Claves legales para entender el nuevo Reglamento General de Protección de Datos (RGDP)

A partir del próximo 25 de mayo comienza a aplicarse de forma efectiva el Reglamento General de Protección de Datos (en adelante, RGPD), aprobado hace ya dos años por las instituciones europeas.

Durante este tiempo, las empresas han redoblado sus esfuerzos para adaptarse a esta normativa, tanto en los casos de empresas titulares de bases de datos (responsables del tratamiento), como aquellos proveedores de servicios que tratan las bases de sus clientes (agencias de marketing digital, empresas de hosting y desarrolladores, senders, etc.).

En las siguientes líneas abordaremos algunas de las principales novedades que presenta este paquete normativo y que supondrán para la mayor parte de las empresas una auténtica revolución en sus sistemas organizativos internos.

1) ¿A qué organizaciones se aplica?

El RGPD aplica a todo tipo de organizaciones que lleven a cabo un tratamiento de datos de carácter personal de residentes en la Unión Europea, independientemente de dónde tenga radicada su sede la organización.

Esto implica por ejemplo que empresas con sede en EEUU, y que traten datos de ciudadanos europeos, deberán adaptar sus procedimientos de tratamiento de datos también a la nueva normativa.

2) ¿A partir del 25 de mayo el RGPD será plenamente aplicable o requerirá un desarrollo legislativo a nivel nacional?

A diferencia de la anterior Directiva de protección de datos, el RGPD será directamente aplicable por parte de las administraciones y tribunales, sin necesidad de esperar una transposición nacional de la norma.

No obstante lo anterior, y puesto que algunas de las disposiciones que actualmente recoge la Ley Orgánica de Protección de Datos podrían entrar en conflicto con el RGPD, se está tramitando la aprobación de una nueva ley orgánica de protección de datos que se adecúe y sea pertinente con respecto al marco normativo europeo, al igual que sucederá en el resto de países de nuestro entorno, para facilitar la armonización de las legislaciones nacionales en este ámbito normativo.

3) ¿Qué es el interés legítimo y cómo afecta a la recogida de datos?

El RGPD introduce el concepto de interés legítimo. Esto implica que las empresas que lleven a cabo una captación de datos tendrán la obligación de justificar frente a los usuarios en sus políticas de privacidad la legitimación que les habilita para llevar a cabo el tratamiento de datos.

Para cumplir con el principio de interés legítimo, el responsable del fichero deberá incluir una explicación detallada de la base legal que justifique el tratamiento de datos de los usuarios y las finalidades concretas y específicas para las cuales se llevará a cabo el tratamiento. 

En este sentido, la Política de Privacidad deberá ser concisa, transparente, inteligible y de fácil acceso, utilizando además un lenguaje claro y sencillo, dando cumplimiento de esta forma al principio de transparencia que recoge igualmente el RGPD: ya no será posible implementar textos legales vagos y difusos, sino que será necesario ofrecer a los usuarios toda la información sobre el tratamiento de sus datos de forma clara y detallada de acuerdo con la realidad del tratamiento.

4) ¿Cuáles serán las principales implicaciones prácticas para la captación de los datos de los usuarios de forma lícita?

La última Guía sobre el consentimiento publicada por el Grupo de trabajo del Artículo 29 es muy clara en este sentido: será lícito el consentimiento que sea prestado de forma específica, libre, informada e inequívoca, mediante una declaración o una clara acción afirmativa por parte del usuario.

La prestación del consentimiento de forma específica supone que las empresas que capten datos deberán ofrecer a los usuarios un opt in (casilla no marcada por defecto) independiente para cada finalidad de tratamiento que tengan previsto llevar a cabo: por ejemplo, deberá ofrecerse al usuario un opt in diferenciado si la empresa prevé realizar cesiones de datos, o bien envíos de emails que incluyan publicidad de terceras empresas.

A continuación ofrecemos un ejemplo de cómo deberá ofrecerse a los usuarios los distintos opt in según las distintas finalidades de tratamiento:

5) ¿Qué quiere decir que el consentimiento sea prestado libremente?

La prestación del consentimiento de forma libre implica que el usuario no tendrá por qué aceptar todas las finalidades de tratamiento de forma condicionada en un formulario de registro, sino sólo aquellas que elija libremente.

