Por todos es sabido que desde el pasado 25 de mayo de 2018, las normas de protección de datos han sufrido una evolución, fruto de la trasformación digital que viene persistiendo en los últimos años. Vivimos con una sobreexposición de los datos personales, en consecuencia, la Unión Europea ha apostado por una reforma que afecta directamente a esta materia.
Por ende, para comprender el origen de la aplicación de la normativa europea de protección de datos tenemos que detenernos en señalar que la regulación viene de la mano de un Reglamento no de una Directiva, jurídicamente vinculante y aplicable de inmediato para todos los Estados Miembros sin la posibilidad de conceder periodo y transitorio para su aplicación.
El objetivo principal del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), es unificar los principios de protección de datos de la Unión Europea y que el ciudadano obtenga la información sobre cómo se tratan sus datos personales y quien los está almacenando.
Por tanto, entre las novedades que nos trae el RGPD se encuentra el principio de Responsabilidad Proactiva de las empresas o Accountability que exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
El RGPD adopta un enfoque proactivo, e introduce ciertas modificaciones que las organizaciones como responsables deberán adaptar obligatoriamente. Entre otras habrán de integrar medidas preventivas dirigidas a reducir los riesgos de incumplimiento y, así como estar en condiciones de demostrar que ha implantado y que son las adecuadas para lograr la finalidad perseguida.
A modo enunciativo y como ejemplo de medidas para lograr este principio de responsabilidad proactiva, como ha indicado la Autoridad de Control, (Agencia de protección de datos en adelante AEPD), en el RGPD se señalan las siguientes:
- Crear un Registro de actividades de tratamiento.
- Establecer medidas de protección de datos desde el diseño y por defecto.
- Realizar un Análisis de riesgos y adopción de medidas de seguridad.
- Notificar las quiebras de seguridad.
- Elaborar Evaluaciones de impacto sobre la protección de datos.
- Integrar en la organización la figura del Delegado de Protección de Datos.
- La adhesión por parte de responsables y encargados de tratamiento a códigos de conducta, mecanismos de certificación, sellos y marcas de protección de datos.
Estas medidas se completan con los derechos de los afectados respecto al tratamiento de sus datos personales, la regulación contractual entre el responsable y el encargado de tratamiento, así como la legitimación para el tratamiento de los datos personales, recogida en el artículo 6 del RGPD:
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física. El considerando 46 establece como ejemplos de intereses vitales y de interés público, aquellos relativos al tratamiento necesario para fines humanitarios (incluido el control de epidemias y su propagación) y situaciones de emergencia humanitaria, sobre todo en caso de catástrofes naturales o de origen humano.
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.
Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.”
Para completar el marco normativo, el pasado 6 de diciembre de 2018, se publicó en el BOE, la Ley 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantías de derechos digitales (LOPDGDD).
El objetivo de esta Ley es adaptar al ordenamiento español al RGPD, aclarando algún concepto del mismo.
La nueva LOPDGDD consta de noventa y siete artículos estructurados en diez títulos, y entre los aspectos más destacable se señalan los siguientes:
- Regula el tratamiento de datos de las personas fallecidas.
- Establece la edad del menor para otorga su consentimiento sobre el tratamiento de sus datos en 14 años.
- Especifica las funciones del Delegado del Protección de Datos.
- Establece modificación de importantes normas.
Introduce en el Título X, una novedosa regulación, relativa a la “Garantía de los derechos digitales” como el derecho a la neutralidad en internet, Derecho al acceso universal a internet, Derecho a la seguridad digital, derecho a la educación digital, protección de menores en internet, Derecho a rectificación en internet, Derecho a la desconexión digital en el ámbito laboral, etc.
Finalmente, es importante recalcar que no todos los preceptos de la LOPDGDD gozan de la protección reforzada de la Ley Orgánica. La Disposición Final Primera tendrán naturaleza de ley ordinaria, es decir, el Título IV, el Título VII, salvo los artículos 52 y 53, que tienen carácter orgánico, el Título VIII, el Título IX, los artículos 79, 80, 81, 82, 88, 95, 96 y 97 del Título X, las disposiciones adicionales, salvo la disposición adicional segunda y la disposición adicional decimoséptima, que tienen carácter orgánico, las disposiciones transitorias y las disposiciones finales, salvo las disposiciones finales primera, segunda, tercera, cuarta, octava, décima y decimosexta, que tienen carácter orgánico.
Macarena Gutiérrez Pérez
Abogada especializada en Derecho Digital