Martes, 18 julio 2017

Comienza una nueva era en el tratamiento y la protección de datos personales

El mundo está cambiando y el derecho debe ir adaptándose a los dictados y necesidades sociales. Así pues, el 25 de mayo de 2018 comenzará una nueva era en la protección de datos, ya que finaliza el periodo de transición y la Ley orgánica 15/1999 (Ley Orgánica de Protección de datos) pasa a mejor clúster. Es por ello necesario adaptarse cuanto antes a los notables cambios que la nueva reglamentación conlleva.

El Reglamento Europeo de Protección de Datos entró en vigor el 25 de mayo de 2016 y, tal como avanzamos, será aplicable a partir del 25 de mayo de 2018. En este periodo transitorio y aun cuando siguen vigentes las disposiciones de la Directiva 95/46 y las correspondientes normas nacionales de desarrollo, los responsables y encargados de tratamiento deben ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del REPD en el momento en que sea de aplicación.

Compliance es un término de origen anglosajón que deriva del sector financiero, área tradicionalmente sometida a una compleja legislación. Literal y formalmente significa the act of obeying an order, rule, or request cuya traducción práctica es “cumplimiento normativo”. En este aspecto, destaca la figura del Compliance Officer (o director de cumplimiento normativo) para las organizaciones y que está calando -ya sea como parte de la plantilla o como servicio externo- en las empresas españolas debido al endurecimiento de la legislación y a la necesidad de garantizar el cumplimiento normativo.

La Ley Orgánica 15/2003, de 25 de noviembre de reforma del Código Penal, introdujo como una de las reformas más destacables en la parte general, la responsabilidad penal de las personas jurídicas. En esta línea, la Ley Orgánica 5/2010 de 22 de junio introdujo de manera expresa en su articulado la responsabilidad penal de las personas jurídicas así como un catálogo cerrado de delitos por los que una persona jurídica podría ser responsable penalmente, consagrando de manera definitiva en nuestro ordenamiento, la desaparición del principio penal clásico Societas delinquere non potest, es decir, que una persona jurídica no puede delinquir y solo las personas físicas podían.

Recientemente, la Ley Orgánica 1/2015 de 30 de marzo de reforma del Código Penal introdujo nuevamente una serie de reformas. Asimismo, la Fiscalía General del Estado publicó la Circular (1/2016), en la que se analiza la responsabilidad penal de las personas jurídicas. Por tanto, la modificación del código penal y la desaparición del mencionado principio penal clásico, abre una nueva era dogmática jurídicopenal en  el mundo empresarial.

Con un régimen sancionador sin precedentes, que puede imponer multas de hasta el 4% del volumen total anual global de facturación de una compañía o llegar a los 20 millones de euros, el oro del siglo XXI, como se conoce a los datos personales, entra en una nueva era de gestión

 

“El nuevo Reglamento Europeo de Protección de Datos (REPD) crea un nuevo paradigma que cambiará la forma de entender y gestionar los datos personales”.  

 

 

Los diez cambios más relevantes que implica el reglamento europeo de protección de datos son:

 

1) Consentimiento expreso e inequívoco: libre, específico, informado y demostrable.

2) Categorías de datos especiales: origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticosy  datos biométricos que permitan la identificación unívoca de una persona, datos relativos a la salud, datos relativos a la vida y orientación sexual.

3) Nuevas obligaciones como encargado del tratamiento: informar de las brechas de seguridad, comunicar en un máximo de 72 horas los fallos de seguridad y la obligación de un estudio de riesgo para las empresas que utilicen datos sensibles.

4) Privacy Impact Assessments: evaluaciones de impacto en protección de datos siempre que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas.

5) Promueve la creación de perfiles o la seudonimizaciónrelevantes en entornos y procesos de Cloud Computing y Big Data. Es una medida encaminada a la reducción de riesgos que consiste en la separación con “barreras” técnicas u organizativas que impidan la identificación posterior.

6) Data Protection Officer (Delegado de protección de datos). Profesionalización de la figura del responsable de protección el cual será obligatorio, ya sea en plantilla o externalizado, en determinados organismos, empresas e instituciones.

7) Data Mapping: se trata de elaborar un inventario del flujo de datos; identificar y registrar las principales bases de datos y posteriormente clasificarlas.

8) Amplía el concepto de “dato personal”, ya que incluirá los números de identificación en línea o de localización.

9) Nuevos derechos para los titulares de datos. A los derechos ARCO (acceso, rectificación, cancelación y oposición) se suman el derecho a la supresión (derecho al olvido), derecho a la limitación y derecho de portabilidad.

10) Tres principios:  accountability o principio de control, rendición de cuentas y diligencia debida; privacy by design o implementar medidas y procedimientos técnicos y organizativos apropiados para garantizar el cumplimiento normativo y la protección de los derechos de los interesados; y, en su caso, garantizar por defecto el tratamiento de datos para fines concretos o privacy by default.

 

La eliminación de datos

Pese a que parece tarea sencilla, disociar los datos de manera irreversible no lo es; hacen falta sistemas de gran complejidad de manera que la identificación exija esfuerzos desproporcionados y que en la práctica sea equivalente al borrado permanente.

Así pues, el uso de datos de carácter personal de manera abierta en procesos como el Open Data, Big Data o la transparencia del sector público exige un ejercicio constante de ponderación entre el derecho a la información y el derecho a la protección de los datos personales.

 

Conclusiones

A pesar del amplio camino recorrido durante estos últimos años a través Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, nos encontramos ante una nueva era respecto a los sistemas de protección de datos personales, con importantes exigencias e imperativos legales.

Es por ello necesario desarrollar un modelo de implantación del Reglamento Europeo de Protección de Datos, antes del 25 de mayo de 2018, si queremos cumplir con la normativa en tiempo y forma.

 

Abraham Muinelo. Director BvQ Consulting. Profesor del Programa Avanzado en Corporate Compliance (UNIR)