RGPD: detonante de la unión entre juristas y software de protección de datos

El futuro del asesoramiento jurídico pasa su primer examen importante con la llegada del nuevo Reglamento relativo a la protección de datos de carácter personal.

La llegada de la compleja normativa ha provocado el nacimiento de una serie de software o herramientas informáticas que por un lado facilitan la correcta llevanza de las obligaciones que establece la nueva Ley pero que también, por otro lado, pretenden substituir la labor propiamente jurídica de asesoramiento en el cumplimiento normativo. 

¿Cuál será el alcance de dicho asesoramiento? ¿Quién será el responsable último? ¿Convivirán ambos proveedores de servicios trabajando juntos? ¿Se extenderá a otras áreas del Derecho?

El pasado 25 de mayo entró en vigor el Reglamento 679/2016 de la Unión Europea sobre Protección de Datos de Carácter Personal y lo hizo para quedarse. No supondrá por tanto una mera adaptación normativa sino un profundo cambio cultural que añadirá tareas recurrentes a los distintos obligados, como hasta ahora son:

• la contabilidad, 
• la presentación de impuestos, 
• el registro de libros contables y cuentas anuales, etc. 

Después del pánico vivido en los meses precedentes y, sobre todo, en los días entorno a su entrada en vigor, toca hacer pedagogía sobre los cambios fundamentales y recibir con los brazos bien abiertos a un cambio cultural sin duda absolutamente necesario. 

Por tanto: ¿qué podemos exigir como ciudadanos? y ¿qué medidas deberán adoptar las empresas y demás sujetos obligados a cumplir con la normativa?

Además de los ya conocidos derechos ARCO  (acceso, limitación, rectificación y oposición), nacen el popular Derecho al Olvido y el Derecho a la Portabilidad. Éste último obliga al responsable de tratamiento a entregar al interesado una copia completa de sus datos en soporte electrónico y en formato compatible. En cambio, el Derecho al Olvido obliga al responsable de tratamiento a suprimir todos los datos que tenga de un interesado en concreto. 

Respecto a la óptica del ciudadano, la nueva normativa nos permite recuperar la propiedad real sobre nuestros datos. De ahora en adelante, las bases de datos de carácter personal no serán propiedad de una determinada empresa sino de los titulares de esos datos.

Ello implica que dicha empresa los utilizará conforme a los criterios de legitimación establecidos por el Reglamento, principalmente; en motivo del consentimiento expreso dado por el titular de ese dato o su tutor, pasando por tanto la empresa a considerarse responsable de la correcta custodia y protección del dato, pero nunca titular del mismo. 

Por otro lado, respecto a la óptica de la empresa, profesional o institución pública, como ya apuntábamos, en adelante el responsable, ya no se podrá considerar que son propietarios de los datos personales que manejan sino responsables de su tratamiento.

De hecho, no solo la empresa deberá proteger el dato, sino que deberá asegurarse de que los terceros intervinientes que por diversas razones tengan acceso a los datos que custodia, cumplan también con la normativa y lleven a cabo una actuación responsable en el tratamiento de los datos.

Muere la obligación de registrar los ficheros en la AEPD, pero nace el Registro de Actividades de Tratamiento por imperativo legal para las empresas con más de 250 trabajadores o que traten datos sensibles o que puedan generar riesgos de entidad a los interesados. 

A su vez también nacen por sentido común:

• el Registro de Encargados de Tratamiento, 

• el Registro de Clientes cuando se actúa como encargado de tratamiento, 

• el Registro de peticiones de titulares de derechos sobre datos de carácter personal, 

• el Registro de Transferencias de Datos y el Registro de Incidencias.

Por otro lado, también será obligatorio:

• el análisis de riesgos de cada uno de los tratamientos,

• la evaluación de impacto en privacidad (Privacy Impact Assessments) cuando por su naturaleza, alcance, contexto y finalidad exista una probabilidad razonablemente alta de dañar los derechos y libertades de las personas físicas. 

