La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental”. Con esta rotundidad comienza el Reglamento 2016/679, del Parlamento Europeo y del Consejo de la UE, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, RGPD). El RGPD entró en vigor en mayo de 2016, si bien no es de aplicación hasta el 25 de mayo de 2018.

En esta situación, la primera pregunta que se plantean muchos empresarios es ¿qué normativa he de cumplir? Hasta el 25 de mayo de 2018 resultará de plena aplicación la normativa actual, reguladora de la protección de datos de carácter personal; es decir, la LOPD y su reglamento de desarrollo.

Ahora bien, poco a poco las organizaciones deberán ir adecuando su gestión de los datos de carácter personal al nuevo marco regulatorio, de forma que, una vez llegue la fecha señalada, estén perfectamente adaptadas. Y no es un proceso sencillo, porque el RGPD incorpora novedades significativas en la gestión de datos personales. Todo ello unido al nuevo régimen sancionador, con multas de veinte millones de euros o el 4 % del volumen de negocio total anual global –lo que sea mayor–, recomiendan comenzar lo antes posible el análisis y adaptación.

Novedades más significativas
Me referiré a continuación, por tanto, a algunas de las novedades más significativas. En el ámbito del consentimiento como base legal para el tratamiento, este se considerará lícito si el interesado dio su consentimiento, pero atención, ya no bastará el tácito previsto en el reglamento de desarrollo de la LOPD, sino que, en todo caso, habrá de obtenerse mediante una declaración o una clara acción afirmativa.

Esto obliga a revisar la base legal de los tratamientos, valorar si puede acudirse a una base distinta y, en caso de no resultar posible, a obtener de nuevo el consentimiento según el requisito citado respecto de aquellos tratamientos cuya aceptación se obtuvo de forma tácita. Con el RGPD se deberá facilitar más información y en un formato conciso, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. Por tanto, las organizaciones deberán revisar y adaptar las cláusulas informativas que hasta ahora incluía en sus contratos, webs, aplicaciones, etc.

Ahora ya sabemos qué información se ha de facilitar, la siguiente pregunta es quién y cuándo. A la pregunta de quién, la obligación de informar es responsabilidad del responsable del tratamiento; es decir, de quien determina sus fines y medios. ¿Cuándo? En el momento en que se soliciten los datos, previamente a la recogida o registro, si es que los datos se obtienen directamente del interesado.

En el caso de que no se obtengan del propio interesado (por proceder de alguna cesión legítima, o de fuentes de acceso público), se informará a las personas interesadas dentro de un plazo razonable pero, en cualquier caso, antes de un mes desde que se obtuvieron los datos personales y antes o en la primera comunicación con el interesado.

El RGPD reconoce nuevos derechos de los interesados. Entre ellos, el de portabilidad, que puede tener un impacto notable en las organizaciones, pues supone la obligación de que estas transmitan directamente la información a quien el interesado designe (competidor en muchos casos).

Con el nuevo RGPD se obliga al responsable a evaluar los riesgos de sus tratamientos y a adoptar medidas técnicas y organizativas apropiadas para garantizar y poder demostrar el cumplimiento de esa norma. Dejamos atrás pues los listados de medidas en función del nivel de los ficheros y pasamos a asumir la responsabilidad sobre su elección y su implementación.

En este nuevo contexto, las auditorías bienales quizá podrían ser insuficientes para determinadas organizaciones. En todo caso, la organización es responsable de la revisión periódica de las medidas de seguridad que adopta. En cuanto al encargado del tratamiento, lo cierto es que la normativa ya preveía que se regulase la relación entre este y el responsable mediante un contrato u otro medio jurídico, cuestión que permanece en el RGPD. No obstante, se añaden contenidos, por lo que dichos contratos deberán revisarse.

El RGPD no contempla la obligación de notificación de ficheros a la Agencia Española de Protección de Datos (AEPD), pero sí la llevanza de un registro de las actividades de tratamiento. Aunque esta obligación no sea exigible a empresas u organizaciones con menos de 250 empleados (con determinadas excepciones), qué duda cabe que el registro de actividades es un instrumento recomendable para documentar los tratamientos, facilitar el análisis de riesgos y, en definitiva, facilitar la demostración del cumplimiento del RGPD.

Obligaciones que aparecen
Otras obligaciones de interés que contempla el RGPD son:

1. La obligación de llevar a cabo una evaluación del impacto de las operaciones de tratamiento cuando este entrañe un alto riesgo para los derechos y libertades de los interesados.
La autoridad de control establecerá y publicará una lista de los tipos de operaciones de tratamiento que requieran la evaluación, pero no será exhaustiva, por lo que el responsable seguirá teniendo que valorar si debe realizar o no las referidas evaluaciones.

2. La obligación de notificar una violación de la seguridad de los datos personales a la autoridad de control y, si entraña un alto riesgo para los derechos y libertades de las personas físicas, la obligación de comunicar tal violación al interesado.

3. La figura del Delegado de Protección de Datos para determinadas actividades de tratamiento, como un asesor y supervisor del cumplimiento del RGPD en cada empresa o grupo empresarial, así como un punto de contacto con las autoridades de control e interesados. Aunque su obligatoriedad se plantea solo para organizaciones que realicen determinadas actividades de tratamiento y para organismos públicos, qué duda cabe que su nombramiento evidencia el reconocimiento de la organización a la importancia que la Unión Europea le confiere al derecho fundamental a la protección de datos de carácter personal.