juan_boscoPor Juan Bosco Gimeno. Abogado.

Ha aumentado significativamente la sensibilidad en torno a la relevancia de la protección de los datos personales que se manejan en el ámbito profesional –empresas y autónomos– a lo que han contribuido notablemente la entrada en vigor del Reglamento General de Protección de Datos (RGPD) (1) y la avalancha de informaciones y correos electrónicos, a veces excesiva y en ocasiones innecesaria, que viene a sumarse al abuso que se hace de nuestra información personal con fines que en sí no persiguen causarnos un perjuicio pero que pueden llegar a provocar molestias cuando no serios conflictos.

La Memoria 2017 presentada por la Agencia Española de Protección de Datos (AEPD) (2) reveló un pequeño incremento (1,2%) de las reclamaciones de tutela y denuncias recibidas en 2017 (10.651) respecto del año anterior, y un incremento mayor (22,67%) del número de resoluciones declarativas de infracción (855). Del total de infracciones declaradas en resoluciones de procedimientos sancionadores y de apercibimiento (1.381) más del 85% fueron consideradas como graves o muy graves, resultando un incremento de 24% de las infracciones con sanción económica respecto del año anterior –un 30,8% de incremento en las aplicadas en el sector privado– representando en su conjunto un importe global de más de 17 millones de euros.

Ya se demuestra que la mayor sensibilización y las novedades introducidas en el reconocimiento de los derechos de los ciudadanos en la protección de sus datos personales están multiplicando estas cifras en el futuro inmediato.

Se debe de tener en cuenta además el creciente interés en la información y datos personales por el valor comercial que entrañan, y por el uso fraudulento que puede llegar a hacerse de los mismos. De todos son conocidos algunos casos más relevantes puesto que ocasionalmente son tratados por los medios de comunicación, pero estos no son los únicos, y las posibilidades de ser sometidos a extorsión por el robo o bloqueo de información son reales también a pequeña escala, de ahí que la nueva normativa incida en el tratamiento de las brechas de seguridad.

Actividad y organización claves en la aplicación del RGPD

Una correcta aplicación de las disposiciones del RGPD debe de apuntar correctamente a la prevención de los riesgos teniendo en cuenta las repercusiones para la actividad empresarial o profesional del responsable del tratamiento de los datos, pero también a las consecuencias que pueden derivarse para el titular de los mismos.

Porque cada empresa tiene una organización diferente, formas distintas de llevar a cabo su actividad aún en el mismo sector, trata de una manera específica los datos de que dispone, y sus recursos técnicos y humanos son particulares, así como los riesgos y las consecuencias a que está expuesta, no cabe sencillamente “aplicar el librillo” sin hacer una consideración individualizada de la forma en que las disposiciones del RGPD habrán de aplicarse por su propio interés.

¿Te gustaría que la relación de tus clientes caiga en manos de la competencia? ¿Comprendes las posibles consecuencias de conflicto laboral que pueden derivarse de la información sobre el personal? ¿Hasta dónde alcanza el perjuicio que puede sufrir aquel cuyos datos custodias? ¿Valoras el desprestigio que puede acarrear el mal uso o fuga de información personal?

Se tiene la tendencia a confiar en que no va a pasar nada, se usa como argumento el que nunca ha pasado, pero pasa. Y para que no pase hay que adoptar medidas. Preparase para cumplir las disposiciones del RGPD implica adoptar esas medidas. Equilibradas y proporcionadas a cada organización.

De los ficheros de registro al tratamiento de datos

En aplicación de la LOPD (1999) y su Reglamento (2007) las empresas estaban comprometidas a registrar en la Agencia Española de Protección de Datos (AEPD) aquellos “fcheros” de que disponían conteniendo datos personales y a reflejar en un “documento de seguridad” –que en muchos casos quedaba rápidamente obsoleto e insuficiente– los medios y recursos para protegerlos. El enfoque ha cambiado: ya no basta con definir los ficheros, hay que precisar y proteger las actividades que se realizan empleando datos personales, y revisar periódicamente las medidas empleadas en su tratamiento, técnicas y organizativas, evaluar que sean las adecuadas y si es preciso adaptarlas a los posibles riesgos.

Es preciso que todo tratamiento de datos personales sea lícito pero además leal y transparente, y que la organización se prepare para reconocer y administrar adecuadamente, sin defecto pero también sin exceso, los derechos del titular de los datos.

En línea con una aplicación correcta del RGPD son muchas y variadas las preguntas que deben de formularse profesionales y empresas para articular un oportuno programa de tratamiento.

¿Tengo claramente identificados todos los medios por los que los adquiero y los datos personales de que dispongo? ¿Trabajo con categorías especiales de datos y se dan las circunstancias para poder hacerlo? ¿He identificado bien todos los recursos y soportes en que se conservan? ¿En qué consiste el deber de informar? ¿Quién y cuándo tiene el deber de hacerlo? ¿Dónde y cómo? ¿Cuándo no es necesario? ¿Cuál es el contenido y cómo presentarlo? ¿En qué consiste la información básica y la información adicional? ¿Cómo organizar una información por capas? ¿Qué medios emplear para facilitar la información? ¿Distingues cuándo eres responsable y cuándo encargado del tratamiento? ¿Requieres de un Delegado de Protección de Datos (DPO)? ¿Es preciso supervisar las actividades, cuándo y cómo? ¿En qué consiste un análisis de impacto y si es preceptivo para la empresa? ¿Cuándo y cómo identificar una brecha de seguridad? ¿Cómo gestionar una fuga de información? ¿Cuándo, cómo y a quiénes es preciso informar de ella? ¿Cómo debe de ser mi política de protección de datos? ¿La conocen y aplican las personas de la organización? ¿Y fuera de ella? ¿Cómo y cuándo es necesario auditarla o revisarla?

Esto nos lleva a concluir:

  • Que la aplicación del RGPD no debe de contemplarse como una carga sino como una oportunidad para mejorar la actividad y la organización y que merece la pena dedicarle unos recursos razonables y suficientes.
  • Que las particularidades de cada empresa o profesional requieren su propio análisis y sistema, pudiendo resultar en perjuicio propio una aplicación elaborada para otro.
  • Que puede resultar útil contar con consejo y asesoramiento externo que facilite la comprensión de los contenidos y requisitos del Reglamento y la forma adecuada de aplicarlos.

—————-

1. RGPD entró en vigor el 25 de mayo de 2018.

2. Memoria AEPD 2017 (publicada en Julio 2018).

Artículo publicado en New Medical Economics de febrero 2019