Llevamos ya mucho tiempo oyendo hablar del nuevo Reglamento General de Protección de Datos (1) RGPD de la Unión Europea (UE), sin lugar a dudas uno de los hitos legislativos más importantes en materia de datos personales a nivel mundial, que entró en vigor hace casi dos años (2), pero que no empezará a ser aplicable hasta dentro de dos meses, el 25 de mayo de 2018. En una era caracterizada por la globalización y por una evolución tecnológica sin precedentes, que permite el intercambio de datos personales de forma masiva, el RGPD pretende establecer un nuevo régimen normativo que aumente la transparencia del tratamiento.

Consciente de los retos que este ambicioso cambio normativo supone para todos los operadores, el legislador europeo ha establecido un periodo transitorio de dos años para, de un lado, dar un cierto margen a los Estados miembros de la Unión para acometer las reformas legales que sean necesarias, adaptando sus normas internas al nuevo marco jurídico. Y de otro, para permitir a las empresas, organizaciones y Administraciones Públicas, prepararse y anticiparse, cambiando los procedimientos internos para revisar el contenido de las cláusulas informativas, el modo en que recabamos el consentimiento o, en definitiva, cómo debemos afrontar las nuevas obligaciones que nos impone el RGPD.

Estamos ya jugando en tiempo de descuento y la fecha prevista para la aplicación del RGPD está a la vuelta de la esquina, pero ¿estamos realmente preparados para el 25 de mayo?

Debemos ser conscientes de que el RGPD afecta a todos los operadores en mayor o menor medida (nótese que el simple almacenamiento de los datos necesarios para confeccionar nóminas de empleados o el mantenimiento de una agenda con el nombre y apellidos de los clientes con los que nos comunicamos cada día, constituye un tratamiento de datos sujeto al RGPD (3), y si algo pretende combatir esta nueva norma es la inactividad, por lo que quedarse de brazos cruzados puede salirnos muy caro.

En efecto, el nuevo RGPD agrava considerablemente el régimen sancionatorio, estableciendo elevadísimas multas en caso de incumplimiento, que pueden causar serios estragos a cualquier empresa, toda vez que para las infracciones más graves se prevén sanciones de hasta 20 millones de euros o del 4 % del volumen de negocio total anual global del ejercicio financiero anterior (optándose por la de mayor cuantía).

La anticipación es la clave para entender el nuevo RGPD. A los ya consagrados principios que deben inspirar cualquier tratamiento de datos de carácter personal -licitud, lealtad, transparencia, limitación de la finalidad, minimización, exactitud, limitación del plazo de conservación, integridad y confidencialidad-, se incorpora como novedad el principio de responsabilidad proactiva, que no solo obliga a las empresas a anticiparse a potenciales riesgos, adoptando medidas técnicas y organizativas apropiadas en función de los riesgos detectados (teniendo en cuenta la tecnología disponible, los costes que supone y las características del tratamiento), sino que exige a los responsables que sean capaces de acreditar dicho cumplimiento (4).

Veamos pues algunas de las principales novedades que nos trae el RGPD:
> El concepto de dato personal, definido como “toda información sobre una persona física identificada o identificable”, se amplía al incluir nuevos identificadores como datos de localización, identificadores en línea (como las “cookies”) o datos genéticos y biométricos (como la huella dactilar), perteneciendo estos últimos a la categoría de datos especialmente protegidos.

> También se modifica la definición de consentimiento, al añadir que la actual “manifestación de voluntad libre, específica, informada e inequívoca”, deberá expresarse mediante una declaración o una clara acción afirmativa, por la que el interesado manifieste su voluntad de aceptar el tratamiento de sus datos personales -no se admitirán formas de consentimiento tácitas o por omisión que se basen en la inacción-.

> Consecuencia del principio de transparencia es la obligatoriedad de ofrecer a los interesados información respecto a las condiciones del tratamiento, que no solo debe proporcionarse de forma concisa, transparente, inteligible y de fácil acceso, evitando fórmulas oscuras o farragosas, sino que, al mismo tiempo, debe ofrecer información acerca de la base jurídica del tratamiento, los datos de contacto del delegado de protección en los supuestos que proceda, los plazos de conservación, el derecho a retirar el consentimiento y a reclamar ante una autoridad de control o, en su caso, la eventual realización de perfiles o de transferencias internacionales.

> En cuanto a los conocidos derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), se regula por primera vez el famoso derecho al olvido, que permite al interesado solicitar la inmediata supresión, bloqueo o desindexación de sus datos, cuando su tratamiento haya dejado de ser necesario, y se incorpora el novedoso derecho a la portabilidad de datos, mediante el cual se tendrá la facultad de obtener los propios datos personales facilitados al responsable, en un formato estructurado, de uso común y lectura mecánica, y a que sean transmitidos de un responsable a otro.

> Otra de las novedades más relevantes es la figura del Delegado de Protección de Datos; una figura cualificada de designación obligatoria en determinadas organizaciones (por ejemplo, para hospitales o empresas de vigilancia, donde la actividad principal requiere una observación sistemática y habitual de personas a gran escala), que se configura como el elemento central del nuevo marco jurídico y que deberá facilitar el cumplimiento del RGPD.

> Asímismo, entre otras novedades, se prevé la posibilidad de que el interesado acuda a la vía judicial directamente si considera que sus derechos han sido vulnerados –reclamando, por ejemplo, daños y perjuicios-, la obligación de notificar violaciones de seguridad de datos personales a la autoridad de control en un plazo máximo de 72 horas –salvo causa justificada-, o la exigencia para determinadas organizaciones de llevar un registro interno de las actividades que se realizan.

En definitiva, el nuevo RGPD exige a las organizaciones adoptar una actitud consciente, diligente y proactiva, por lo que antes del 25 de mayo deberán analizarse qué datos se tratan, con qué finalidad y qué tipo de operaciones de tratamiento se llevan a cabo, mediante un cambio de perspectiva, que deberá basarse en un principio de responsabilidad proactiva y enfoque de riesgo, documentando las políticas a nivel interno y los procedimientos y actuaciones que se llevan a cabo para evitar la imposición de sanciones.

1. REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE.
2. El RGPD entró en vigor el 25 de mayo de 2016.
3. El artículo 4.2 RGPD define el concepto de tratamiento de datos como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por pro ce-di mi en tos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
4. Conforme al artículo 5.2 del RGPD, el responsable del tratamiento no solo será responsable del cumplimiento, sino que deberá ser capaz de demostrarlo”.