El 25 de Mayo, el nuevo Reglamento General de Protección de Datos (también conocido como RGPD) será de obligado cumplimiento para todas las empresas de este país. No obstante este reglamento no afecta de igual manera a todas ellas, existen un montón de consideraciones que hay que tener en cuenta de cara a adaptar la actividad de la empresa. Depende de una amplia variedad de factores: tamaño, tipo de tratamiento que se realiza, tipo de actividad, etc.
No obstante hay un punto en que cualquier empresa, independientemente del tratamiento que haga, del sector en el que trabaje o cualquier otro considerando debe tener en cuenta. La empresa es responsable de garantizar la seguridad de sus datos, es lo que se conoce en el RGPD como “accountability” o principio de responsabilidad proactiva, una de las grandes novedades del reglamento.
Con el nuevo reglamento, desaparece la obligación de cumplir unas medidas de seguridad determinadas, tal y como establecía el Reglamento de desarrollo de la LOPD (RLOPD 1720/2007) y cada entidad tendrá la libertad para determinar las medidas de prevención que considere más adecuadas. Pero hay que tener en cuenta, tal y como comentamos, la responsabilidad proactiva. Ya en el considerando 74 del reglamento se establece que “Debe quedar establecida la responsabilidad del responsable del tratamiento por cualquier tratamiento de datos personales realizado por él mismo o por su cuenta. En particular, el responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento, incluida la eficacia de las medidas. Dichas medidas deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas.”
Dicho de otra forma, si una empresa realiza un tratamiento de datos personales, es responsable de establecer las medidas suficientes y necesarias para garantizar la seguridad de este tratamiento en la medida de sus posibilidades y además debe poder demostrarlo, esto viene definido en los artículos 5 y 24 del RGPD.
Artículo 5: Principios relativos al tratamiento
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo (“responsabilidad proactiva“).
Artículo 24: Responsabilidad del responsable del tratamiento
1. Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario.
2. Cuando sean proporcionadas en relación con las actividades de tratamiento, entre las medidas mencionadas en el apartado 1 se incluirá la aplicación, por parte del responsable del tratamiento, de las oportunas políticas de protección de datos.
Con ello sin duda se tiene que interpretar que el RGPD a través de este principio establece para los encargados y para los responsables del tratamiento, una obligación “proactiva y sistemática” del cumplimiento de la normativa de protección de datos a través de la implantación de medidas técnicas y organizativas apropiadas. Estas medidas deben aplicarse desde el diseño y a lo largo de todo el ciclo de vida del dato y por defecto en aquellas áreas de la organización donde sean necesarias. El objetivo final no es otro que garantizar que las actividades de tratamiento realizadas por el responsable cumplen con lo establecido en el RGPD. Si una empresa realiza un tratamiento de datos personales, es responsable de establecer las medidas suficientes y necesarias para garantizar la seguridad de este tratamiento en la medida de sus posibilidades y además debe poder demostrarlo, esto viene definido en los artículos 5 y 24 del RGPD
Es conveniente aclarar que las medidas técnicas y organizativas que señala el principio de Responsabilidad Proactiva, no deben de asimilarse o confundirse con las medidas técnicas y organizativas de seguridad que marca el actual RLOPD, ya que las mismas, son un apartado de dichas medidas, políticas o procesos en materia de protección de datos que es necesario implantar por la empresa. No obstante hay que destacar que actualmente existe un nuevo RLOPD en tramitación siendo previsible que su versión final se adapte para ajustarse a los mismos principios que el RGPD.
Con el RGPD se busca un cambio de enfoque frente a la normativa vigente. Ya no se trata de evitar la infracción de los derechos de los interesados como obligación principal, sino que se busca establecer las medidas preventivas para anticiparse a la infracción y sobre todo establecer un procedimiento de gestión para garantizar que las medidas preventivas son revisadas y mantenidas adecuadamente. Este cambio de enfoque tiene consecuencias directas, ya que el hecho de la falta de adopción de alguna de las medidas u obligaciones establecidas por el RGPD puede originar la imposición de una sanción al responsable o encargado de tratamiento sin que previamente exista una lesión de los derechos y libertades del afectado. Y del mismo modo, en caso de que exista una lesión de los derechos y libertades de los afectados, la existencia de unas medidas adecuadas pueden limitar la responsabilidad de la empresa, de hecho el artículo 82 establece 3.El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.
Las medidas a las que hace referencia el RGPD se podrían resumir en las siguientes:
Todo ello trae consigo una hoja de ruta que las empresas deben seguir para adaptarse antes del 25 de Mayo del 2018. Aunque no todos los temas que se comentan en dicha hoja de ruta son aplicables a todas las empresas, ni se han tratado en el presente artículo, queremos destacar las actividades necesarias a acometer, que se analizarán con más detalle en artículos posteriores
Todo ello en conjunto es lo que constituye las tareas que una empresa debería acometer para su adaptación al nuevo RGPD. No es una tarea sencilla pero sin duda necesaria.
