Artículo publicado en Cinco Días, 26 de enero de 2018.
A menos de cuatro meses de la plena aplicación y por tanto exigibilidad del Reglamento General de Protección de Datos, por todos son conocidos los retos legales a los que nos enfrentamos en el ámbito del tratamiento de datos personales.
Tras una fase de análisis de cómo impacta la normativa europea en el ámbito de las empresas, las conclusiones obtenidas pueden ser muy variadas, pero quizás todas ellas tengan un denominador común: el Reglamento Europeo supone un cambio en la forma en que los datos son tratados y por tanto explotados dentro de nuestro modelo de negocio.
Así las cosas, junto con el reto de regularizar los tratamientos que, a la fecha, se están realizando, bien por la forma en que fueron obtenidos, y por tanto la legitimación para su tratamiento (por ejemplo aquellos que se basaron en un consentimiento tácito), bien por la actualización de los requerimientos establecidos en el derecho de información, u otros aspectos que debamos considerar.
Este trabajo a abordar no sólo implica un cambio de clausulados, sino un conocimiento más exhaustivo del funcionamiento de la empresa y sus objetivos. En este sentido, la definición de las finalidades de tratamiento, aspecto que incide en la obtención del consentimiento y la información a facilitar, implica una visión transversal de la empresa. Y es que, deberemos considerar, no sólo las finalidades actuales, sino usos futuros que podamos dar a los datos personales que vamos a tratar.
Este reto puede ser entendido como un problema o como una oportunidad para regularizar los flujos de datos que estamos realizando y, por tanto, aportar la seguridad jurídica necesaria teniendo en cuenta el origen del dato (directamente del propio interesado, una fuente accesible al público, derivado de una cesión de datos), aquellos prestadores del servicio que puedan intervenir en su tratamiento durante las diferentes fases (obtención, almacenamiento, explotación o conservación, entre otras), las áreas de la propia empresa que intervienen en el mismo o los flujos de información a nivel corporativo dentro de una determinada estructura empresarial.
En este sentido, deberemos abordar aspectos como la definición del establecimiento principal, que incidirá directamente en la relación con la Autoridad de Control, y en cuya designación deberán tenerse en cuenta parámetros, no sólo mercantiles y fiscales, sino sobre la capacidad de decisión sobre los tratamientos o el volumen de datos tratados. Tal y como reconoce el propio Grupo de Trabajo del Artículo 29, debe afrontarse caso a caso, no pudiendo estandarizar o generalizar un procedimiento único para todas las empresas, máxime en aquellos casos en los que se produzcan flujos transfronterizos, en su vertiente de trasferencia internacional de datos (por ejemplo en aquellos casos que la matriz no se encuentre dentro de la Unión Europea), o en relación con los tratamientos trasfronterizos en el ámbito de la Unión, es decir, dónde se tratan realmente los datos y de quién se están tratando, aunque no tengamos establecimiento en dicho país.
Este conocimiento profundo de la estructura organizativa y el modelo de negocio posibilitará también, el redefinir determinados roles o accesos a los datos personales, así como inventariar, no sólo los procesos de tratamientos de datos, sino los propios sistemas de información que son empleados por los departamentos concretos. Un aspecto que en ocasiones no se encuentra centralizado en un área de seguridad o sistemas, teniendo la posibilidad los propios departamentos de contratar y utilizar determinadas herramientas directamente.
No debe obviarse que el propio Reglamento pone en relieve la necesidad de que el concepto de seguridad de la información y cumplimiento normativo vayan de la mano. Los aspectos reseñados tienen una incidencia directa tanto en el plan de seguridad adoptado por la empresa (en relación con la gestión de brechas de seguridad), como en las obligaciones legales y organizativas, toda vez que la utilización de una determinada herramienta puede implicar una trasferencia internacional de datos que deba ser regularizada, afectar al propio consentimiento o tipo de datos tratados (sírvase como ejemplo herramienta de gestión de redes sociales), o a la resolución de los derechos ejercitados por el usuario.
Otro aspecto que como adelantábamos debemos tener en cuenta en esta fase, son las finalidades de tratamiento futuras que queramos llevar a cabo, así como las técnicas de análisis y explotación de la información. Así, la utilización de técnicas de análisis masivos de datos (Big Data), puede conllevar la imposibilidad de anonimizar determinada información, la realización de evaluaciones de impacto, la adopción de medidas organizativas y legales, así como de los parámetros de seguridad necesarios. Este análisis, no sólo presente, sino futuro sobre el tratamiento de datos personales, implica la colaboración de las diferentes áreas corporativas. En la era de la economía digital y de la sistematización de los tratamientos de datos personales, la nueva norma pone de relieve que, en la gestión y protección de la información deben participar todas las áreas, siendo no sólo un reto legal o de seguridad, sino, como adelantábamos, empresarial.
Y es que junto con los riesgos sancionatoriosy las inmensas cuantías que pueden alcanzar las sanciones, se encuentra asociado un daño reputacional que incide en el propio modelo de negocio e incluso en la viabilidad del mismo. El hecho de tener que comunicar una brecha de seguridad a los usuarios, o el quebrantamiento de la confidencialidad, afectan directamente a la confianza del usuario y por tanto a su relación con la empresa. Así una correcta implantación y seguimiento, conlleva un mayor beneficio empresarial fácilmente cuantificable.
La gestión de la información, la evolución del concepto de omnicanalidad o el tratamiento de determinados datos en tiempo real (gelocalización), inciden en el diseño de nuevas campañas y productos, llegando incluso a un nivel de personalización total o el poder tener la inteligencia técnica suficiente para ofrecer al usuario lo que necesita antes de que lo solicite.
Todo ello, conlleva que, esta recta final de cara a la plena aplicación del Reglamento Europeo, supone un reto, no sólo para cumplir con la norma, sino para establecer los mecanismos de revisión y auditoría, así como de mejora continua de los procesos necesarios para garantizar una estabilidad del sistema implementado y la reducción de los riesgos asociados.