglamento considera que la declaración indiscriminada de ficheros –declarar ficheros de pymes o pequeños comercios que apenas contienen datos que, además, no entrañan ningún riesgo- ha sido ineficiente y no tiene gran sentido. Sin embargo, la Agencia de Protección de Datos podría determinar requisitos para ficheros que entrañen peligro, grandes empresas o similares, o decidir por completo que la obligación declararlos se ha acabado. Pero ojo, que no haya que declarar los ficheros no significa que no existan, por lo que nunca va a estar de más cumplir las medidas de seguridad del reglamento de desarrollo de la LOPD –se prevean o no en la nueva legislación nacional- para asegurar los datos que recojamos
De esta concienciación por la seguridad desde el diseño y tratamiento de datos, nace la nueva figura del delegado de protección de datos, que será el principal encargado de controlar todas las decisiones relativas al tratamiento de datos de carácter personal en una empresa. Se prefiere que esta figura sea una persona con conocimiento en derecho –atención estudiantes de derecho, aquí hay trabajo.
2. Como decíamos, el nuevo Reglamento incide en salvaguardar los datos y la privacidad desde el diseño, lo que deriva irremediablemente en otro de los grandes cambios, la evaluación de impacto. Teniendo en cuenta que el reglamento prevé que la declaración de ficheros es innecesaria, impone que se haga una evaluación del impacto que puede suponer la utilización de datos de carácter personal, y en especial si es por medios informáticos. Si el riesgo es alto, habrá que consultar a la Agencia para ver si se puede utilizar ese tratamiento.
3. La política europea de protección de datos, desde la anterior Directiva 95/46 de protección de datos, ha buscado proteger en todo momento a los usuarios, y sobre ello se han venido ratificando los diferentes dictámenes del Grupo del Artículo 29, así como numerosas sentencias. El nuevo Reglamento finalmente legisla y recoge en la normativa toda aquella doctrina y jurisprudencia que buscaba la protección de los derechos. Y es que los conocidos derechos ARCO (acceso, rectificación, cancelación y oposición) se amplían, legislándose el derecho a la limitación del tratamiento -gracias al cual, los datos pueden seguir conservándose pero solo podrán tratarse de nuevo con el consentimiento del interesado-, el derecho a la portabilidad de los datos –por el que se podrán portar los datos a otra empresa de la misma manera que lo hacen las operadoras de telefonía móvil- , y el tan de moda derecho al olvido –por el que la Agencia de Protección de Datos sancionó a Google España.
4. Un punto interesante que señala el Reglamento es la importancia que le da a la autorregulación de las empresas. Fomenta que las empresas lleven buenas prácticas por si mismas, incentivando la adhesión a códigos de conducta o certificaciones, de tal manera que, de cara a la evaluación del impacto, la adhesión a alguno de estos códigos se entenderá como un intento por parte de la empresa de cumplir la normativa y mejorar su seguridad en materia de protección de datos. También será interesante adherirse a estos códigos de cara al derecho a la portabilidad, ya que para guardar los datos debe hacerse de tal manera que cuadre con el diseño de otras empresas, por lo que estos códigos y certificaciones podrán establecer recomendaciones tipo.
5. Será importante no perder de vista que falta adecuación de la legislación nacional al nuevo Reglamento Europeo y que la Agencia de Protección de Datos aún tiene que pronunciarse sobre muchas cosas que están por ver. De este modo, habrá que esperar sobre la posición definitiva respecto a la declaración de ficheros, disposiciones reglamentarias o el listado de tratamientos que requieren una evaluación de impacto obligatoriamente –que también es potestad de la Agencia determinarlos.
Extra: Sí, no nos podemos olvidar de que el consentimiento tácito para el tratamiento de datos desaparece, tiene que ser un activo positivo e inequívoco, por lo que las casillas premarcadas ya no valen, pero de esto ha hablado ya todo el mundo, así que de novedoso tiene poco.
El Reglamento europeo da pasos muy importantes en materia de protección de datos, pero no será el único y es que la seguridad de la información, como decíamos al principio, se ha tornado necesaria para todos los aspectos de nuestra vida y no son pocos los casos de fugas de información y vulnerabilidades en seguridad que se han dado en todo el mundo, por lo que es imprescindible que los estados se pongan las pilas y sigan adoptando políticas de protección de datos, donde España es referente.