Ya pasó la tormenta RGPD del 25 de mayo ¿y ahora qué?

– Información al lector – Tiempo aproximado de lectura: 10 minutos

Artículo publicado en “Calle de Letrados” revista oficial del Ilustre Colegio de Abogados de Córdoba tras la Jornada sobre Abogacía y el RGPD.

Ya ha pasado la emblemática fecha del 25 de mayo de 2018. El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (y por el que se deroga la Directiva 95/46/CE de la que trae causa nuestra Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal) el RGPD, está plenamente en vigor desde esa fecha tan señalada (y recordada, mencionada, referida, etc …) del 25 de mayo de 2018. Ya ha pasado el tsunami arrollador de correos electrónicos solicitando el consentimiento expreso y notificando los cambios en las políticas de privacidad …Parecía que no existía normativa sobre privacidad ni protección de datos antes de esa fecha y es una legislación que data del año 1.992 con nuestra Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal.

Qué saber sobre esta normativa

Las características de dicha norma al tratarse de un Reglamento (no una Directiva que requiere de trasposición al Ordenamiento jurídico mediante su desarrollo) es que es una norma de alcance general y obligatoria en todos sus elementos, con inclusión directa en el ordenamiento jurídico interno de cada Estado miembro, no es necesario para su integración y aplicación un texto nacional del Estado miembro, garantiza un nivel uniforme, equivalente, coherente y homogéneo, concede una posibilidad de ampliación normativa en situaciones específicas de tratamiento (por ejemplo libertad de expresión o en el ámbito laboral) y lo más importante, convierte en inaplicable cualquier precepto de cualquier norma nacional que lo contradiga.

Esta normativa convivirá hasta la publicación de la nueva LOPD española, que complemente a la normativa europea (que al día de la fecha está en fase de proyecto de ley) con la actual Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal y con el resto de normas que regulen la privacidad y la protección de datos de carácter personal.

Qué cambios esenciales nos trae dicha normativa

Resumamos de forma elemental los grandes cambios:

  • Se ha clausurado el Registro General de Protección de Datos de la Agencia Española de Protección de Datos por lo que ya no existe la obligación de declarar los ficheros a dicho Registro.
  • Se eliminan las categorías de datos y de niveles de protección (nivel básico, medio y alto)
  • Se prescinden de las listas de medidas de seguridad predefinidas y preestablecidas (por ejemplo, las relacionadas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD)

Estas novedades derivan de la correcta comprensión entre “Fichero” y “Tratamiento” que ya figuraba en la Directiva 95/46/CE (y que la LOPD ignoró modificando incorrectamente la concepción automatizada de la LORTAD creando figuras tan misteriosas como el responsable del fichero) y que el RGPD nos obliga de forma directa ahora:

Artículo 2 Ámbito de aplicación material

  1. El presente Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales contenidos o destinados a ser incluidos en un fichero.

Por eso toda concepción basada en la “estática del dato” choca frontalmente con la “dinámica del tratamiento” pues el fichero siempre ha sido y será un conjunto de datos:

Artículo 4.6) «Fichero»: todo conjunto estructurado de datos personales, accesibles con arreglo a criterios determinados, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.”

y el tratamiento las operaciones que se realizaban con esos datos:

Artículo 4.2) “«Tratamiento»: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.”

sirviendo la normativa para proteger los derechos de las personas físicas con ocasión de su tratamiento y no para proteger los datos.

Otros cambios son:

  • libertad de forma para documentar y desarrollar las medidas de seguridad que se deben diseñar e implementar.
  • la exigencia de acreditar el cumplimiento de todo lo en él establecido, pues sigue la pauta del compliance para instaurar la cultura del cumplimiento y de la responsabilidad proactiva: no se puede esperar a que las incidencias ocurran sino que hay que realizar todo lo posible para que no aparezcan.

Qué debemos hacer cómo abogados en nuestros despachos profesionales

Entiendo que lo más adecuado para realizar una correcta adaptación a la normativa de protección de datos en nuestros despachos es ir por una serie de fases.