El Delegado de Protección de Datos (DPD) o (DPO) en sus siglas en inglés, Data Protection Officer, es la persona física, especialista en Derecho y con conocimientos prácticos en materia de protección de datos que media entre la empresa, los sujetos interesados, terceros intervinientes y la Agencia Española de Protección de Datos (AEPD), además de evaluar los sistemas de cumplimiento, analizar los riesgos y coordinar a los distintos equipos intervinientes en el proceso de puesta en conformidad y mantenimiento de dicha conformidad. 

Por el momento, solamente las Administraciones Públicas, excepto los tribunales, y las empresas que lleven a cabo tratamientos que requieran una observación habitual y sistemática de interesados a gran escala y/o tratamientos que tengan por objeto categorías especiales de datos a gran escala, como por ejemplo relativos a la salud, estarán obligadas a designar a un DPO. Además, también cuando lo exijan los estados miembros de la Unión en sus normativas internas. 

En un futuro ciertamente no muy lejano resulta evidente pensar que se irá ampliando el rango de empresas obligadas a medida que se vayan facilitando los procesos y reduciendo costes como por ejemplo con herramientas de software.

De hecho, la AEPD se ha manifestado en varias ocasiones apostando porque las empresas no obligadas designen voluntariamente a su DPO, puesto que ello aporta enormes ventajas. 

Visto lo anterior y habiendo entendido quién es el titular y quién en cambio el responsable, cabe advertir, sin el objetivo de asustar, que las sanciones oscilarán entre el 2% y el 4% del volumen de negocio total anual global del ejercicio financiero anterior. Siempre con un límite de 10 millones de euros para las sanciones graves y de 20 millones para las muy graves.

Por lo tanto, y a modo de ejemplo, una PYME que ingresó en 2017 800.000€, haya obtenido o no beneficios en 2017, si es sancionada deberá pagar entre 16.000 y 32.000€. 

Es por ello que cabe tomarse muy en serio este cambio cultural y prevenir en la medida de lo posible las sanciones antes que planificar el asumir su coste, provisionar y esperar. Práctica muy común en el pasado que en el presente ya no tiene sentido alguno. 

Como hemos visto, la nueva normativa obliga a muchos esfuerzos que pasan en primer lugar por elaborar densos estudios jurídicos y posteriormente un plan de acción que concrete cada una de las medidas que se deberán llevar a cabo para demostrar ante una posible inspección que se cumple con la normativa y/o que de forma proactiva se están llevando a cabo todas las acciones que se consideran necesarias para cumplir con dicha normativa. 

Algunas empresas podrán andar cuasi solas pero muy atentas a seguir correctamente las “instrucciones” para evitar responsabilidades, sin embargo el futuro dice que nos van a seguir necesitando.

Prueba de ello es que algunos software RGPD ya ofrecen una plataforma paralela para que el asesor, actúe o no como DPO interno o externo, revise y apruebe tanto la elaboración del plan de acción como la ejecución del mismo. Quizás el mejor criterio que sirve para valorar la calidad y la utilidad de dicho software. 

Respecto a mi experiencia personal en ese sentido, cuestión que surge en cualquier materia o área del Derecho, es fundamental que la comunicación abogado-cliente quede perfectamente registrada, ordenada y que sea posible generar documentos que transcriban dichas conversaciones (ej. PDF) en caso de que surja algún tipo de conflicto. El correo electrónico por tanto está cerca de pasar a la historia. 

Esta combinación parece la perfecta puesto que, aunque se reducen las horas de asesoría y por lo tanto los costes enormemente, será inteligente por parte de las compañías seguir trasladando a los juristas y por ende a sus compañías de seguros el riesgo del asesoramiento final en la materia. 

Sobre si se extenderá a otras áreas del Derecho; el futuro es impredecible, pero todo apunta a que sin duda será así.