Análisis

  • Julián Plaza García. Socio Director de PlazaIuris Abogados. DPO.

Reglamento General de Protección de Datos, estado de la cuestión

Desde el pasado veinticinco de mayo es de aplicación el Reglamento (UE) 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos -RGPD-, y entre sus disposiciones se encuentra la incorporación de la figura del Delegado de Protección de Datos -DPD-,   parto de esta perspectiva profesional y temporal para exponer algunas consideraciones que me merece el estado actual de la cuestión.

La puesta en marcha de una norma jurídica genera opinión, la más necesaria, por parte de la Administración, de los profesionales del Derecho y de los medios de comunicación especializados, que por diversos cauces analizan e interpretan el contenido y alcance de la norma en cuestión; también, por razón del impacto jurídico y social u oportunidad de negocio surge una oferta formativa en torno a esta, a lo que hay que sumar, cada vez más, la aparición de grupos de opinión, fundamentalmente a través de las Redes Sociales, que bajo criterios más o menos versados, suelen transpirar consignas más o menos partidistas en favor o en contra de la norma a debate.

Por lo que al RGPD se refiere, como no podía ser de otra manera, la respuesta no ha sido diferente y razones de todo tipo no han faltado para justificarlo, baste con el hecho de su trascendencia social, no en vano, se regula materia de amparo constitucional protegida con rango de Ley Orgánica como derecho fundamental recogido en el artículo 18.4 de nuestra Constitución. Por tanto, puede decirse, que la ocasión lo merece.

Tras este periodo de generación de opiniones y el que está por llegar (recordemos que RGPD cuenta para su desarrollo con la Ley Orgánica 3/2018, de Protección de Datos Personales -LOPDGDD- que incluye, además, el reconocimiento de ciertas garantías para los llamados “derechos digitales”), una de las cuestiones que cabría plantearse sería conocer el impacto que está significando el RGPD tanto para el ciudadano como para los sectores que tratan datos personales, o dicho de otra manera, que opinión y que grado de cumplimiento le merece a los involucrados, la cuestión del tratamiento de los datos personales.

Creo que sería correcto decir, que gracias al despliegue de información al que me he referido, parte de la sociedad, el ciudadano medio, ya cuenta con ciertos hábitos positivos, en definitiva, con cierta cultura de la materia en cuestión; si bien, también en parte es lógico que la mayoría de aspectos y conceptos del RGPD resulten aún difusos y ajenos al día a día del ciudadano, pero en general, estimo que al menos el primer y más importante mensaje ha “calado”; conocer quien, como, porqué y para qué se tratan los datos personales es una cuestión que ya preocupa al ciudadano.

Ciertos episodios acaecidos en estos meses, lo corroboran, aunque en mi opinión han incidido negativamente en la impresión de la ciudadanía sobre la norma que les ha de proteger y en definitiva sobre el control que pueden llegar a tener en el tratamiento que se haga de sus datos, me refiero a la plaga de correos electrónicos recibidos durante los días previos y posteriores al veinticinco de mayo pasado con el fin de recabar “el consentimiento” para el tratamiento de sus datos, cuando en muchos casos la medida no era necesaria y mucho menos fue suficientemente explicada, ¿cómo se originó ese caos informativo?; otro asunto objeto de polémica, el “descubrimiento” por el ciudadano -gracias a la labor de análisis llevado a cabo por profesionales del Derecho-  de que al amparo de un interés público, y conforme a la disposición final tercera de la LOPDGDD, se legitima la práctica por parte de partidos políticos de utilización de datos personales para sus actividades electorales. Estas situaciones son dos ejemplos del estupor, incluso indignación y finalmente, cierto hastío e indiferencia que provocó en la ciudadanía la impotencia y resignación de verse frente a lo que se consideran hechos consumados.

No recae en el ciudadano la labor y el peso de abordar una norma jurídica, y menos de la enjundia y complejidad de la que se trata, con tan solo ocho escasos meses de vida práctica y el impacto que supondrá para la dignidad e intimidad del ciudadano el constante avance tecnológico al que nos enfrentaremos, en el que materias, usos y desarrollos tecnológicos como la ciberseguridad, el Big Data, Open Data, Machine Learning, Internet de las Cosas, Blockchain, Chatbot, etc., sin duda que conllevarán, por parte del legislador una permanente revisión y adecuación de las premisas y condiciones para el tratamiento, la protección y la libre circulación de los datos personales, y por lo que al ciudadano se refiere, la necesidad de incorporar, aún más, en sus hábitos de vida, una cultura en materia de privacidad, y para los sectores productivos involucrados, una mayor concienciación y responsabilidad respecto a la gobernanza sobre los datos que manejen.

En conclusión, y aún a riesgo de generalizar, respecto a la impresión que al ciudadano medio le merece el RGPD y, por ende, el tratamiento y la protección que se otorga a sus datos personales, mi opinión es la de cierta despreocupación y resignación. Habrá que  ahondar en la labor pedagógica por un lado y ejemplarizante por otro.

Por lo que se refiere a los “otros involucrados” - aquellos que tratan datos personales en su condición de responsables o encargados-, considero que se puede hablar de dos niveles de percepción, y con ello de dos velocidades de aplicación del RGPD; por un lado tendríamos aquellos sectores que por su actividad y tamaño (entidades financieras, compañías de seguros, telecomunicaciones, salud, comercio on line, publicidad y marketing digital, por citar los más representativas), se ven en la imperiosa necesidad de contar con todos los medios disponibles a su alcance para dar cumplimiento de la normativa, y por tanto, se encuentran más que concienciados y se supone que preparados para afrontar el reto; para estos, el cumplimiento no sólo es una obligación sino un marchamo de garantía de calidad; por otro lado, nos encontraríamos con aquellos que por el tamaño de negocio o de la actividad que desarrollan (autónomos, pymes, micropymes) se podría decir que se ven “entre la espada y la pared”, es decir, obligados al cumplimiento pero faltos de asesoramiento adecuado a sus necesidades, a lo que se debe sumar la dificultad para destinar recursos, tiempo y organización estratégica y operativa, lo que a día de hoy se traduce en muchos casos, en una ralentización o postergación de la puesta en marcha de medidas de cumplimiento, por lo tanto, a la espera de acontecimientos, diría yo.

En mi opinión, el letargo legislativo en que nos hemos visto sumidos estos meses hasta la aparición de la LOPDGDD, tampoco ha contribuido a despejar dudas y a evitar situaciones, incluso de competencia desleal. Como indicaba al comienzo, la llegada de una obligación legal no solo genera opinión y formación -siempre bienvenida-, también puede conllevar la oportunidad de negocio, pero de negocio desleal también, y el RGPD no ha sido una excepción; ejemplos de esto último han sido los ofrecimientos de servicios de adecuación al RGPD a “coste cero” dirigido al obligado al cumplimiento medio -autónomo, pyme, micropyme-, o de inscripción de ficheros en la Agencia Española de Protección de Datos, cuando ya no era necesario de acuerdo con el RGPD, o la concesión de certificaciones “homologadas” para actuar como DPD. Todo ello han sido prácticas habituales en estos últimos meses. Confiemos a partir de ahora, en el efecto disuasorio de la LOPDGDD, que incorpora estas prácticas en su disposición adicional decimosexta, en el catálogo de las consideradas agresivas y por tanto desleales a los efectos previstos en el artículo 8 de la Ley 3/1991, de 10 de enero de Competencia Desleal.

Con todo, habrá que seguir observando el avance que experimente en las organizaciones, la concienciación de que no cabrá adecuar sus responsabilidades mercantiles sin aplicarse el RGPD, que en mi opinión se podría resumir en el contenido expresado en su artículo 24, apartado 1:

“Teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el presente Reglamento. Dichas medidas se revisarán y actualizarán cuando sea necesario”.

Me refiero por último a los DPD y su papel dentro del “tablero” en el que vienen desenvolviéndose durante este tiempo. Por un lado, prácticas desleales como las indicadas anteriormente han influido en su labor en mayor o menor medida, básicamente por la banalización que se ha podido deslizar respecto a la valía de su función, ya de por sí un reto, cuando se deben enfrentar en su condición de asesores, formadores, informadores, mediadores y supervisores de la implementación y cumplimiento de la norma a la dificultad de explicar su aparición en escena y además, como un activo y no como una carga para las empresas, tarea no fácil en tanto que conlleva costes añadidos y en buena medida, acceso al know-how y a la confidencialidad del negocio.

Así las cosas, en mi opinión, la percepción que tienen estos últimos respecto al RGPD se resumiría en dos términos, incertidumbre y expectación sobre la efectiva aplicación de la norma, entendiendo por tal, las primeras llamadas de atención, en forma de decisiones, advertencias o sanciones por parte de la Agencia Española de Protección de Datos fundamentalmente. La pregunta entonces será ¿se volverá a producir una reactivación del interés por cumplir el RGPD en los próximos meses?

Comenzamos el año 2019, en mi opinión, con las dudas y expectativas indicadas, y con la sensación de que aún será necesario el transcurso de algunos años a la espera de que el RGPD y el resto de normas de aplicación maduren, y con ello, que el tratamiento de los datos de carácter personal alcance el nivel de concienciación necesario en la sociedad, de manera que su protección y la libre circulación de estos pase a formar parte integrada en nuestros hábitos de vida, al menos, esa es la consideración que persigue el RGPD “el tratamiento de datos personales debe estar concebido para servir a la humanidad” (Considerando 4).

Este sitio web utiliza cookies propias y de terceros para obtener información de su navegación por nuestro sitio web y poder realizar análisis de navegación y, en su caso, registro de su sesión. Si continúa navegando acepta nuestra política de cookies. Pinche en el siguiente enlace para obtener más información más detallada, así como de la desactivación de cookies: Más información.

Acepto