Tecnologías de la Información Madrid, mayo de 2016 Reglamento General de Protección de Datos: Un cambio en la gestión de la privacidad Finalmente, tras más de cuatro años de trabajos, el Reglamento General de Protección de Datos (“RGPD”) fue publicado ayer, 4 de mayo, en el Diario Oficial de la Unión Europea (“DOUE”). De acuerdo a lo indicado en su artículo 99, la nueva norma será aplicable a partir del 25 de mayo de 2018. Cada nuevo paso en la tramitación del RGPD ha venido seguido de comentarios, opiniones, guías y otros documentos de los principales grupos y organismos con funciones o responsabilidades en la materia. La búsqueda de “General Data Protection Regulation” en Google nos muestra 195.000 resultados. Por supuesto, tiene una entrada en Wikipedia. Esto prueba el interés que despierta el citado cuerpo legal no sólo en entornos especializados, sino también entre los ciudadanos, y por supuesto, entre las empresas que estarán obligadas al cumplimiento de la nueva norma. Ahora, con la versión definitiva del RGPD en nuestras manos, debemos plantearnos cómo implementar dicha norma en la práctica en el plazo de dos años. Esta tarea no resulta sencilla, sobre todo si tenemos en cuenta que el RGPD incluye artículos a los que se ha dado una “redacción de consenso” que permite mantener normativas nacionales vigentes (habrá que ver cómo se articula la existencia de la legislación nacional con el reglamento europeo y el principio de igualdad) y de remisiones a actos delegados. Se ha repetido en muchas ocasiones que los principios de protección de datos recogidos en el RGPD son los mismos que los de la Directiva 95/46/CE (de hecho, lo son desde los primeros textos internacionales aprobados sobre protección de datos). Sin embargo, con la nueva norma variarán detalles técnicos importantes, sobre los que se ha discutido en estos años y se continuará discutiendo en los siguientes: la forma en la que se regula el consentimiento (no parece que el consentimiento tácito siga siendo válido); los nuevos derechos de los titulares de los datos, como el derecho a la portabilidad; los matices que se introducen con las referencias a anonimización y pseudoanonimización, etc. Con todo, si tenemos que destacar algo del RGPD no son estas cuestiones técnicas, que quedan para su análisis en artículos doctrinales. Lo fundamental es que variará el enfoque y la forma de trabajo no sólo de las empresas sino también de las autoridades de protección de datos (que, por cierto, se enfrentan a la aplicación de los complejísimos mecanismos de coherencia previstos en el RGPD y a la resolución de la avalancha de dudas y consultas que generará la nueva norma, que deben ser respondidas de forma uniforme). Muchas organizaciones deberán gestionar la privacidad de una forma distinta a como lo hacían hasta ahora. El texto legal en cuestión da importancia a la documentación y a los registros que prueben el cumplimiento, a las evaluaciones de impacto previas al tratamiento, a tener en cuenta la privacidad desde el inicio del diseño de aplicaciones y sistemas, etc. Esto supone asignar recursos especializados al cumplimiento del RGPD con tareas definidas que ocuparán buena parte de su horario laboral (quien se encargue de la protección de datos habrá de ser un experto en estos temas y difícilmente podrá compatibilizar sus responsabilidades con otras funciones). En definitiva, las entidades de cierto tamaño o de ciertos sectores, aunque no estén obligadas a nombrar un “Data Protection Officer”, lo tendrán en la práctica. También implica revisar los tratamientos efectuados y procedimentar de forma lógica y ordenada todo lo relacionado con los mismos. La autoridad de protección de datos de Reino Unido, la Information Commissioner's Office (“ICO”) ha publicado una interesante guía para prepararse para el RGPD en 12 pasos. Este documento, lleno de recomendaciones de sentido común, aconseja como paso número 2 realizar una auditoría de flujos de datos. El RGPD no podrá cumplirse sin conocer qué datos se tratan, de dónde provienen, dónde se almacenan y con quién se comparten. Por eso, antes de empezar a discutir si se admitirá o no el consentimiento tácito o qué significa eso de “pseudoanimización”, cualquier empresa debería plantearse dos cuestiones. La primera es si los ficheros que ha registrado en la Agencia Española de Protección de Datos se corresponden con los tratamientos que se llevan a cabo realmente. La segunda se refiere a si han identificado correctamente todos los sistemas y archivos en papel donde su organización almacena datos de carácter personal. En el supuesto de respuesta afirmativa a ambas preguntas, el cumplimiento de una de las principales obligaciones del RGPD, la de documentación de tratamientos (artículo 30), resultará menos compleja. Además, se dispondrá de los conocimientos necesarios para planificar el cumplimiento del resto de obligaciones. En caso contrario, el periodo de adaptación de dos años a buen seguro parecerá corto. Consulte el texto completo del Reglamento General de Protección de Datos publicado en el Diario Oficial de la Unión Europea el 4 de mayo de 2016 en español y en inglés. ENLACES ÚTILES 1. Guías y documentos publicados por Autoridades de Protección de Datos Guía práctica “Preparing for the General Data Protection Regulation (GDPR): 12 steps to take now”. Information Commissioner’s Office (Reino Unido): versión en inglés. Información general sobe el proyecto de Reglamento Europeo de Protección de Datos. Commission Nationale de l'Informatique et des Libertés (Francia): versión en francés. Folleto informativo “Datenschutz Grundverordnung”. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (Alemania): versión en alemán. 2. Unión Europea 3. Página de la Comisión Europea dedicada a la reforma en material de protección de datos: versión en inglés. Consejo Europeo: Infografía sobre el nuevo reglamento: versión en español. Notas de prensa Nota de prensa publicada por la autoridad francesa de protección de datos “Comission nationale de l’informatique et des libertés”: versión en francés. Nota de prensa publicada por la autoridad italiana de protección de datos “Garante per la protezione dei dati personali”: versión en italiano. Nota de prensa publicada por la autoridad de protección de datos de Reino Unido “Information Commissioner's Office”: versión en inglés. Nota de prensa publicada por la Asociación Profesional Española de Privacidad: versión en español. Más Información Norman Heckh Socio nheckh@ramoncajal.com www.ramonycajalabogados.com © 2011 Ramón y Cajal Abogados, S.L. María Luisa González Tapia Abogado Senior mlgonzalez@ramoncajal.com Almagro, 16-18 28010 Madrid T +34 91 576 19 00 F +34 91 575 86 78 Caravel•la La Niña, 12, 6ª planta 08017 Barcelona T +34 93 494 74 82 F +34 93 419 62 90 Emilio Arrieta, 6 1º Derecha 31002 Pamplona T +34 94 822 16 01