Responsabilidades derivadas del tratamiento y explotación de los datos personales

Publicado en Expansión, 27 de enero de 2017.

A nadie escapa que los datos personales se han consolidado como moneda de la economía digital. El valor de la información generada por usuarios y clientes, nos permite tanto el conocimiento de las necesidades de nuevos clientes potenciales,  como el diseño de productos que satisfagan las mismas, poniendo de manifiesto la necesidad de adecuar nuestra normativa a los nuevos tiempos, garantizando la protección de los datos personales, y por tanto la privacidad, honor e intimidad de las personas, y posibilitando a las empresas la adopción de nuevos procesos, implantación de nuevas tecnologías, que faciliten su crecimiento y prestación de nuevos servicios.

El Reglamento General de Protección de Datos (en adelante, “RGPD”), viene a reconocer la mayoría de edad de las empresas en el tratamiento de los datos personales. Un nuevo escenario normativo, de plena aplicación en 2018, salvo modificaciones normativas nacionales que adelanten la exigibilidad de determinados preceptos, que conllevará la adopción de mecanismos de control que posibiliten acreditar las diligencias debidas y las acciones tomadas para el correcto tratamiento de los datos personales.

Uno de los aspectos que mayor impacto ha tenido, tras la aprobación y entrada en vigor del RGPD, han sido las cuantiosas sanciones asociadas a los posibles incumplimientos: hasta 20 millones de euros o el 4% como máximo del volumen de negocio total anual global. No obstante, debe tenerse en cuenta que los tratamientos de datos generan, además una serie de responsabilidades de índole, no sólo administrativas, sino civiles y, en su caso, penales.

Las diferentes responsabilidades derivadas del tratamiento y explotación de los datos, recaerán, individual o colectivamente, sobre el responsable del fichero, el encargado del tratamiento, el responsable de seguridad o en su caso el Delegado de Protección de Datos, o sobre aquellas otras personas relacionadas directa o indirectamente con el fichero a quienes, por sus funciones o actos, pudieran serles atribuidas.

En relación con las reclamaciones posteriores, el RGPD establece en su artículo 82 que toda persona que haya sufrido daños y perjuicios materiales o inmateriales tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.

En lo que respecta a las responsabilidades civiles, el responsable y, en su caso, el encargado del tratamiento, junto con el titular del fichero que responderá con ellos  solidariamente, asumirán aquellas responsabilidades derivadas de los actos propios u omisiones, contemplados en las normas civiles. En función del origen de las mismas podrían clasificarse en responsabilidades contractuales y extracontractuales, es decir, daños generados al margen de la relación contractual, estableciéndose como protección de la persona afectada ante los daños derivados del riesgo generado por el tratamiento de sus datos personales.

Debe recordarse que, determinadas infracciones de la normativa de protección de datos, pueden originar reclamaciones posteriores en relación con la vulneración del derecho al honor, intimidad personal y familiar y a la propia imagen, en aplicación de la Ley Orgánica 1/1982, de 5 de mayo.

En la esfera penal, entre los tipos penales que pueden afectar al tratamiento de datos, tanto en sus diferentes fases como en los propios sistemas de tratamiento, podríamos destacar: daños informáticos, estafa, coacciones, descubrimiento de secretos de empresa, delitos contra la propiedad intelectual, fabricación, descubrimiento o revelación de secretos o la fabricación o tenencia de útiles de falsificación.

Así las cosas, debemos recordar que el artículo 31 bis de nuestro Código Penal establece, como norma general, que las personas jurídicas serán penalmente responsables, estableciéndose ciertas limitaciones cuando se hayan adoptado y ejecutado con eficacia, antes de la comisión del delito, modelos de organización y gestión que incluyen las medidas de vigilancia y control idóneas para prevenir delitos, y los autores individuales hubieran cometido el delito eludiendo fraudulentamente los modelos de organización y de prevención adoptados por la entidad, entre otras obligaciones. Cuestiones muy ligadas al espíritu del RGPD y las medidas a adoptar sobre el tratamiento de datos, sistemas, empleados y proveedores, entre otros.

Finalmente, junto con las responsabilidades y consecuencias jurídicas enumeradas, deben considerarse las implicaciones que estos tratamientos de datos pueden implicar en la propia imagen de la empresa, su posición de mercado el impacto en la confianza de su público objetivo, siendo difícilmente cuantificable el daño reputacional asociado.

Para mitigar estos riesgos, reduciendo los posibles incumplimientos de la normativa en materia de protección de datos, el RGPD, consolida los principios de responsabilidad activa (accountability) y de prevención. Por tanto, la adopción de medidas como la privacidad desde el diseño y/o por defecto, la realización de evaluaciones de impacto, la notificación de brechas de la seguridad, junto con la formación continua y la revisión de los procedimientos, ayudarán a las entidades a reducir riesgos y responsabilidades asociadas, posibilitando el tratamiento de los datos, desde el respeto al derecho de las personas, orientado a la generación de valor, y por tanto de beneficios para las empresas y sus clientes o usuarios.