El 2018 ha sido sin duda el año de la protección de datos, porque desde el 25 de mayo tenemos en vigor un Reglamento Europeo de aplicación directa en España y, desde el 5 de diciembre, una nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (a la que por sus siglas impronunciables ya conocemos como LOPDGDD).
La nueva LOPDGDD viene a complementar al Reglamento, y si bien es cierto que no introduce cambios sustanciales, acota determinados conceptos que hasta el momento no se encontraban regulados de forma específica.
Entre sus principales novedades podemos resaltar que esta ley permite que las personas vinculadas a fallecidos, por razones familiares, legales o de hecho, puedan solicitar el acceso, rectificación o supresión de sus datos, con sujeción a las instrucciones del fallecido si las hubiere dispuesto. Mantiene la edad del menor en los catorce años, a partir de la cual puede otorgar su consentimiento para el tratamiento de sus datos personales. Esta ley también recoge la denominada “información por capas”, en la que se facilita una información básica a los interesados, para simplificar la lectura de las políticas de privacidad que solían tildarse de ilegibles y densas. Se delimitan los sectores considerados de mayor riesgo, cuyos Responsables están obligados a designar a un Delegado de Protección de Datos. Destaca como otra de sus novedades, la regulación de determinados derechos digitales, como la neutralidad de la red y el acceso universal, o los derechos a la seguridad y educación digital, así como el derecho al testamento digital. Se reconoce además el derecho a la desconexión digital en el uso de dispositivos digitales en el ámbito laboral.
Con esta nueva regulación se da un salto, desde un sistema de control de cumplimiento legal, hacia un sistema de responsabilidad activa con enfoque de riesgos. Acostumbrados a una Ley anterior, en la que el legislador establecía detalladamente las obligaciones que debían cumplirse, hoy cuesta a las empresas entender que un plan de cumplimiento adaptado a la LOPDGDD tendrá que basarse en un análisis de riesgos. De esta forma, la nueva regulación deja el balón en manos del Responsable, quien, de acuerdo con el riesgo detectado en sus actividades de tratamiento, deberá aplicar medidas de prevención, detección y respuesta encaminadas a proteger la confidencialidad, integridad, disponibilidad y resiliencia de la información.
Aquellas empresas que se limitaban a cumplir formalmente la protección de datos con el único fin de evitar la sanción, ahora necesitarán profundizar un poco más para lograr este fin. Los Responsables deberán entender la norma, identificar las amenazas y vulnerabilidades de sus propios sistemas de tratamiento con el fin de detectar los escenarios de riesgos. Una vez identificados estos escenarios, deberán analizar la probabilidad de que se presenten los daños, y evaluar el impacto que éstos pueden causar en los derechos y libertades de los ciudadanos.
Estos análisis de riesgos, para ser efectivos deben estar están destinados fundamentalmente a salvaguardar la privacidad de los interesados, antes que a salvaguardar a la empresa de las posibles sanciones. En consecuencia, lo más acertado es que nuestro primer objetivo no sea “evitar la sanción”. Lo aconsejable es que nuestra prioridad sea crear una cultura de cumplimiento en las organizaciones, entender la voluntad del legislador y tener la protección de datos presente en cada paso que demos.
No obstante, lejos de suponer un obstáculo, el cumplimiento debe convertirse en un instrumento para generar confianza en nuestros clientes, empleados y proveedores, y en una herramienta de marketing para que nuestra oferta de productos y servicios sea segura, respete la privacidad y la ética profesional.
Si María Isabel hubiera entendido que la norma no aplica al tratamiento de datos efectuado por una persona física en el ámbito personal o doméstico, no hubiera borrado el nombre de “Juan”. Así, el conocimiento de la norma puede simplificarnos los procesos de adaptación, y convertirla en un arma para ser más cumplidores, sin que ello nos cueste morir en el intento.
Responsable de Legal de Umbra Abogados
Artículo original publicado en el diario Cinco Días el 21 de diciembre de 2018.
