Desde hace algunas semanas la entrada en vigor del Reglamento General de Protección de Datos de Carácter Personal (RGPD, 2016, en vigor desde el 25 de mayo de 2018) está generando una alarma creciente entre el empresariado español.
En realidad, la base de esta nueva regulación normativa es proteger la información de carácter personal (ideología, religión, creencias, orientación sexual, salud, código ADN) en el multiverso de la información presente en el actual entorno digital.
Hace escasos años nadie podía imaginar que el desarrollo tecnológico en el ámbito de la información y la documentación llegaría a la situación de cambio de paradigma en relación a las TIC’s (Tecnologías de la información y del conocimiento) y de impunidad casi absoluta para los “ciber delincuentes”. Se impone un coto y una rígida regulación para frenar la rapiña de datos por parte de delincuentes para usos nada claros.
En 1995 la Unión Europea se hizo eco de estas cuestiones y en consecuencia puso a trabajar a sus funcionarios.
Fruto de aquel laborioso trabajo de armonización jurídica y técnica entre los estados de la Unión, fue la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
La directiva enmarca esta especial protección de los ciudadanos europeos en el marco de los derechos humanos y de los derechos fundamentales de las personas físicas, en especial su derecho a la intimidad, en lo que respecta al tratamiento de sus datos personales.
En palabras de Iván González Moreno (Privacidad Global.com) Una cosa es la “intimidad” y otra distinta la “privacidad” de una persona física. La normativa afecta sólo a la “intimidad”. Esto es importante recordarlo para evitar equívocos.
La Constitución Española de 1978, establece los límites de la “intimidad” (arts. 15 º al 18 º): Ideología, creencias, religión, honor e imagen personal y familiar. La Ley Orgánica 15/1999 (LOPD) incorpora también en este mismo ámbito la orientación sexual y datos referentes a la salud. En la próxima regulación se incluirá además el ADN como código genético. La UE añade además: origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas y la pertenencia a sindicatos. Cuestiones estas aun no contempladas en España, pero seguro que se incorporarán a posteriori.
Fuera de estos límites que afectan a la intimidad de las personas físicas; se haya el ámbito de la privacidad (Aquellos datos personales que sean de carácter confidencial o privado, que no deseamos que se haga un uso público de los mismos) y el ámbito público (Datos personales que autorizamos para su uso público).
El ciudadano/a dispone a partir de esta nueva regulación de instrumentos y herramientas para determinar el uso de sus datos personales. Igualmente pueden impedir que otros usen de manera mal intencionada los datos que afectan a los derechos fundamentales de los ciudadanos/as.
Las empresas privadas, los autónomos y cualquier persona que desarrolle una actividad en la que se manejen datos que pudieran afectar a la intimidad de las personas han de evaluar los riesgos que comporta la tenencia, la conservación, el tratamiento, la comunicación o el uso de datos personales de: accionistas, trabajadores, clientes, proveedores o colaboradores.
Además de las medidas de seguridad habituales aplicadas a los equipos informáticos, repositorios, programas informáticos y aplicaciones, así como dispositivos externos de almacenamiento de datos, incluida la “nube” y sistemas de video vigilancia; los responsables del tratamiento de datos han de extremar igualmente la seguridad en los archivos físicos y zonas de almacenamiento de documentos en soporte físico convencional (cajas de archivo, AZ’s, archivadores de carpetas colgantes, etc.).
La información sensible (es decir la “íntima”) ha de estar únicamente visible y con acceso limitado al responsable del tratamiento del documento, fichero, registro, base de datos… donde se encuentre esta información. El uso deberá ser autorizado (consentimiento verbal, por escrito o por medios verificables y ajustados a derecho) por el interesado y se deberán seguir procedimientos normalizados para su tratamiento.
La evaluación de riesgos ha de tener en cuenta la necesidad de revisar la documentación (incluido su contenido) y la información comunicada tanto a nivel interno, como a nivel externo para comprobar si puede ser susceptible de contener datos íntimos de carácter personal que no deban ser de uso público o privado no autorizados por el afectado.
La directiva de la UE pretende que el cumplimiento del reglamento – es decir la protección efectiva de los derechos fundamentales de los ciudadanos – sea real y verificable. Se acabó aquello de un cumplimiento meramente formal con certificado enmarcado a la vista de todos. La protección de datos ha de ser real. Por ello se han incrementado las sanciones.
Una de las novedades del reglamento es la figura del Delegado de Protección de Datos (Data Protection Officers) Sobre esta figura existen múltiples versiones y una gran confusión al respecto. Para aclarar la cuestión una regla básica: para la administración pública es obligatorio que exista un delegado; para la organización privada (Empresas, autónomos, tercer sector…) solo es obligatorio en el caso que el volumen de datos o su impacto así se aconseje. Es decir para los privados, la figura del delegado a grandes rasgos – salvo excepciones – no es obligatoria.
Recordar que la información hoy no está fijada sobre un soporte físico como hace pocos años, circula libremente por las redes de telecomunicaciones y en el multiverso de Internet. La información está disponible en un ordenador, en un dispositivo móvil, en el teléfono móvil y desde hace poco tiempo hasta en las cosas interconectadas a las redes globales (el “internet de las cosas”).
Recordar que cualquier persona, desde cualquier lugar y en tiempo real puede hoy acceder a la información que puede afectar a la intimidad de las personas; además de cometer cualquier otro delito, como el vaciado de la cuenta corriente, la suplantación de identidad, el bulling digital, amenazas y sobornos, secuestro de datos, envío masivo de correo comercial y/o “basura”, etc…
Lo más fácil, y sencillo es contratar servicios externos que contemplen la adaptación a la LOPD y al nuevo RGPD a través de su asesoría, despacho de abogados, colegio / asociación profesional o consultora especializada.
Estamos ahora en una fase de transición en la que aun estamos en choc por que nos ha pillado el toro sin hacer antes los deberes (hemos tenido 2 años para la adaptación), por lo que es probable que haya baile de precios y servicios adicionales por parte de los operadores en los próximos meses. Si previamente se han adaptado a la LOPD, la misma operadora debería poder adaptar la empresa al nuevo reglamento.
Dado que el RGPD determina un continuum en el proceso de protección de datos, es aconsejable contratar servicios de mantenimiento para estar de forma permanente al día en el cumplimiento real de la protección de la intimidad de las personas que componen nuestro entorno empresarial y que pudieran verse afectadas por dicha norma.
A través del servicio de Consultoría en Gestión Documental de Kalímacos podemos asesorarles inicialmente en lo referente a la seguridad, conservación o eliminación de sus archivos físicos y en el entorno digital, en especial en lo referente al uso de datos de carácter personal.
Estamos además trabajando en estos momentos para poder facilitarles a nuestros clientes la adaptación al nuevo reglamento, bien directamente o a través de nuestros colaboradores habituales.