Reglamento General de Protección de Datos de la UE: una visión desde el periodo de adaptación
Ya han pasado 6 meses desde la publicación del Reglamento General de Protección de Datos (RGPD) en el Boletín Oficial de la Unión Europea (4 de mayo de 2016). Eso quiere decir que ya sólo falta un año y medio para que sea obligatorio (25 de mayo de 2018). El tiempo pasa rápido, ha transcurrido una cuarta parte del plazo total y los movimientos en legisladores y autoridades de control no se están haciendo públicos a la velocidad deseada.
Además, la noticia de que las sanciones podrán llegar a 20 millones de euros o el 4% del volumen de negocio total anual global, no parece estar surtiendo un efecto directo en el interés que las empresas están demostrado para comprender cómo la nueva norma les afecta. Quizá lo exorbitado de la cifra puede hacer que parezca irreal pero, si bien es cierto que las sanciones más elevadas estarán reservadas probablemente a las grandes multinacionales por los incumplimientos más graves, ninguna empresa estará libre de ser sancionada en caso de incumplimiento del Reglamento, con la cantidad que la autoridad de control considere adecuada en cada caso.
La Comisión Europea se está empleando a fondo en tratar de establecer criterios homogéneos y coordinados de interpretación y desarrollo junto con las autoridades de control nacionales y los representantes de los gobiernos pero, ¿llegaremos a tiempo? Tratamos aquí de algunas de las cuestiones que ya se van concretando, para satisfacción de muchos y preocupación de otros.
Obtención del consentimiento
Otro de los aspectos controvertidos que van concretándose conforme avanzan los meses, es el cambio producido en materia de obtención del consentimiento de los interesados.
Según el tenor literal del RGPD, para obtener el consentimiento de los interesados para cualquier tratamiento de sus datos personales se requiere una declaración o clara acción afirmativa por parte del interesado, es decir, la obtención del consentimiento explícito, algo que en España podía ser suplido, con la normativa todavía en vigor y en determinadas circunstancias, por la obtención del consentimiento del interesado de manera tácita, a través de técnicas como el «opt-out».
En este aspecto surge una duda. ¿Qué pasará a partir del 25 de mayo de 2018 con los consentimientos obtenidos de forma tácita antes de esa fecha? ¿Será necesario obtener de nuevo el consentimiento de todos esos interesados, a través de declaraciones o claras acciones afirmativas?
La Comisión Europea parece tenerlo claro, y recurre al Considerando 171 del Reglamento para dar su opinión: todo consentimiento que no haya sido obtenido de manera explícita tal y como recoge el RGPD no será válido y, por tanto, las empresas que quieran seguir tratando esos datos deberán recabar nuevos consentimientos cuando los existentes se hubieran obtenido de manera implícita o tácita. En aspectos como este es donde podemos verificar la necesidad de empezar cuanto antes el proceso de adaptación.
El Delegado de Protección de Datos
La figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés –Data Protection Officer–) será obligatoria en España por primera vez para muchas empresas a partir de mayo de 2018. El RGPD exige que se designe un DPO a organismos públicos y a entidades privadas cuando, en este segundo caso, sus actividades principales conlleven la «observación habitual y sistemática de interesados a gran escala» o el «tratamiento a gran escala de categorías especiales de datos».
Nos encontramos con dos conceptos jurídicos indeterminados que deberán ser interpretados inicialmente por la empresas, a expensas de lo que acaben definiendo las autoridades de control o, en su caso, los Tribunales. Las funciones del DPO girarán en torno al asesoramiento general dentro de la compañía en todo lo relativo a la protección de datos personales, la supervisión del cumplimiento de la legislación y políticas de privacidad, con especial atención a los riesgos asociados a las actividades que llevará a cabo la empresa, y será también el punto de contacto frente a interesados y al regulador (AEPD) para todas las cuestiones que surjan sobre estas materias.
El DPO es un responsable que deberá rendir cuentas «directamente al más alto nivel jerárquico» de la organización empresarial. Y, además, no se le podrá destituir ni sancionar durante el tiempo que ocupe el cargo por motivos relacionados con sus funciones.
Conclusión
Como se ha escrito en numerosas ocasiones, el RGPD viene a reforzar los derechos de los interesados, implicando a su vez un mayor nivel de responsabilidad y cuidado por parte de las empresas. Existen algunas cuestiones importantes que todavía precisan de concreción, pero muchas otras pueden ya prepararse y, algunas de ellas, implican cambios importantes en las organizaciones, sus procedimientos e, incluso, su organigrama. Todo ello hace imprescindible comenzar un proyecto de adaptación con tiempo suficiente para llegar a tiempo a la cita de mayo de 2018.
Profesional de contacto