Por ejemplo, en una página web que se ofrezca la participación en un concurso, el usuario no debe verse obligado a aceptar la cesión de sus datos a terceras empresas para poder participar en el concurso.

6) ¿Puedo entonces condicionar la prestación de un servicio a la realización de un tratamiento concreto de datos?

Sólo en aquellos casos en los que el tratamiento de datos sea estrictamente necesario para la prestación de un servicio podrá condicionarse la prestación del servicio a la aceptación del tratamiento en cuestión. Por ejemplo, en el caso de un formulario online para la contratación de un seguro de coches, el usuario deberá aceptar la Política de Privacidad de la aseguradora para el tratamiento de sus datos con la finalidad de facilitarle dicha contratación, pero el usuario no podrá ser obligado a aceptar la cesión de sus datos a terceras empresas del sector automoción.

7) ¿Será posible entonces obtener el consentimiento de los usuarios de forma tácita?

No. El RGPD prohíbe expresamente la figura del consentimiento tácito (consentimientos obtenidos mediante opt outs –casillas premarcadas- o frases en sentido negativo -“Pulsar la casilla si no deseo recibir publicidad de terceras empresas”-).

8) ¿Debo enviar un mensaje a los usuarios de mi base de datos para que vuelvan a ratificar su consentimiento?

No será necesario siempre y cuando el consentimiento haya sido captado de acuerdo a las exigencias del RGPD. Sin embargo, y en aquellos casos en los que dispongamos de una base de datos que haya sido captada por ejemplo de forma tácita, sería necesario ratificar el consentimiento conforme se establece en la nueva normativa.

9) ¿Qué es una PIA o Evaluación de Impacto?

Una PIA (Privacy Impact Assesment) es un estudio analítico detallado que se utiliza para poder detectar los riesgos que un determinado tratamiento de datos en concreto puede implicar para los derechos de los usuarios.

Además de la detección de los riesgos, la PIA deberá proponer un conjunto de medidas que favorezcan la gestión más eficaz de los riesgos detectados, eliminándolos o mitigándolos.

10) ¿Cuándo será preciso realizar una PIA o Evaluación de Impacto?

Por ejemplo, será necesario llevar a cabo la realización de una Evaluación de Impacto cuando la empresa realice operaciones de tratamiento de datos personales a gran escala (Big Data), o bien cuando se realice un tratamiento que implique la “evaluación sistemática y exhaustiva de aspectos personales” con base tecnológica, como puede ser la elaboración de perfiles para tomar decisiones que afecten jurídicamente al interesado.

En la Guía sobre Evaluaciones de Impacto de la AEPD se incluye más información sobre este concepto, los casos en los que resulta necesaria, y la forma de realización de una Evaluación de Impacto.

11) ¿Qué es el DPO y cuáles son sus funciones?

El DPO (Data Privacy Oficer) es la persona física o jurídica de la organización que se encargará de coordinar todas aquellas cuestiones que afecten al tratamiento de datos de carácter personal y la privacidad. Deberá ser una figura independiente y con conocimientos materia de protección de datos.

Entre sus funciones destacan las siguientes: (i) supervisar el cumplimiento de lo dispuesto en el RGPD dentro de la organización, (ii) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación, (iii) cooperar con la autoridad de control (en España, la Agencia Española de Protección de Datos), (iv) Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, y realizar consultas, en su caso, sobre cualquier otro asunto.

Será necesario contar con la figura de un DPO en los casos de un tratamiento de datos a gran escala y/o en el caso de un tratamiento de datos sensibles. La obligación de proceder al nombramiento de un DPO no dependerá por lo tanto del número de empleados de una organización, sino que vendrá determinado por el tipo de tratamiento de datos que lleve a cabo dicha organización.

12) ¿Qué sanciones se prevén en el RGPD en caso de incumplimiento de la normativa?

Las sanciones se endurecen respecto a la anterior normativa con la aplicación del RGPD: las multas podrán llegar a suponer 20 millones de Euros o el 4% de la facturación anual del grupo de empresas, aunque habrá de analizarse caso por caso para poder determinar su alcance.