Si tienes un negocio deberás ir cambiando y adaptando tu gestión ante la nueva reglamentación sobre protección de datos que ha entrado en vigor. La Agencia Española de Protección de Datos (AEPD) analiza algunas de las implicaciones prácticas que conviene conocer.
El pasado 25 de mayo entró en vigor el Reglamento General de Protección de Datos (RGPD) que deroga la antigua Directiva de 1995 y armoniza la legislación en este campo en toda la Unión Europea.
El RGPD no comenzará aplicarse hasta mayo de 2018, pero conviene ir conociendo para adaptarse a las nuevas exigencias normativas.
Fin del consentimiento tácito
Será necesario un “consentimiento inequívoco” para tratar los datos personales de los usuarios. Se acaba así el “consentimiento tácito” que actualmente permite la legislación española.
El consejo de la AEPD es que las organizaciones revisen los consentimientos ya obtenidos para adecuarlos al Reglamento y utilizar mecanismos acordes con la nueva legislación.
De hecho, los consentimientos obtenidos antes de mayo de 2018 deberán haber sido obtenidos de forma “inequívoca”.
Información
El nuevo RGPD incluye la necesidad de aportar información adicional que actualmente no es exigible en España.
Las empresas deberán ir adaptándose durante estos dos años a las nuevas exigencias. La información adicional puede ser aportada sin apenas coste a través de la web o mediante los canales de comunicación regulares que mantienen con sus clientes.
Al mismo tiempo, es aconsejable que las organizaciones adapten sus políticas informativas a lo dispuesto por el Reglamento. Hay algunas cuestiones donde esa información dependerá de la adopción de otras decisiones, como puede ser el proporcionar los datos del Delegado de Protección de Datos.
Esos datos no podrán trasladarse a los interesados hasta que ese Delegado no sea designado en los casos en que el Reglamento lo hace obligatorio o cuando las organizaciones decidan voluntariamente nombrarlo pero otros elementos sí pueden ya anticiparse y, en la medida de lo posible, incorporarse sin dilación a las informaciones que se proporcionan a los interesados.
Realización de evaluaciones de impacto sobre la protección de datos
Estas evaluaciones tienen carácter previo a la puesta en marcha de los tratamientos de datos. La AEPD entiende que no debería esperarse a la fecha en que la realización de las evaluaciones resulte obligatoria para comenzar a utilizar esta herramienta, ya que requiere de preparación, elección de la metodología adecuada, identificación de los equipos de trabajo y otra serie de condiciones que no pueden improvisarse.
Certificación
Será más necesaria la implantación de esquemas de certificación. Las certificaciones pueden ser concedidas por las Autoridades de Protección de datos desde el Comité Europeo o por entidades acreditadas.
La mejor solución, a juicio de la AEPD, es encomendar la certificación a entidades especializadas debidamente acreditadas y dejar que se ocupe de la acreditación de éstas la Entidad Nacional de Acreditación (ENAC), contando para ello con la participación de la Agencia.
Delegados de Protección de Datos
Esta nueva figura debe ser nombrada en función de sus cualificaciones profesionales en la materia, pero éstas no aparecen definidas con precisión.
La AEPD se muestra contraria a establecer un sistema de certificación de esta profesión para su acceso, ya que existe una completa titulación en materia de protección de datos. Estas titulaciones pueden servir de criterio para que las organizaciones designen sus Delegados.
Pero también entiende que las certificaciones y titulaciones deben reunir unos requisitos para tener un razonable grado de certeza sobre lo que reflejan.
Así, la AEPD está valorando la posibilidad de promover la aplicación de la acreditación de entidades de certificación de profesionales con arreglo a estándares ya establecidos. Esta acreditación, que llevaría a cabo la Entidad Nacional de Acreditación (ENAC) de acuerdo con lo previsto en esos estándares y con las peculiaridades propias del sector, serviría para constatar que la entidad que expide los títulos, certificados o certificaciones lo hace con arreglo a unos determinados procedimientos y requisitos. La acreditación no se pronuncia sobre la calidad de los contenidos de la formación o de los aspectos que se certifican.
El hecho de que algunas entidades se acrediten no implicará necesariamente que otras que no lo hagan no apliquen los mismos criterios ni tampoco que la posesión de la titulación o certificación sea la única vía para acceder a un puesto de Delegado de Protección de Datos.
La Agencia considera que estas cuestiones tendrían un carácter instrumental orientado a ofrecer apoyo a las organizaciones a la hora de designar a un Delegado de Protección de Datos.
No obstante, en ningún caso excluyen que profesionales con formaciones procedentes de centros no acreditados o sin una formación específica pero con experiencia profesional puedan desempeñar las funciones de Delegado si su currículo muestra que reúnen los requisitos de conocimiento y cualidades profesionales que el Reglamento establece.
Relación entre responsables y encargados
El Reglamento describe un contenido mínimo de los contratos de encargo de tratamiento que excede las previsiones contempladas en la Directiva. En el caso español, la LOPD ya contempla la inclusión de algunos de esos contenidos en los contratos, aunque hay diferencias entre esta y en RGPD en relación a los requisitos fijados.
El contrato es el documento que determina las obligaciones de las partes ante la prestación del servicio de encargo que se acuerda. Por ello, debe respetar en todo caso el contenido fijado por el Reglamento ya que, en caso contrario, no se estarían trasladando a los encargados las obligaciones que el Reglamento específicamente prevé.
Este momento de transición entre la entrada en vigor y la aplicación del RGPD debería aprovecharse para llevar a cabo dos acciones paralelas. En primer lugar, para abordar la revisión de los contratos ya existentes y que se refieran a encargos con vocación de prolongarse en el tiempo, de forma que en mayo de 2018 sean compatibles con las disposiciones del Reglamento. En segundo lugar, para comenzar a incluir en las nuevas cláusulas contractuales todos los elementos que el Reglamento considera necesarios.
La Agencia, en colaboración con las Agencias autonómicas, está trabajando en la preparación de unas recomendaciones para los contratos de encargo. No se trata de los modelos de contrato a que se refiere el Reglamento debido a que esos modelos requieren de aprobación por parte del Comité Europeo de Protección de Datos -que aún no se ha establecido-, si bien tienen el objetivo de servir de orientación en esta primera etapa para que las organizaciones respondan a los nuevos requerimientos.
Herramientas para pymes y herramientas sectoriales
La Agencia está trabajando en la preparación de herramientas que ayuden a responsables y encargados al entendimiento y cumplimiento del Reglamento. Entre ellas, hay que destacar un recurso online orientado a las pymes que realicen tratamientos de bajo o muy bajo riesgo, de forma que puedan constatar de una manera sencilla que se encuentran en esa situación y, a la vez, disponer de una lista de las medidas que tienen que implantar en función de ese bajo nivel de riesgo.
Está previsto que este recurso se complemente con otros más avanzados, orientados a las pymes que desarrollan tratamientos que conllevan un nivel de riesgo algo mayor como consecuencia de alguna circunstancia concreta -como puede ser el manejo de datos sensibles- y que incluirá un apartado dedicado a las medidas de seguridad que deben implantarse.
La AEPD está trabajando junto a las Agencias autonómicas en cláusulas informativas adaptadas al nuevo Reglamento para sectores o tratamientos diferenciados. Así, está previsto ofrecer una serie de recomendaciones o criterios para ayudar a reflejar los distintos puntos que el Reglamento exige en la información.
