Como todos sabemos, entró en vigor en mayo del año 2018 el famoso RGPD que prácticamente todos le llamamos así, pero nos referimos al REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
En el mismo año 2018, se publica en España la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales. Sendas complementarias y, como sabemos, de obligatoria aplicación.
La breve introducción que haré, será referente a la motivación de su regulación, pues es consecuencia de la necesidad de proteger el derecho constitucional a la intimidad (art. 18 CE).
No me extenderé más, el derecho a la protección de los datos personales es una vertiente del derecho a la intimidad, que es necesario proteger, especialmente con la existencia de nuevas tecnologías y aparición de otras formas de tratar y usar datos personales.
Contenido de la página
¿Qué son los datos?
El RGPD, en su art. 4, define como «datos personales»: «toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.»
¿Que es un dato personal?
Nada mas lejos de la realidad, podemos considerar dato personal un e-mail un nombre+apellidos, un teléfono, huellas dactilares, reconocimiento facial, IP de un ordenador, domicilio, DNI… en definitiva, aquello que por sí, o junto a otras, pueda hacer identidad o identificable a una persona.
Voy a empezar una actividad empresarial, ¿debo adaptarme?
La respuesta es SÍ, casi con toda probabilidad. No obstante, hay que hacer una pequeña precisión: el RGPD y la LOPDPGDD datos se aplican a las personas físicas y particulares. Esto quiere decir que si única y exclusivamente tratamos datos de empresas, no se hará necesario, sin perjuicio de que, también tomemos medidas para proteger los datos personales que podamos recabar (si recabamos datos de Administradores, socios, etc, la cosa cambia).
La graduación de la protección de datos
La adaptación a la protección de datos tiene una graduación, que dependerá del número de datos que trates, de su calificación, de la forma en que los uses, y los trates. Y siempre siempre, deberás modificar tus protocolos desde el inicio (protección desde el diseño) para protegerlos. No sirve aquello de «lo hago cuando ya lo tengo hecho».
Objetivos y concienciación
Los datos tienen un ciclo de vida, que se puede resumir en cinco fases, las cuales habrá que analizar y dar cierta garantía de protección en todas ellas.
Esto se hace implementando las medidas necesarias en atención a estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas (art. 25 RGPD).
El responsable o encargado debe garantizar que los datos están protegidos y que el responsable que va a tratarlos conforme a los principios que el RGPD y la LOPDGD ponen de manifiesto y se ha esforzado por hacerlo (lo que se conoce como responsabilidad proactiva).
Si bien se persiguen, a mi entender, en el RGPD y la LOPDPGDD, tres objetivos:
(i) la concienciación de la importancia de los datos personales para las personas y consumidores y de cómo producimos cientos de datos que desvelan muchísima información (muy valiosa, por cierto);
(ii) la efectiva protección de los datos personales y
(iii) proteger el control que cada uno tenemos sobre nuestros datos personales (derechos de acceso, rectificación, oposición…)
Ciclo de vida de los datos
El ciclo de vida de los datos es, en resumen: (i) Recogida, (ii) tratamiento, (iii) uso, (iv) almacenamiento y (v) destrucción.
Requiere un estudio profundo conocer en cada sector o negocio en qué fase y qué datos personales se tratan, cuándo, cómo, dónde y por qué.
Efectivamente, cada dato personal, que, recordemos, puede ser el simple e-mail tan cotizado a la hora de enviar publicidad, debe protegerse y es necesario conocer su ciclo de vida, desde el principio hasta el final y protegerlo en todas y cada una de las fases.
Piensa por ejemplo en una peluquería, parece que no trata datos personales, pero sí: anota nombres y teléfonos para coger citas, realiza facturas y tiene documentación contable y fiscal que envía a su gestor, compra y vende productos a particulares, puede tener redes sociales y querer subir los peinados y cortes que les hace a los clientes, cobrará con tarjeta (datos económicos que, además, se ceden al banco), etc.
Piensa en una red social para conocer gente, o en un Hospital, estos últimos bastante más complejos en el tratamiento de datos, ¿verdad?
Todos deben adaptarse.
¿Cómo empiezo si solo sé que no sé nada?
Lo ideal es que acudas a un profesional especializado en esta materia, como es DD-ABOGADOS, donde te asesoren y orienten de forma adaptada a tu negocio concreto. Si no acudes a un profesional, te estarás arriesgando a que tu protección de datos no sea especializada y se convierta en poco menos que un problema y un quebradero de cabeza.
Aunque acudas a un profesional, conveniente que conozcas determinadas pinceladas de cómo puedes adaptar tu negocio al RGPD y a la LOPD, ahí van unos tips que te pueden servir para ir tomando conciencia de la protección de datos y, si vas a un «profesional»… ¡que no te engañen!
- Coge papel y boli y escribe.
- Qué datos personales tratas (e-mail, datos económicos, informes médicos, documentación jurídica que incluye sentencias, datos religiosos, datos de facturación…).
- Escribe en qué momento recoges esos datos y de qué forma lo haces (los escribes en una agenda, en un documento Excel, a través de un formulario…).
- ¿Por qué y para qué los recoges? además responde a la pregunta, ¿son muchos datos personales para la prestación de mi servicio/producto o son los necesarios? (Principio de minimización de datos, art. 5.1.c) RGPD)
- Escribe CINCO acciones que vas a tomar para proteger esos datos: que nadie los vea (si estaban a la vista), que nadie los «robe» (si esto era posible), que no se haga un uso diferente para el que se han recogido.
- Responde sí o no, ¿tu cliente sabe para qué usas sus datos (o tiene posibilidad de saberlo)? Debes hacérselo saber, y, además, debes hacerle saber los derechos que tiene, cómo ejercerlos, cómo actuar y a dónde debe dirigirse para hacerlo. E incluso debe saber dónde dirigirse si no puede ejercitarlos ante ti.
Por último, la legislación te hace a ti RESPONSABLE DEL TRATAMIENTO DE DATOS PERSONALES y como tal, serás responsable de las acciones que tomes o no en relación al tratamiento.
Por ello conviene no pasar por alto esta nueva reglamentación para proteger un derecho tan valorado como es la intimidad.
Por resumir, estos tips son pequeños consejos que no viene mal conocer, pero para que un negocio cumpla la normativa de protección de datos personales, deberá analizarse cómo se protegen los datos personales en cada fase y garantizar el ejercicio de determinados derechos en todas ellas.
Todo esto se debe recoger en lo que se conoce como Registro de Actividades de Tratamiento (art. 30 RGPD).
Ser asesor en protección de datos o asumir la figura de Delegado de Protección de Datos (DPD o DPO) no es sencillo y requiere, aunque no por imperativo legal, de conocimientos específicos en legislación y derecho, al entrar en juego ponderación de Derechos Fundamentales, siendo este extremo reconocido en los art. 37 y siguientes RGPD (concretamente art. 37.5 RGPD) y arts. 34 a 37 LOPDPGDD.
Hasta aquí os dejo unas pequeñas pinceladas para que toméis conciencia de la importancia de proteger los datos en vuestro negocio y de vuestros clientes, de vuestros Partners y de que protejan los vuestros, que no son pocos.
Espero os haya sido de gran ayuda.