FASE I – ANÁLISIS

En la primera fase lo principal es analizar tras una detallada observación cuáles son los datos que tratamos y de qué forma. Esta información es la base para las posteriores fases.

Describir la actividad desarrollada

Hemos de delimitar que servicios prestamos: asesoramiento, forense, elaboración de nóminas, etc … Puede de servir de pauta los siguientes ítems:

  • Qué actividad o actividades desarrollo
  • Qué datos trato
  • De quién son esos datos
  • Para qué trato los datos
  • De qué forma y con qué medios trato los datos

Con los datos obtenidos en la fase anterior podemos pasar al siguiente punto que consiste en elaborar el registro de actividades que sustituye a los anteriores ficheros.

Elaborar el Registro de Actividades

Si no tenemos delimitadas las actividades que desarrollamos no podremos continuar con el resto de exigencias normativas. Por ello fíjate bien en:

  • Ficheros asignados
  • Finalidad o finalidades
  • Inicio y finalización del tratamiento
  • Categorías de interesados y datos
  • Comunicaciones y cesiones
  • Transferencias internacionales

Cuando ya tengamos configurado el registro de actividades podemos ver cuál es el riesgo que soporta y entraña cada tratamiento, y lo podremos delimitar con el punto siguiente.

Análisis de riesgos y/o evaluación de impacto

  • Localizar posibles amenazas (quién o qué puede ser el causante y cuándo y cómo puede realizarlo)
  • Comprender posibles daños (qué puede sufrir daño y qué perjuicio puede producirse)
  • Identificar el riesgo (calcular la probabilidad de ocurrencia y medir la intensidad del daño)

El riesgo se define como la probabilidad de que una amenaza se materialice y de la magnitud que ese daño pueda producir. Por ejemplo, los riesgos pueden ser:

  • No informar de sus derechos al interesado
  • Recabar datos erróneos normales o sensibles
  • No verificar la veracidad
  • Carecer de legitimación para el tratamiento
  • Medidas de seguridad insuficientes
  • Etc …

 

Si no vamos a desarrollar nuestro propias normas y medidas de seguridad sino que vamos a encomendar esta labor a otro profesional (preferentemente abogado, no admitáis solamente empresas informáticas que se limitarán a las medidas de seguridad del dato y no de las consecuencias sobre los derechos de los interesados del tratamiento sobre sus datos personales) aseguraros que realizan un adecuado análisis de riesgos con las herramientas adecuadas.

 

FASE II – DEFINICIÓN DE POLÍTICAS

Cuando ya sepamos que tratamientos realizamos y que riesgos se soportan (el tratamiento, en su vertiente de integridad, disponibilidad y confidencialidad) y qué riesgos pueden provocar (a los derechos y libertades de los interesados) podemos definir las diferentes políticas que rijan nuestra actividad profesional.

Estas serían unas pautas para su definición y redacción:

Política de tratamiento

  • Determinar la base jurídica del tratamiento (consentimiento, ejecución de contrato y cumplimiento de obligaciones legales)
  • Concretar las finalidades perseguidas
  • Configurar cláusulas de confidencialidad
  • Comprobar los principios de tratamiento (licitud, minimización, conservación y exactitud)

Aquí perfilamos las finalidades, comprobamos que los principios se aplican y podemos configurar las correspondientes cláusulas de confidencialidad.

Política de información

  • Delimitar los derechos del interesado
  • Determinar la información previa a los interesados
  • Configurar las cláusulas informativas necesarias y su contenido
  • Definir políticas de privacidad (por ejemplo, en la web)

Aquí delimitamos todos los derechos de los interesados (nuestros clientes). Esta información siempre será necesaria con independencia de que no haya que solicitar el consentimiento expreso para tratar los datos, ya que nuestra base de legitimación del tratamiento deriva del cumplimiento de un contrato y del cumplimiento de obligaciones legales (artículo 6.1 letras b y c del RGPD).

