Candado Ley de Protección de Datos

Cuenta el historiador Plutarco que el Divino Julio César se divorció de Pompeya Sila poco tiempo después de ser nombrado Emperador. El motivo para repudiarla fue que Pompeya acudió a los actos de Saturnalia. A pesar de que Saturnalia ha derivado en la actual fiesta infantil y familiar de la Navidad, en Roma se trataba de una celebración que incluía orgías sexuales con decenas de participantes, lo cual explica el descontento del César al enterarse.

Como la justicia romana – madre de nuestro derecho actual – era muy precisa, el emperador se encontró con una resistencia legal por parte de los defensores de su esposa, que argumentaban que Pompeya solo fue de observadora a las sesiones amorosas, y que nunca participó en ellas, resultando por tanto excesivo el divorcio. Fue entonces cuando el juez que permitió el divorcio dijo la ya famosa frase “la mujer del César no sólo tiene que ser honrada, sino además parecerlo”.

Cumplir y no solo aparentar

El mismo espíritu pero en sentido contrario es el que ha movido a la Unión Europea a modificar las leyes relativas a la protección de datos de carácter personal (en España la ya famosa LOPD) para intentar evitar el efecto en muchas empresas, que daban la apariencia de cumplir con la legislación, cumpliendo con las medidas visibles y públicas de la misma, pero ignorando completamente las medidas reales en la protección de la intimidad de las personas y sus datos.

En los últimos años, la mayor parte de las empresas ha optado por inscribir sus ficheros en la AEPD (Agencia Española de Protección de Datos), colocar avisos en sus correos electrónicos y webs públicas, y alojar leyendas confusas en letra muy pequeña en sus contratos y facturas. Interpretando que esa apariencia de cumplimiento resultaba suficiente para considerar que su empresa estaba adaptada a la LOPD, y que con eso se encontraban cubiertos ante posibles denuncias de los particulares. En España, y en la gran mayoría de los países de nuestra Unión Europea, se optó por pensar que la mujer del César solo debía “parecer honrada”, olvidando la premisa fundamental que nos regaló aquella sentencia del derecho romano, debía ser honrada.

Buenas prácticas

Centrándonos en el mundo empresarial, el nuevo Reglamento Europeo de protección de datos, Reglamento UE 2016/679, nace con la vocación de generalizar las buenas prácticas introduciendo una serie de nuevas medidas que permitan, sin complicar demasiado el día a día de las sociedades, ser mucho más efectivas en la protección real de los datos personales de los que una empresa es custodia. Los cambios más importantes, con respecto a la LOPD española, los resumimos punto por punto:

1. Consentimiento de cesión de datos

El consentimiento de cesión de datos debe ser activo. El silencio de un cliente, las casillas previamente marcadas en un formulario o la coletilla “si usted no desea…, debe marcar…” quedan prohibidas.

2. Obligación de informar

Existe una obligación de informar de forma clara y directa. En el caso de datos cedidos a terceros, se marca un plazo máximo de 30 días para que los interesados sean informados.

3. Derecho al olvido y de portabilidad

Se profundiza en el “derecho al olvido” que han reconocido sentencias judiciales, y se incorpora un nuevo derecho, el de portabilidad, que permite al usuario llevarse sus datos de una empresa a otra del mismo sector o producto de venta de forma directa.

4. Mapa de riesgos

Todas las empresas deben realizar un estudio personalizado, o mapa de riesgos, que permita comprobar si poseen datos de alto riesgo.

5. Fallos de seguridad

Las empresas están obligadas a comunicar cualquier fallo de seguridad que se haya producido en su empresa. Debe informarse a la AEPD y/o a los interesados en un plazo máximo de 72 horas.

6. Registro de datos

Debe existir un registro de todos los datos, que puede estar incluido en el documento de seguridad, o guardarse aparte y que debe estar disponible para una inspección de la AEPD.

7. Medidas de seguridad

Termina la diferenciación en niveles básico, medio o alto. Las medidas de seguridad se aplicarán teniendo en cuenta el estado de la técnica, costes de aplicación, naturaleza, alcance, contexto y fines del tratamiento, así como los riesgos para los derechos y libertades.

8. Delegado de Protección de Datos

Se crea la figura del DPD (Delegado de Protección de Datos) cuyas funciones vienen descritas en el Reglamento, destacando su función de enlace entre la empresa y la administración en caso de producirse cualquier incidencia.

9. Proactividad

Se exige proactividad en las empresas, instando de forma clara a la implantación de códigos de conducta y recomendando de forma directa la certificación externa de nuestro sistema.

10. Autoridad de control

Se establece un sistema de “ventanilla única” en el que existe una autoridad de control principal y otras autoridades interesadas. También se establece un procedimiento de cooperación entre autoridades de los Estados miembros y, en caso de discrepancia, se prevé la decisión vinculante del Comité Europeo de Protección de Datos.

Una adaptación sencilla

A pesar de la apariencia de dureza que pueden dar las medidas expuestas todas juntas, en la realidad esto supone dos buenas noticias. La primera, sin duda, es como usuarios. Al hablar desde el punto de vista empresarial, corremos el riesgo de olvidar que antes que empresarios o autónomos, somos personas físicas, y esta nueva legislación es más protectora con nuestros datos personales que circulan por internet y las bases de datos. La segunda buena noticia es que estas novedades son de fácil adaptación a nuestra empresa si ya cumplíamos con la legislación actual, y que incluso si éramos de los que “solo lo parecíamos”, tenemos un buen camino recorrido, y en las manos adecuadas, un sencillo proceso de adaptación por delante.

Es importante resaltar que el nuevo Reglamento Europeo de protección de datos, Reglamento UE 2016/679, entra en vigor el próximo 25 de Mayo de 2018, y que la mayoría de países están desarrollando una Ley Orgánica propia para adaptar este Reglamento a la legislación de cada miembro de la Unión Europea.

Ningún país podrá incrementar las exigencias en su legislación

Si bien, el propio Reglamento especifica de forma clara, que ningún país podrá incrementar las exigencias en su legislación particular, ni tampoco obviar ninguno de los puntos descritos en él. Por tanto hablamos más de una adaptación al idioma, al ordenamiento y a los códigos de cada país, que de una posibilidad de incorporar cambios a las exigencias o derechos que el Reglamento contiene.

¿Y ahora qué?

Es la pregunta que nos viene a la cabeza a todos cuando leemos sobre este cambio legislativo. Pues ahora es el momento de planificar y adaptarnos. Como sucede siempre en estos casos, los dos años que nos otorgaron los legisladores (no olvidemos que este Reglamento se publicó en 2016) han transcurrido más rápido de lo que pensábamos y ahora quedan unos meses para ponernos al día en cuanto a la legislación de protección de datos personales.

Es el momento de actuar, de ponernos en manos de nuestros asesores y pedirles que nos ayuden a crear un entorno profesional adecuado y de que, por una vez, logremos hacer de España un país de verdadero ejemplo en el cumplimiento de las normas. Con el esfuerzo de todos y algo de previsión conseguiremos que nuestra empresa cumpla con la premisa que encabezaba este escrito, y a diferencia de Pompeya Sila, nuestra empresa no sólo parezca honrada, sino que además lo sea.

Suscríbete

Suscríbete ahora a nuestro blog

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*
*

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información. ACEPTAR

Aviso de cookies