Una vez superado el ecuador del período concedido hasta la fecha de transposición (25 de mayo de 2018) del Reglamento general de protección de datos de la Unión Europea (GDPR; 2016/679*) surge la duda de si realmente las empresas están preparadas, o se están preparando, para ser conformes a él.

Teóricamente, dado el tiempo transcurrido, sería de esperar que al menos las entidades mas directamente implicadas estuvieran en situación de aplicarlo; sin embargo, estudios recientes muestran que la realidad es otra: el porcentaje de las que están preparadas, o cerca de ello, es pequeño teniendo en cuenta el tiempo transcurrido, incluso algunas todavía desconocen el significado, alcance o fecha de implantación.

Esta realidad es preocupante, tanto desde la perspectiva del proveedor del tratamiento, que se expone a graves sanciones, de hasta 20 millones de euros o del 4% de su facturación global anual, como de los propietarios de los datos, que no conocen sus derechos perdiendo así la posibilidad de exigir la aplicación de los que se reconocen en el Reglamento.

Dada esta situación, basándome en mi interés y preocupación sobre el tema, trataré con este post de aportar mi contribución al conocimiento del GDPR y de algunas de sus implicaciones. No soy jurista, y por ello no me considero preparado para efectuar un análisis del Reglamento, pero si puedo, tras una minuciosa lectura de las 88 páginas que abarca el mismo, deducir algunos elementos de importancia que completen lo que ya expuse en mi post de 28 de mayo de 2016.

En primer lugar revisar las definiciones; el GDPR incluye 26 de las cuales 18 son nuevas respecto a la Directiva 95/46/EC, derogada por el Reglamento.

De las 8 que permanecen se han ampliado las dos siguientes:

  • Datos personales; a la definición expuesta en la Directiva se añaden nuevos tipos como el identificador on line o la identidad genética.

  • Consentimiento del interesado; caracterizado por la manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen

Entre las nuevas destacaría la inclusión de dos categorías de datos, biométricos y genéticos, y la denominada “seudonimización” que obliga a un tratamiento de datos personales de manera tal que ya no puedan atribuirse a un sujeto determinado sin utilizar información adicional, siempre que esta figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

Otro elemento característico del Reglamento es el relativo a los derechos de los interesados; entre los que de una u otra forma se recogen entre sus diferentes artículos resalto los siguientes:

  • De transparencia; por el que se obliga al responsable del tratamiento a tomar las medidas oportunas para facilitar al interesado toda información relativa a los datos y a su tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño.

  • A ser informado; próximo al anterior. De forma similar a lo establecido en la Directiva 95/46 el responsable del tratamiento debe proporcionar información al interesado en el momento en que se obtengan datos personales del mismo. El Reglamento añade algunas excepciones y el período de tiempo en el que se debe proporcionar la información.

  • De acceso; el GDPR, al igual que la Directiva, establece el derecho de acceso a la información relativa a los datos personales de la persona afectada. Se introducen variaciones, como el conocimiento de la fuente de datos, el período de conservación de los mismos o la obligación de los controladores de proporcionar una copia de los datos objeto de procesamiento.

  • De rectificación; similar al incluido en la Directiva, proporciona a los interesados el derecho a que sus datos personales se rectifiquen en caso de ser incorrectos o se completen los que sean incompletos.

  • Al olvido o derecho de supresión; por el que se puede exigir al controlador el borrado de datos personales en determinadas circunstancias, incluyendo impedir la divulgación de ellos o que terceros puedan seguir procesándolos.

  • A la limitación del tratamiento; en la Directiva se contemplaba el bloqueo de los datos por parte del interesado cuando sean inexactos o incompletos, mientras que el GDPR es mucho mas restrictivo al permitir que aquel tenga derecho a obtener del responsable del tratamiento la limitación del proceso en una serie de casos.

  • A la portabilidad de los datos; este derecho, que no existía en la Directiva, permite que el interesado reciba, en ciertas condiciones, sus datos personales de un controlador y los transmita a otro sin que pueda impedirlo.

  • De oposición; el GDPR, al igual que la Directiva, otorga a los interesados el derecho a oponerse al tratamiento de sus datos personales por motivos relacionados con su situación particular, incluyendo, en el caso del Reglamento, aquellos que se traten con fines de investigación científica o histórica o estadísticos.

En el GDRP se recogen otra serie de derechos de los interesados en relación con el tratamiento y los medios para ejercerlos, entre ellos los siguientes:

  • Derecho a no ser objeto de decisiones basadas exclusivamente en un tratamiento automatizado de los datos, sin intervención humana, incluida la elaboración de perfiles cuando se lleve a cabo con fines prospectivos. Un ejemplo evidente es el caso de la venta on line basada en actividades anteriores.

  • Derecho a la tutela judicial frente a un responsable del tratamiento de los datos al poder presentar una reclamación ante la autoridad de control competente y ante los tribunales de los Estados miembro, lo cual no se contemplaba en la Directiva.

