En el presente artículo se pone de relieve la necesidad de adaptarse al Reglamento 2016/679 General de Protección de Datos (RGPD) por parte de empresas y administraciones públicas, una vez que ha concluido el periodo de carencia de dos años y ha entrado en aplicación el 25 de mayo de 2018.
Durante este plazo las autoridades de control de protección de datos han ido publicando Guías y diferentes documentos para ayudar a los responsables de tratamiento a adaptarse a la nueva normativa y los Estados miembros de la Unión Europea han ido promulgando y tramitando nuevas leyes nacionales de protección de datos que complementen el RGPD. En España actualmente se está tramitando un Proyecto de Ley Orgánica de Protección de Datos.
El nuevo sistema de protección de la privacidad implica un cambio en la cultura de las diferentes entidades del sector público y privado que tratan datos de carácter personal, al pasarse de un sistema reactivo a un sistema proactivo en el que la privacidad debe estar presente en todas las fases del ciclo de vida del dato, desde antes de su obtención hasta su destrucción, pasando por todas las diferentes fases del tratamiento.
El RGPD parte del tratamiento de datos personales como piedra angular del sistema de protección de la privacidad. Sobre la base de los tratamientos identificados se valorará la necesidad de realizar una Evaluación de Impacto en Protección de Datos para cada uno de los tratamientos realizados. Posteriormente se realizarán las Evaluaciones de Impacto para los tratamientos que lo requieran, y para el resto de tratamientos, se deberá realizar un análisis de los riesgos que el tratamiento puede ocasionar a los derechos y libertades fundamentales de los interesados. Para finalizar, se establecerán controles técnicos y organizativos adecuados para eliminar o reducir a un riesgo residual aceptable, los riesgos detectados.
Es por ello que, la labor de identificar e inventariar los diferentes tratamientos de datos personales, resulta una labor esencial a la hora de implantar un sistema de gestión de la privacidad. No es baladí que el propio RGPD en su artículo 30 disponga que, salvo muy contadas excepciones, los responsables y encargados de tratamiento deben crear un Registro de Actividades de Tratamiento.
La importancia del cumplimiento de la normativa no sólo viene dada por la elevada cuantía de las sanciones que pueden llegar a imponerse (hasta 10 millones de euros o el 2% del volumen de negocio total anual global del ejercicio financiero anterior para las infracciones graves, o hasta 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, previstas para las infracciones muy graves), o que se reconozca un derecho de indemnización a los interesados por los daños y perjuicios sufridos por el incumplimiento del RGPD, sino que las consecuencias por incumplimiento van mas allá del perjuicio económico para la entidad que trata datos de carácter personal, tanto en calidad de responsable como de encargado de tratamiento.
No debe olvidarse que, los individuos que facilitan sus datos cuentan con que las empresas sean seguras protegiendo la privacidad de su información personal, lo que exige que en cada momento las organizaciones tengan identificados los tratamientos de datos personales que realizan si quieren seguir prestando servicios, además de existir una normativa por detrás que así lo refuerza. Sin embargo, el no ser una empresa segura, además de las consecuencias que puede acarrear desde el punto de vista regulatorio, está el daño reputacional.
Como se ha mencionado anteriormente, las sanciones en materia de protección de datos pueden llegar a ser devastadoras, pero el riesgo que asume una empresa que sale en prensa por no haber protegido la privacidad de las personas, especialmente sus clientes, puede llegar a superar con creces los efectos negativos, al desencadenar que éstos se dirigieran a los competidores.
Mientras que las empresas cada vez se vuelven más agresivas en sus prácticas comerciales dada la competencia existente en el mercado, los usuarios cada vez están más preocupados como consecuencia de las prácticas que se revelan por conocer quiénes están tratando su información, para qué, y qué medidas están aplicando para protegerla, lo que obliga a las empresas a implementar los esfuerzos necesarios para equilibrar dichas prácticas con el cumplimiento de lo establecido en el cumplimiento del RGPD.
Un ejemplo claro de que los usuarios cada día se preocupan más por su privacidad es el caso de la “Hello Barbie”, una Barbie capaz de almacenar las grabaciones de niños durante años. El creador buscaba crear un producto novedoso, pero en lugar de crear un impacto positivo generó rechazo y una importante polémica acerca de los usos que empresa iba a dar la información recabada por la muñeca y los riesgos que representaba el producto.
Son muchos los escándalos relacionados con violaciones de seguridad - “Ashley Madison”, “Yahoo”, o “Twitter”-, donde no solo las medidas que se adopten tras la filtración de información serán vitales para la continuidad de la empresa, sino que el haber adoptado todas y cada una de las cautelas y obligaciones que exige el RGPD, y cómo se hayan acometido las mismas, podrá llegar a suponer la diferencia entre la percepción que puedan tener los usuarios acerca de la utilización de los servicios de una empresa, y la visión de ésta como una amenaza a su privacidad.
Si quieres conocer más sobre protección de datos, ahora puedes inscribirte en el curso "Registro de las actividades de tratamiento en protección de datos".
ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación