Artículo publicado en la revista del Ilustre Colegio de Procuradores de Madrid, nº 43 – 4º Trimestre 2017
En este artículo publicado en la revista del ICPM, Vassileios Karagiorgos, Managing Director de DGE Bruxelles en España analiza los cambios y más importantes novedades que iba a traer el nuevo por entonces Reglamento de Protección de Datos para el sector de las PYMEs y Profesionales libres.
Como punto de partida se aclaraba que en España el RGPD iba a complementarse con una nueva Ley Orgánica de Protección de Datos (LOPD) que sustituiría la por entonces LOPD 15/1999 y desarrollaría ciertos aspectos del RGPD que el legislador Europeo no llegó a definir en detalle, habiendo dejado a los Estados la potestad de su desarrollo particular.
Como aspecto a destacar de la nueva normativa se reseñaba que lo que le diferencia principalmente respecto al marco jurídico anterior es el carácter ‘auto regulador’ que prevé para los sujetos obligados. A partir de 25 de Mayo de 2018, fecha de entrada en aplicación del RGPD y de la nueva LOPDGDD, dejaría de ser el legislador el que imponga una serie de medidas de seguridad que cada responsable de tratamiento de datos debiera aplicar; siendo este último, a partir de ahora, el responsable de definir y diseñar sus propias medidas.
Lógicamente, el reglamento establece una serie de objetivos (confidencialidad, integridad, resiliencia de los sistemas, capacidad de restaurar la disponibilidad y el acceso a los datos, por citar algunos) los cuales deben ser cumplidos conforme a las medidas establecidas por cada responsable de tratamiento de datos. Precisamente es este aspecto el que empieza a generar los primeros problemas para las pequeñas entidades y los profesionales. Teniendo en cuenta que estos últimos no suelen contar con recursos propios para el soporte de sistemas y servicios de cumplimiento normativo, les resultará compleja la tarea de llevar a cabo la ‘personalización’ de las medidas establecidas por el RGPD e insertarlas en su propia organización.
Por el otro lado, no es menos cierto que el RGPD prevé una cierta flexibilización de obligaciones para aquellas PYMEs y profesionales que no tratan datos de categorías especiales (los que hasta ahora denominábamos ‘ficheros de nivel alto’) o datos sobre infracciones administrativas o penales. Así, por ejemplo, este tipo de sujetos no estarán obligados a mantener un Registro de Actividades de Operaciones de Tratamiento y tampoco a realizar una Evaluación de Impacto sobre las actividades de tratamientos llevadas por ellos. Según datos facilitados por la propia Agencia de Protección de Datos, la gran mayoría de nuestras PYMEs y profesionales se englobarían en este perfil ‘simplificado’. No obstante, en el caso de los Procuradores de los Tribunales, al igual que otros profesionales como los Abogados, los Asesores fiscales y contables, los Auditores de Cuentas, etc. tienen que crear y mantener un Registro de Actividades de Operaciones de Tratamiento (que sustituirá el actual ‘Documento de Seguridad’) debido a la tipología de datos tratados por ellos.
En cualquier caso, todos los sujetos obligados a la nueva normativa de protección de datos deberán cumplir con las siguientes obligaciones:
- Facilitar a todas las personas interesadas (sus empleados, clientes, clientes potenciales, proveedores, colaboradores, etc.) una información pormenorizada de las finalidades de la recogida de los datos, del responsable de tratamiento, de los derechos de las personas y como ejercerlos, etc. Dado que la información a facilitar es muy extensa, la Agencia de Protección de Datos recomienda, a través de su guía sobre el ‘deber de información’, que dicha información sea recogida en ‘dos capas’ toda vez que resultaría imposible incluir todo este contenido en una única clausula informativa.
- En el caso que se requiera el consentimiento de la persona, este debe ser libre e inequívoco, no estando permitidas fórmulas usadas hasta la fecha como la de consentimiento tácito o los múltiples consentimientos mediante una única aceptación.
- Establecer medidas de seguridad conforme a la ‘sensibilidad’ de los datos que manejan, el estado de la técnica en cada momento, su capacidad de gestión y los costes de la aplicación.
- Establecer un procedimiento de atención y respuesta a las solicitudes de los interesados sobre el ejercicio de sus derechos ampliados: al lado de los derechos tradicionales ‘ARCO’ (Acceso, Rectificación, Cancelación y Oposición) se añaden nuevos conceptos como ‘Portabilidad’ de los datos, ‘Limitación’ del tratamiento, derecho de ‘no ser objeto de una decisión basada únicamente a tratamientos automatizados’, etc.
- Establecer un procedimiento de comunicación en los plazos estipulados, tanto a la Agencia Española de Protección de Datos, como a las propias personas afectadas si así fuera el caso, de cualquier violación de las medidas establecidas de seguridad que haya tenido como resultado situaciones de accesos indebidos a los datos de las personas que pudieran provocar serios daños a los derechos y libertades de dichas personas.