  • Derecho a obtener una reparación  y, cuando proceda, una indemnización por violación de las normas corporativas vinculantes;

Tal como hace un año señalaba en el mencionado post, otro elemento diferenciador del Reglamento es su orientación hacia la prevención por parte de las organizaciones que tratan datos, lo cual se asegura por medio de la calificada como «responsabilidad proactiva» la cual obliga a las organizaciones que tratan los datos a aplicar medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme a el Reglamento.

Este enfoque cambia el anterior, basado en la actuación posterior a la infracción, al considerar que haciéndolo así se pueden evitar o disminuir los efectos de daños que afectan directamente a los propietarios de los datos que, en caso contrario, serían muy difíciles de compensar o reparar.

Entre las medidas que se toman para asegurarlo se incluyen la protección de datos desde el diseño y por defecto, el mantenimiento de un registro de las actividades del tratamiento, las evaluaciones del impacto sobre la protección de datos, la notificación a la autoridad de control de una violación de la seguridad de los datos personales, la adhesión a códigos de conducta y certificación y el nombramiento de un delegado de protección de datos.

La figura del Delegado de protección de datos (Data Protection Officer; DPO) constituye una novedad de importancia con respecto a la Directiva. Su designación será obligada cuando el tratamiento se lleve a cabo por una autoridad u organismo público, con algunas excepciones, o las actividades principales impliquen un tratamiento que requiera un seguimiento habitual y sistemático de los datos a gran escala o consistan en el procesamiento de categorías especiales de datos o de los relativos a condenas e infracciones penales.

Dentro de sus funciones destacan las de informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del mismo y supervisar el cumplimiento de las obligaciones que les incumben respecto al Reglamento y de otras disposiciones de protección de datos de la Unión Europea o de los Estados miembros.

El Reglamento atribuye al DPO características tales como la de ser un miembro del personal o un proveedor de servicios externo, ser elegido atendiendo a sus cualidades profesionales, en particular a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos, la obligación de contar con los recursos adecuados para llevar a cabo sus tareas y mantener sus conocimientos expertos y el poder desempeñar otras funciones y cometidos siempre que no den lugar a conflicto de intereses.

Podría resaltar otros muchos aspectos del extenso Reglamento pero no quiero alargar el post, por lo que finalizaré con unos breves comentarios sobre el impacto y la responsabilidad de las empresas.

La entrada en vigor del GDPR obliga a las empresas a revisar sus políticas de obtención, tratamiento, almacenamiento y destrucción de los datos personales así como a asegurar el cumplimiento del Reglamento tomando una serie de medidas que podríamos sintetizar en tres grandes conjuntos:

  • Identificar los datos que gestionan, en particular su origen, como se almacenan y tratan y con quien se comparten;
  • Adquirir o incrementar las competencias necesarias para el cumplimiento del Reglamento; 
  • Implementar una organización de los datos en base a la protección desde el diseño, la responsabilidad proactiva y el asegurar los derechos de los interesados recogidos en el Reglamento.

Algunas empresas consideran que la amplitud de la regulación y su carácter fuertemente restrictivo suponen un freno a su expansión, basada en muchos casos en la explotación de los datos. Sin embargo, como en otras múltiples ocasiones es preciso valorar lo positivo y tratar de identificar las oportunidades.

Consideremos la ventaja que supone el tener que cumplir solamente una normativa, común para todos los Estados miembro, sin necesidad de aplicar o responder a normativas nacionales diferentes, garantizando a los clientes una protección adecuada, amparada por el Derecho comunitario.

Además, la mencionada necesidad de revisar los datos que se gestionan, permitirá identificar aquellos que son verdaderamente útiles y a partir de ellos, mediante la aplicación del conocimiento aportado por el propio capital intelectual, convertirlos en inteligencia, que al apoyar la toma de decisiones permitirá obtener ventajas competitivas.

Finalizo el artículo como comencé, mostrando mi preocupación al respecto: ¿se están preparando las empresas?. En el caso de la Administración la respuesta es afirmativa; por ejemplo, en España con objeto de adaptar la legislación nacional al GDPR comunitario el Gobierno ha presentado un Anteproyecto de Ley Orgánica, que sustituirá a la actual LOPD.

Asimismo es de destacar que la Agencia Española de Protección de Datos (AEPD) está desarrollando una gran campaña para ayudar a los ciudadanos a comprender el nuevo marco normativo y a las organizaciones a cumplir con las obligaciones derivadas del GDPR.

Lamentablemente no parece existir la misma preocupación o interés en el caso de las empresas. Ha pasado mas de un año desde la publicación del GDPR y el tiempo restante ya es inferior a este periodo lo cual me induce a reformular la pregunta que hacia al publicar el anterior post en mayo de 2016: ¿Estaremos preparados cuando llegue el momento? Esperamos y deseamos que así sea.

* REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)