La Ley Orgánica de Protección de datos de 1999 y su posterior reglamento se promulgan al amparo del artículo 18 de la Constitución, con la tarea de garantizar y proteger las libertades públicas y derechos fundamentales de las personas en lo que a datos personales se refiere.
Esta norma obliga a toda persona, empresa y organismo, tanto público como privado a seguir un estricto control en la recogida de datos de carácter personal y su tratamiento. De este modo, se regulan de forma concreta el almacenaje, conservación y uso de datos especialmente protegidos, así como la comunicación o cesión de los mismos y el derecho a la modificación.
La obligación de cumplir con las normas previstas en la legislación española y, desde recientemente, en las directivas europeas, obliga también a asociaciones y clubes deportivos, que deben seguir un estricto control de sus mecanismos de protección de datos personales.
Hasta abril del año 2016, las normas españolas obligaban a cualquier persona (incluidos los clubes deportivos) que recabara y almacenara datos personales de personas físicas a una serie de pautas de conducta:
– Comunicar a la Agencia Española de Protección de Datos los ficheros de datos personales que tuviera en su poder y su nivel de protección (básico, medio, alto).
– Elaborar un documento de seguridad donde constaran las medidas adoptadas para proteger dichos datos.
– Comunicar y recabar el consentimiento expreso o tácito de las personas interesadas, así como informarles de sus derechos ARCO (acceso, rectificación, comunicación y oposición).
En el año 2016 la UE promulga un reglamento de aplicación directa en los países miembros y que afecta directamente a otros países externos que traten datos de carácter personal de ciudadanos UE. Este reglamente ha tenido un período de adaptación que ha finalizado el 25 de mayo de 2018. Desde ese día, todos las personas físicas o jurídicas que recaben datos de carácter personal, como hemos mencionado anteriormente, están obligadas a una serie de pautas de conducta, que se diferencian sustancialmente de las que hasta ahora venían existiendo.
Las nuevas medidas de protección se basan principalmente en dos principios básicos: elconsentimiento expreso de los afectados y el principio de responsabilidad activa. Estas dos nuevas líneas de exigencia, eliminan la obligación de comunicar los archivos a la AEPD, limitando sus funciones y convirtiendo a la agencia en una Agencia de Control, más que en un organismo de policía administrativa, como hasta ahora venía ocurriendo.
¿En qué se traducen, principalmente, las novedades del reglamento a efectos prácticos?
– El RGPD amplía las obligaciones de las empresas europeas, autónomos, administraciones públicas y las de aquellas empresas ubicadas fuera de la Unión Europea que ofrezcan sus productos o servicios a usuarios de los estados miembros, o que reciban datos personales desde la misma.
– Desaparece la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad competente.
– Cada responsable, y en su caso, su representante llevarán un registro de las actividades de tratamiento efectuadas bajo su responsabilidad y contenidas en el documento de seguridad.
– Las empresas, organismos y comerciantes deben adoptar las medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el reglamento establece, puesto que, la exigencia del mismo es que las empresas u organizaciones tengan una actitud consciente, diligente y proactiva del tratamiento de los datos, estando capacitadas para demostrar – llegado el momento – las medidas de seguridad aplicadas (responsabilidad proactiva).
– Recabar el consentimiento expreso para correos electrónicos masivos con información y publicidad de la empresa u organización y para la recogida de datos (fichas de cliente, fichas de socio, etc.).
– Ofrecer a los afectados el ejercicio de sus derechos ARCO, más el derecho al olvido (eliminación de los datos en caso de que pierdan su finalidad) y derecho a la portabilidad.
– Limitar la recogida de datos a aquellos estrictamente necesarios.
– Obligación de la llevanza de un registro de actividades de tratamiento para cualquier empresa y organización que emplee a más de 250 personas.
– Deberán tener un delegado de protección de datos las empresas públicas, las que tengan un tratamiento a gran escala o las que traten datos especialmente sensibles o relativos a condenas o infracciones penales.
– Realizar una evaluación de impacto para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas.
– Notificar a la agencia las violaciones de la seguridad de los datos.
– En cuanto a las sanciones, no se establecen cuantías mínimas y las máximas pueden alcanzar los 20 millones de euros o hasta el 4% del volumen de negocio del infractor.
Las modificaciones señaladas suponen un mayor compromiso por parte de las organizaciones, públicas o privadas, con la protección de datos. Si bien, ello no implica necesariamente una mayor carga sino tan solo una forma de gestionar la protección de datos de manera distinta de la que se vino empleando hasta ahora.
Las novedades tienen mucho que ver con la responsabilidad actividad de los responsables que hasta ahora venían tutelados por la Agencia y que ahora deberán realizar un análisis de riesgos con el fin de revisar las medidas de seguridad adoptadas para proteger los datos personales que hayan recabado a la luz de los resultados de dicho análisis.
Para aquellas empresas, comerciantes y organizaciones a las que no resulte útil las herramientas que nos ofrece la Agencia Española de Protección de datos en su página web (www.aepd.es), ésta ha elaborado una HOJA DE RUTA sobre cómo adaptarse al Reglamento General de Protección de Datos (RGPD), normativa aplicable el 25 de mayo de 2018 y cuya lectura recomendamos.
Alejandro López Sánchez.
Abogado
