Artículo publicado en Actualidad Jurídica Aranzadi, 22 de junio de 2017.
Uno de los principales retos ante los que se encuentran los responsables de tratamiento tras la aprobación del RGPD es el mantenimiento de la información que contuviera datos de carácter personal, así como la regularización en aquellos casos en los que las reglas de juego para dichos responsables varían con la nueva normativa europea.
Y es que, a nadie escapa que la nueva normativa (de aplicación el próximo mes de mayo de 2018) implicará un cambio sustancial, no sólo en el tratamiento de los datos personales por parte de las empresas, sino también en lo relativo a su captación y el conocimiento que sobre los mismos tienen como responsables.
Estos aspectos implican desde un primer momento, nuevas obligaciones que, entre otros aspectos, conllevarán el inventariado de los diferentes tratamientos que se llevan a cabo en el seno de la empresa, y por tanto, las diferentes finalidades con las que son o pueden ser tratados los datos personales. En otras palabras, un mayor conocimiento del ciclo de vida útil de los datos, cuestión que sin duda tiene su impacto en nuevas tendencias como la reutilización de la información, procediendo, en ocasiones a anonimizar, en la medida de los posible, la información generada por una persona concreta e identificable.
Así las cosas, dos de los aspectos desde el punto de vista jurídico – organizativo que pueden tener un mayor impacto en los tratamientos de datos que vienen realizando hasta la fechas, son los relativos al deber de información y el consentimiento.
Y es que, al igual que la nueva norma europea reconoce la mayoría de edad de las empresas, que deberán evaluar los riesgos asociados a los diferentes tratamientos adoptando las medidas necesarias para mitigar los riesgos derivados, o comunicar las brechas de seguridad, no sólo a la propia autoridad de control, sino al propio interesado. Sin duda, el lector puede imaginar el impacto que estas medidas pueden tener en la confianza de los propios usuarios en las empresas o el impacto reputacional que pueden causar, casos como los que vamos conociendo cada día.
Al propio ciudadano, se le reconoce una mayor capacidad de decisión y conocimiento sobre sus datos personales, evolucionando el deber de información (tal y como lo definía el artículo 5 de nuestra LOPD), al derecho a la información. Evolucionando de unos clausulados cuasi estandarizados en algunos casos, a una lista de información clara y concisa, que posibilite a las personas decidir sobre su información, incluyendo aspectos tales como: la identidad y los datos de contacto del responsable, fines del tratamiento, intereses legítimos del responsable, destinatarios de los datos personales, el procedimiento de ejercicio de Derechos acceso, rectificación, cancelación, oposición y portabilidad, el derecho a presentar reclamación ante autoridad de control y los posibles tratamientos posteriores, todo ello en caso de que los datos hayan sido obtenidos directamente del interesado.
Y es en este punto donde los responsables del tratamiento se encuentran con el primer reto. Si bien en el caso de entornos digitales, la citada información se puede mostrar, tal y como propone la propia Agencia Española de Protección de Datos, mediante un sistema de doble capa, esta obligación, trasladada al formato papel, parece más complicada de llevar a cabo. En este sentido, alguna de las opciones que hemos ido conociendo hasta la fecha, como facilitar en el formulario en papel el enlace a una política de tratamiento de datos personales en una web, parecen de dudosa legalidad, toda vez que, presuponer que el usuario que va a otorgar el consentimiento tiene acceso a internet, o la dudosa posibilidad de poder acreditar a que texto legal presto su consentimiento un usuario concreto, inciden de manera flagrante en el tratamiento de los datos y su legitimidad.
Finalmente, el segundo gran reto al que se enfrentan las empresas es la regularización de aquellos ficheros o bases de datos que venían tratando hasta la fecha obtenidos en base a fórmulas de consentimiento que posibilitaba, tanto la LOPD actual como otra normativa (e.g. la LSSI). Así las cosas, la legitimación de estos datos personales, que en ocasiones se estaban explotando y tratando durante años, supone, no sólo un reto, teniendo en cuenta las soluciones que se empiezan a conocer, tales como la fundamentación en el interés legítimo por parte del responsable del tratamiento. Concepto, que tal y como hemos podido ver en otras ocasiones han suscitado controversias en relación con la aplicación de la norma.
Habrá por tanto que avanzar en la interpretación de la nueva norma europea, del enfoque que otros países de la Unión están dando en sus proyectos de Ley, y en todo caso a las propias recomendaciones del Grupo de Trabajo del Artículo 29 y Autoridades de Control nacionales, en espera del proyecto de modificación de nuestra LOPD.