«La ley de protección de datos salvaguarda el derecho de los ciudadanos»

Esther Brachi, experta en protección de datos en la oficina de Audidat en Ibiza.
Esther Brachi, experta en protección de datos en la oficina de Audidat en Ibiza.

El pasado 25 de mayo de 2018 comenzó a aplicarse en España el Reglamento General Europeo de Protección de Datos, RGPD, tras un periodo de dos años durante el cual se pretendía que las distintas entidades que tratan datos de carácter personal fuesen preparándose y adaptándose. Esther Brachi, experta en protección de datos de Audidat, analiza las claves de la nueva normativa.

  • ¿Qué objetivo tiene el nuevo reglamento?
  • El RGPD tiene como objetivo armonizar la normativa de protección de datos de los distintos estados miembros de la Unión Europea, lo que conlleva que su contenido sea realmente amplio.
  • ¿Cómo afecta principalmente a las empresas?
  • El reglamento afecta en gran medida a las entidades que tratan de datos, pues su catálogo de obligaciones se vuelve mucho más extenso de lo que ha sido típicamente. Además, las obligaciones impuestas a las empresas no se encuentran realmente precisadas, por lo que la labor de interpretación jurídica adquiere más importancia que nunca si no se quiere incumplir la nueva ley de manera grave.
  • ¿Y los derechos del ciudadano?
    La nueva normativa pretende que el ciudadano sea el eje central del ámbito de la protección de datos. para ello recoge lo que se denomina como responsabilidad proactiva, que consiste en que las entidades que traten datos no sólo deben cumplir con lo dispuesto en la normativa de protección de datos personales, sino que deben ser capaces de demostrar que efectivamente cumplen con tales obligaciones. Esta es precisamente la justificación de gran incremento en la cuantía de las sanciones, ya que las mismas se imponen al no haberse respetado de manera alguna los derechos de los ciudadanos en materia de protección de datos personales.
  • Entonces, ha de cambiarse el punto de vista con el que se contemplaba este ámbito hasta ahora para cumplir la nueva normativa.
    No se trata ya de respetar determinados artículos de una ley, sino que se busca una verdadera preocupación por parte de las entidades que traten datos para así alcanzar el fin último de la ley: salvaguardar los derechos fundamentales de los ciudadanos europeos.
  • Los ciudadanos han visto reforzados sus derechos y tienen mayor control sobre sus datos.
  • El consentimiento para permitir el tratamiento de sus datos debe ser explícito, además de que la entidad debe informarles de manera clara y concisa sobre el tratamiento de datos que pretende desarrollar para cumplir con el denominado principio de transparencia.
  • ¿Cómo se garantiza esa seguridad?
  • La inclusión del derecho a la portabilidad o el derecho a la supresión pretenden otorgar un mayor control de los interesados sobre su información personal. Además, las entidades deberán notificar a los afectados las violaciones de seguridad que hayan podido afectar de manera negativa a sus datos. Todas esas medidas pretenden que el ciudadano se encuentre continuamente informado sobre sus datos y que ostente un control real sobre los mismos.
  • También hay una serie de imposiciones a favor de las entidades que traten datos.
  • Estas entidades deben generar un registro de actividades de tratamiento efectuadas bajo su responsabilidad, debiéndose encontrar continuamente actualizado y a disposición de las autoridades.
  • Además, las entidades deben aprender a gestionar el riesgo.
  • Dado que la nueva normativa no proporciona un catálogo cerrado de medidas de seguridad, las entidades deben hacer un análisis de riesgos para comprobar qué medidas son las que mejor se adaptan a su realidad y sus necesidades.
  • ¿En qué cuestiones deben tener especial cuidado?
  • Cuestiones tales como el envío de publicidad o la actualización de las políticas de privacidad y de cookies deben ser estudiadas en profundidad, más teniendo en cuenta que ya ha visto la luz la propuesta de reglamento del Parlamento Europeo y del Consejo sobre el respeto de la vida privada y la protección de los datos personales en el sector de las comunicaciones electrónicas.
  • ¿Qué tipo de datos son considerados como categorías especiales?
  • Los datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o a la orientación sexual de una persona física son considerados por la normativa como categorías especiales, lo que implica que deban adoptarse garantías adicionales para su tratamiento y protección.
  • Se produce entonces un cambio en la manera de gestionar los datos.
  • La nueva normativa pretende que estas entidades, en su actividad cotidiana, respeten el derecho fundamental a la protección de datos, lo que significa que ya no se trata de cumplir con ciertas obligaciones, sino de incluir en el normal funcionamiento de la entidad actividades encaminadas a respetar los derechos de las personas físicas en ese ámbito.
- Publicidad -