Las entidades que actualmente cumplen la normativa relacionada con la protección de datos, en España, la LOPD, Ley Orgánica 15/1999, y el Reglamento que la desarrolla (RLOPD), RD 1720/2007, necesitan adaptar dicho cumplimiento al nuevo Reglamento General de Protección de Datos (RGPD), aprobado por la Unión Europea el 27 de abril de 2016 y que resulta de inmediata aplicación en toda la Unión sin necesidad de desarrollo ulterior por los Estados miembros. No obstante, y a pesar de haber entrado ya en vigor el 25 de mayo de 2016, el RGPD no será aplicable hasta el 25 de mayo de 2018, habiéndose previsto una vacatio legis de dos años para permitir una adaptación completa en dicho periodo de tiempo por parte de los sujetos obligados a su cumplimiento.
El RGPD supone un cambio significativo en la forma de abordar las actividades necesarias para lograr el cumplimiento normativo en materia de protección de datos. Dicho cambio se puede resumir básicamente en los siguientes puntos de actuación:
- Transitar de un modelo de cumplimiento de requisitos, recogidos en las actuales LOPD y RLOPD, a un modelo de responsabilidad proactiva, según el cual el responsable del tratamiento deberá ser responsable de tratar los datos personales con arreglo a los principios exigidos en el Reglamento y además será capaz de demostrarlo. Este nuevo modelo supone la necesidad de plantearse desde una perspectiva ex-ante la manera de tratar los datos de forma que se minimicen las posibles vulnerabilidades de los datos personales tratados (quiebras de seguridad).
- Modular las medidas de seguridad que se deben adoptar en función del análisis de riesgo de los tratamientos de datos realizados, según el tipo de tratamiento, la naturaleza de los datos, su volumen y el número de personas afectadas.
- Incrementar la transparencia de forma que se comunique a los interesados la información que les afecte de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, además de hacerlo de forma expresa, precisa e inequívoca como requería la LOPD.
- Analizar con carácter previo al desarrollo de cualquier proyecto que implique un tratamiento de datos personales, las medidas organizativas y técnicas adecuadas para integrar en dicho tratamiento las garantías que permitan aplicar de forma efectiva los principios del RGPD (Privacidad desde el diseño) y adoptar las medidas que garanticen que solo se tratan los datos necesarios (Privacidad por defecto).
- Nombrar un Delegado de Protección de Datos (DPD), cuyas funciones principales sean asesorar a la entidad en todo lo relativo al cumplimiento normativo en materia de protección de datos, actuar como punto de contacto con las autoridades de control y con los interesados en todo lo que tenga relación con el tratamiento de sus datos personales. Su existencia será obligatoria tanto cuando el responsable del tratamiento de datos sea un organismo público, como cuando entre las actividades principales del responsable figuren, bien operaciones de tratamiento de datos que requieran una observación habitual y sistemática de interesados a gran escala[1] o bien el tratamiento a gran escala de datos sensibles[2].
- Llevar a cabo un procedimiento especial de evaluación, denominado Evaluación de Impacto (EIPD), con carácter previo a la puesta en marcha del tratamiento de datos personales, cuando dicho tratamiento pueda entrañar un alto riesgo para los derechos y libertades de los interesados.
- Notificar las violaciones de seguridad de los datos que se produzcan a la autoridad competente, en España la Agencia Española de Protección de Datos (AEPD), a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
Para llevar a cabo las actividades de adecuación al nuevo Reglamento que en cada caso concreto se requieran, tanto las asociadas a cada uno de los puntos de actuación antes mencionados como las que resulten necesarias para adaptarse a todas sus precisiones normativas, es aconsejable realizar siempre un análisis preliminar basado en la situación particular de la entidad en materia de tratamiento de datos personales. En función de esa situación, será suficiente una sencilla autoevaluación llevada a cabo por el propio personal de la entidad, analizando por ejemplo la valoración simplificada elaborada por la AEPD[3], si se trata de una empresa que solo realiza tratamientos básicos, sin incorporar datos sensibles, sobre los datos de sus empleados, clientes y proveedores, o, por el contrario, se requerirá un análisis más detallado para el que resultaría aconsejable contar con el asesoramiento profesional de especialistas en protección de datos.
[1] La valoración del concepto “a gran escala”, que es un concepto jurídico indeterminado y, por ello, de valoración jurisprudencial, debe realizarse teniendo en cuenta el número de interesados afectados, el volumen y la variedad de los datos tratados, la duración y permanencia del tratamiento, así como su extensión geográfica. A modo de ejemplo y a falta de determinar el umbral entre lo que se considera o no “gran escala”, sí se considera así el tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital y no se considera así el tratamiento de datos de pacientes a cargo de un médico.
[2] Son datos sensibles los relativos a salud, vida sexual, origen racial, ideología política, creencias religiosas o filosóficas, afiliación sindical, datos genéticos y biométricos e infracciones penales
[3] Guía del Reglamento General de Protección de Datos para Responsables del Tratamiento, Capítulo 10: Lista de verificación simplificada