Política de seguridad

  • Definir la privacy by design adoptada
  • Definir la privacy by default adoptada
  • Delimitar el alcance de las medidas que garanticen la integridad, disponibilidad y confidencialidad
  • Delimitar el alcance de vulnerabilidad y la garantía de resiliencia del sistema

Con esta política se consigue, tal como exige la nueva reglamentación, que la privacidad se mantenga desde el principio en cada una de las actividades que desarrollemos así como que la información se conserve de forma adecuada y que no accedan a ellas personas no autorizadas o terceros.

FASE III – ADAPTACIÓN e IMPLEMENTACIÓN

  • Definir las medidas organizativas mediante las oportunas normas, reglas y protocolos
  • Implementar la medidas técnicas adecuadas en desarrollo de las medidas organizativas definidas
  • Redactar y cumplimentar la documentación necesaria (cláusulas y contratos)
  • Insertar cláusulas informativas donde procedan

En esta fase se diseñan todas las medidas que sean necesarias. Por ejemplo: Conservación de la información, que garantiza la integridad y disponibilidad, periodo de realización, programas que se emplean, etc …

También el desarrollo de cada uno de los textos legales que correspondan.

Las tareas que tenemos pendientes después son:

I – CONTROLES PERIÓDICOS DE VERIFICACIÓN

  • Implementar un Registro de Incidencias
  • Analizar periódicamente las incidencias
  • Analizar periódicamente las medidas organizativas
  • Comprobar periódicamente las medidas técnicas
  • Monitorizar los recursos susceptibles de adolecer de vulnerabilidades

El motivo es la comprobación permanente que el sistema funciona. Ello solamente es posible con dichos controles que nos dirán si hay que modificar o cambiar algo de nuestras medidas de seguridad y en su caso de las políticas aplicables.

II – NOTIFICACIONES Y COMUNICACIONES de violaciones de seguridad

  • En supuesto de materializarse alguna amenaza valorar si ha existido una violación de seguridad y su alcance
  • Notificar la violación de seguridad a la AEPD (en el plazo de 72 horas) y comunicarla al interesado, en su caso, sin dilación indebida.
  • Adoptar medidas para subsanar la falta de seguridad y mitigar posibles efectos negativos
  • Documentarlo todo

Esta es otra gran novedad. Todos estamos interconectados y se exige que cualquier brecha de seguridad que afecte a los derechos de los interesados se notifique a la AEPD y en su caso a los interesados, subsanando los efectos negativos producidos y realizando todo lo posible para que no vuelva a suceder.

Esta medida se puede evitar si no da lugar a la vulneración de los derechos de los interesados, por ejemplo manteniendo cifrada nuestra información (hay programas gratuitos que lo realizan de forma sencilla: si hay un robo o de información pero los datos están cifrados no existe perjuicio alguno ya que son ininteligibles y no se ocasiona ningún perjuicio a la privacidad del interesado).

III – ATENDER DERECHOS DE LOS INTERESADOS

  • Admitir las solicitudes de acceso, rectificación, cancelación, oposición, supresión, limitación de tratamiento y la posible portabilidad de los datos a otro abogado en caso de venia.
  • Valorar las peticiones
  • Estimar o desestimar la petición realizada
  • Contestar al interesado

Este apartado es esencialmente tal como estaba previsto en la normativa anterior, añadiendo la peculiaridad de la portabilidad de los datos (si figuran en formato informático) y la limitación del tratamiento de los mismos en los supuestos de solicitud de borrado o cancelación de los mismos por solicitud del interesado del mantenimiento de los mismos hasta la resolución de dichas solicitudes de borrado y cancelación.

Por último recuerda

La privacidad y protección de datos de nuestros clientes es importante por nuestra imagen y prestigio, también por las obligaciones deontológicas que nos obligan a ello, y no por las posibles sanciones que pueden imponer (hasta diez millones de euros por infracciones leves y hasta veinte millones de euros por infracciones graves).

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *