El Reglamento General de Protección de Datos (RGPD) plantea una “gestión distinta” para las empresas, como ha dicho la Agencia Española de Protección de Datos (AEPD). Se trata de 99 artículos que consolidan criterios para la protección ciudadana en el Derecho de las Nuevas Tecnologías dentro de la Unión Europea.
Su activación coloca a las empresas ante la necesidad de iniciar un período de transición durante el cual adapten sus procesos, sus contratos y la comunicación con los clientes a los parámetros que se aplicarán a partir de mayo de 2018.
El Reglamento busca el compromiso con la protección de datos, pero los cambios que implica respecto a la Ley Orgánica de Protección de Datos (LOPD) y la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSICE) podrían ameritar que los negocios recurran a una consultoría de protección de datos para no omitir ningún detalle de las nuevas exigencias en la nueva gestión de datos de carácter personal.
La AEPD extrajo 7 aspectos que plantean cambios respecto a las prácticas que se realizaban en España, que se resumen a continuación:
- Consentimiento inequívoco o afirmativo
Se sustituye el consentimiento tácito que permitía España por la necesidad de un “acto afirmativo”, reflejo de libre voluntad. El considerando 32 del RGPD recalca la necesidad de declaración escrita, verbal o electrónica que permita una decisión “específica, informada e inequívoca” del tratamiento de datos personales para cada una de las actividades que se realicen. Adicionalmente, impide que se perturbe innecesariamente el uso de un servicio electrónico en el caso de una solicitud electrónica de consentimiento.
En el período de transición la agencia recomienda buscar estas aprobaciones para llegar a mayo de 2018 con tratamientos plenamente autorizados.
- Información
El Reglamento introduce nuevas cláusulas informativas no contempladas antes en la legislación española. Esas referencias deberán transmitirse cuando se aplique el Reglamento, pero las vías para hacerlo deben aclararse durante la transición de la creación de una especie de política informativa. La AEPD aconseja usar los mismos canales ya establecidos para la comunicación con los clientes de cara a que fluyan los aspectos que deben notificarse.
Entre la nueva información sujeta a obligatoriedad de comunicación, se encuentran, por ejemplo, los datos del Delegado de Protección de Datos. Pero, tal y como dice la AEPD, el cargo debe estar ocupado al momento de la entrada en vigencia del Reglamento para que se cumpla este requisito.
- Evaluación del impacto
El tratamiento de la protección de datos debe evaluarse previamente en algunos casos, en una revisión que busca mermar el riesgo que implica para el ciudadano la gestión de dicho tratamiento. Aunque se trata de una exigencia acorde con las regulaciones vigentes en España, la empresa debe preparar los recursos (de personal, presupuesto y procedimientos) para valorar y analizar las verificaciones.
- Certificaciones y acreditaciones
Algunas entidades y organizaciones deberán certificarse y acreditarse. Esta exigencia, que queda abierta a inclusiones, también requiere ciertas decisiones por parte de las autoridades de protección de datos. Entre ellas, el Comité Europeo y la propia AEPD. Ante ello, las empresas y sus consultorías en protección de datos deben estar alerta ante cualquier avance en este sentido.
- Formación de delegados de protección de datos
Los conocimientos en protección de datos y la capacidad profesional son requisitos necesarios para ejercer el cargo de delegado de protección de datos. La AEPD no impondrá en lo inmediato una certificación específica para el cargo ni exigirá una formación específica en el área.
Sin embargo, sí que puede orientarse a certificar algunos estudios. Estos no resultarían obligatorios o excluyentes para el desempeño de la delegación, pero servirían como orientación e, incluso, para instrucciones que no lleguen a certificarse ante ella.
- Responsables y encargados
Los contratos de encargo de tratamiento deben fijar las obligaciones de los responsables y encargados de protección de datos conforme a las exigencias del Reglamento. Estas son distintas a las exigidas por la LOPD. Ante ello, la transición debe servir tanto para revisar contratos que se prolonguen después de mayo de 2018 como para realizar los nuevos, incluyendo los elementos prescritos por el Reglamento y las autoridades.
Adicionalmente, junto a las agencias autonómicas, se preparan recomendaciones para estos contratos de encargo. Sin que se establezcan aún unos “modelos de contratos”, sino como versión orientativa que sirva para dar un primer paso.
- Pymes y otros sectores
La AEPD ofrece poner herramientas de verificación de cumplimiento del Reglamento a disposición de las empresas que realicen tratamiento de bajo o muy bajo riesgo de protección. Esas herramientas, previstas como listas de medidas para cumplir los requerimientos y archivos online, entre otras, servirán de orientación para la adaptación. Igualmente, la AEPD ofrece escalar las contribuciones a empresas con mayor manejo de datos o datos de carácter sensible.
Además, ofrece desarrollar esta posibilidad en conjunto con las agencias autonómicas para servir a sectores diversos y con requerimientos diferenciados.
