La aprobación de la Ley Orgánica 5/2018 de 5 de diciembre, de protección de datos de carácter personal y garantía de los derechos digitales (LOPD) ha complementado al Reglamento 2016/679 General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2018, en aquellas cuestiones que el legislador comunitario había reservado para que cada uno de los Estados Miembros estableciese sus propios criterios, añadiendo nuevas obligaciones o ampliando las ya previstas en el RGPD.
El período de carencia de dos años que se recogía en el RGPD concluyó el 25 de mayo de 2018. Durante este plazo las autoridades de control de protección de datos han ido publicando Guías y diferentes documentos para ayudar a los responsables del tratamiento a adaptarse a la nueva normativa y los Estados miembros de la Unión Europea han ido promulgando y tramitando nuevas leyes nacionales de protección de datos que complementan el RGPD. En España se ha aprobado recientemente la LOPD.
El nuevo sistema de protección de la privacidad implica un cambio en la cultura de las diferentes entidades del sector público y privado que tratan datos de carácter personal, al pasarse de un sistema reactivo a un sistema proactivo en el que la privacidad debe estar presente en todas las fases del ciclo de vida del dato, desde antes de su obtención hasta su destrucción, pasando por todas las diferentes fases del tratamiento.
El RGPD parte del tratamiento de datos personales como piedra angular del sistema de protección de la privacidad. Sobre la base de los tratamientos identificados se valorará la necesidad de realizar una Evaluación de Impacto en Protección de Datos para cada uno de los tratamientos realizados. Posteriormente se realizarán las Evaluaciones de Impacto para los tratamientos que lo requieran, y para el resto de tratamientos, se deberá realizar un análisis de los riesgos que el tratamiento puede ocasionar a los derechos y libertades fundamentales de los interesados. Para finalizar, se establecerán controles técnicos y organizativos adecuados para eliminar o reducir a un riesgo residual aceptable, los riesgos detectados. El sector público deberá implementar las medidas de seguridad reguladas en el Esquema Nacional de Seguridad, tal y como establece la LOPD.
Por su parte la LOPD establece especialidades en una serie de tratamientos como son, entre otros, los sistemas de exclusión publicitaria, los canales de denuncias internas, la videovigilancia (control laboral y seguridad), los sistemas de monitorización de la actividad de empleados, y obliga al sector público, a hacer público su Registro de Actividades de Tratamiento.
Es por ello que, la labor de identificar e inventariar los diferentes tratamientos de datos personales, resulta una labor esencial a la hora de implantar un sistema de gestión de la privacidad. No es baladí que el propio RGPD en su artículo 30 disponga que, salvo muy contadas excepciones, los responsables y encargados de tratamiento deben crear un Registro de Actividades de Tratamiento.
La importancia del cumplimiento de la normativa no sólo viene dada por la elevada cuantía de las sanciones que pueden llegar a imponerse (hasta 10 millones de euros o el 2% del volumen de negocio total anual global del ejercicio financiero anterior para las infracciones graves, o hasta 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, previstas para las infracciones muy graves), o que se reconozca un derecho de indemnización a los interesados por los daños y perjuicios sufridos por el incumplimiento del RGPD, sino que las consecuencias por incumplimiento van mas allá del perjuicio económico para la entidad que trata datos de carácter personal, tanto en calidad de responsable como de encargado de tratamiento.
No debe olvidarse que, los individuos que facilitan sus datos cuentan con que las empresas sean seguras protegiendo la privacidad de su información personal, lo que exige que en cada momento las organizaciones tengan identificados los tratamientos de datos personales que realizan si quieren seguir prestando servicios, además de existir una normativa por detrás que así lo refuerza. Sin embargo, el no ser una empresa segura, además de las consecuencias que puede acarrear desde el punto de vista regulatorio, está el daño reputacional. Aunque el sector público no es objeto de sanción, la LOPD establece medidas disciplinarias que incluso pueden llegar a la publicación de los datos identificativos del infractor, en el caso que no se atiendan los requerimientos de la autoridad de control, con el consiguiente daño reputacional que ello puede llegar a suponerle.
Como se ha mencionado anteriormente, las sanciones en materia de protección de datos pueden llegar a ser devastadoras, pero el riesgo que asume una empresa que sale en prensa por no haber protegido la privacidad de las personas, especialmente sus clientes, puede llegar a superar con creces los efectos negativos, al desencadenar que éstos se dirigieran a los competidores.
Mientras que las empresas cada vez se vuelven más agresivas en sus prácticas comerciales, dada la competencia existente en el mercado, los usuarios cada vez están más preocupados como consecuencia de las prácticas que se revelan por conocer quiénes están tratando su información, para qué, y qué medidas están aplicando para protegerla, lo que obliga a las empresas a implementar los esfuerzos necesarios para equilibrar dichas prácticas con el cumplimiento de lo establecido en el cumplimiento del RGPD y la LOPD.
Un ejemplo claro de que los usuarios cada día se preocupan más por su privacidad es el caso de la “Hello Barbie”, una Barbie capaz de almacenar las grabaciones de niños durante años. El creador buscaba crear un producto novedoso, pero en lugar de crear un impacto positivo generó rechazo y una importante polémica acerca de los usos que empresa iba a dar la información recabada por la muñeca y los riesgos que representaba el producto.
Son muchos los escándalos relacionados con violaciones de seguridad - “Ashley Madison”, “Yahoo”, “Facebook” o “Twitter”-, donde no solo las medidas que se adopten tras la filtración de información serán vitales para la continuidad de la empresa, sino que el haber adoptado todas y cada una de las cautelas y obligaciones que exige el RGPD y la LOPD, y cómo se hayan acometido las mismas, podrá llegar a suponer la diferencia entre la percepción que puedan tener los usuarios acerca de la utilización de los servicios de una empresa, y la visión de ésta como una amenaza a su privacidad.
Para profundizar en este tema se puede asistir al curso sobre Registro de actividades de tratamiento en protección de datos, adaptado a la Ley Orgánica 5/2018 de 5 de diciembre, de protección de datos de carácter personal y garantía de los derechos digitales.
Más información sobre el curso disponible en el siguiente vídeo.
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación