Nuestra Ley Orgánica 15/1999 de protección de datos de carácter personal que aplicamos desde el año 2000, establecía un marco de protección de los datos personales en nuestro país que poco a poco ha ido calando no sólo entre los obligados a cumplirla sino entre los propios ciudadanos. El crecimiento en el uso de las nuevas tecnologías ha planteado en los últimos años múltiples cuestiones relacionadas con la privacidad, sobre los límites en el tratamiento y el uso de los datos personales.
La doctrina de la propia Agencia Española de Protección de Datos a través de sus informes, de sus estudios sectoriales, de sus documentos y de sus resoluciones, ha ido definiendo un marco legal cuyo único fin es velar por los datos personales de los ciudadanos.
Ahora bien, todavía hay empresas que esto no es lo han tomado en serio. No es una leyenda urbana: existen empresas (normalmente pequeñas) que no le han prestado la mínima atención al cumplimiento de esta Ley.
Algunos más, en su día declararon cuatro ficheros, les dieron un manual a modo de Documento de Seguridad y con eso creyeron que estaban cumpliendo la Ley. Años después es fácil constatar que en muchos casos no se informa en la recogida de datos, que las relaciones con terceros no están reguladas en contrato o que las medidas de seguridad brillan, directamente por su ausencia, especialmente en aquellas empresas en las que no existe un informátic o alguien que se haya preocupado del tema.
A estas empresas que son muchas, a las que además la crisis haya golpeado en los últimos años, hay que advertirles que el cambio legislativo que se nos viene encima conviene tomárselo en serio.
Ese cumplimiento meramente formal del que muchos presumen y a todas luces insuficiente, no encaja en absoluto con el espíritu que siempre ha perseguido la legislación y especialmente ahora, la nueva.
El Reglamento General 679/2016 de Protección de Datos para la Unión Europea establece en su exposición de motivos que los avances tecnológicos “requieren un marco más sólido y coherente para la protección de datos en la Unión Europea, respaldado por una ejecución estricta, dada la importancia de generar la confianza que permita a la economía digital desarrollarse en todo el mercado interior. Las personas físicas deben tener el control de sus propios datos personales. Hay que reforzar la seguridad jurídica y práctica para las personas físicas, los operadores económicos y las autoridades públicas.”
Ese compromiso con la seguridad jurídica sólo se puede conseguir con un compromiso serio y eficaz con la privacidad que se traduce en obligaciones clave para los responsables de tratamiento:
- Información transparente y completa sobre el tratamiento de datos, titularidad, periodos de conservación, cesiones, identidad del delegado de protección de datos…. Se acabó el “corta y pega” en las cláusulas de información que tan a menudo vemos los profesionales.
- Consentimientos claros, específicos para finalidades distintas.
- Evaluaciones de impacto cuando sea necesario.
- Responsabilidad ante los encargados de tratamiento: además de los contratos (que en muchos casos y todavía brillan por su ausencia) deberá tenerse muy presente a quién se elige como encargado de tratamiento.
- Las categorías especiales de datos (lo que hoy consideramos datos de nivel alto y algunos más) merecerán una especial atención con un plus de obligaciones y de diligencia en la protección.
- La protección de datos desde el diseño y por defecto implica que cualquier desarrollo o proyecto que pretenda manejar datos personales, deberá tener presente la privacidad y las obligaciones del Reglamento desde su creación y en todo el proceso de elaboración.
¿Cuál es el consejo para los que no estén cumplimiento con la LOPD actualmente?
- Ponerse al día en el cumplimiento de la LOPD.
- Dejar sentadas las bases del cumplimiento del nuevo Reglamento.
- Formar al personal involucrado en el tratamiento de datos: un buen cumplimiento sólo se consigue si en el día a día todos saben el alcance de su trabajo y las obligaciones que conlleva.
Y como reflexión final: la amenaza de la sanción siempre estará presente pero vivimos una época en la que la gestión empresarial es sostenible, comprometida con la sociedad y su entorno, cumplidora de las leyes, ética… La protección de la privacidad encaja en esta gestión y debe ser vista como una ventaja competitiva.
Comentarios
No hay comentarios