Solicite un presupuesto
Elaboraremos una propuesta adecuada a sus necesidades
SOLICITAR SOLICITAR

Sobre la adaptación al nuevo Reglamento General de Protección de Datos

 In Notícias

Aquellos que, como esta firma, venimos dedicándonos al asesoramiento jurídico en materia de privacidad desde hace casi dos décadas ya no nos sorprendemos cuando encontramos en nuestro sector conductas comerciales que, cuando menos, resultan éticamente reprobables, si no abiertamente ilegales.

Así, en los últimos años hemos tenido que lidiar, entre otras, con empresas que ofrecían asesoramiento jurídico sin ser abogados, con empresas que ofrecían servicios de implantación de la normativa de protección de datos “sin coste” (siempre que el cliente contratara, a la vez, un curso de formación financiado con fondos públicos y con cargo al cual se sufragaría ilegalmente el servicio) o con empresas cuya estrategia de ventas se ha aprovechado directamente del desconocimiento y la buena fe del cliente para engañarle.

A este último grupopertenece una tendencia comercial que se está evidenciando tras la reciente aprobación en Europa del Reglamento General de Protección de Datos (RGPD), que, como es sabido, será de aplicación obligatoria a partir de mayo del año 2018.

Cualquiera que haya leído esta nueva norma con criterio habrá descubierto que ha sido elaborada con una técnica legislativa bastante ajena a nuestra cultura jurídica y más próxima a las fórmulas del derecho anglosajón, que tanto gustan al legislador europeo. Tanto los supuestos de hecho como las consecuencias jurídicas se formulan de un modo bastante más abierto e impreciso de lo que es tradicional en nuestro derecho patrio, lo cual otorga la indiscutible ventaja de permitir gran flexibilidad en la aplicación de la norma, pero sacrifica parte de la seguridad jurídica que proporciona una ley más cerrada, con menos margen de maniobra para el hermeneuta.

Además, el RGPD, pese a tener en apariencia y nominalmente la forma jurídica de Reglamento, en la práctica, deja tantos aspectos pendientes de desarrollo y concreción en manos de los Estados Miembros y las instituciones comunitarias que más pareciera una Directiva. Esta característica obligará a realizar, en el periodo transitorio de dos años hasta su aplicación forzosa, un esfuerzo de concreción y desarrollo normativo que en nuestro país se materializará, necesariamente, en una profunda revisión de la vigente Ley Orgánica de Protección de Datos (LOPD).

Por ello, en este escenario, sorprende descubrir que hay empresas que ofertan servicios de adaptación, hoy mismo y de forma integral, al nuevo RGPD. Esta estrategia de venta es, sencillamente, una estafa. Por una parte, porque existen en la norma aspectos tan imprecisos y que admiten tan diversas interpretaciones que es verdaderamente pretencioso aventurar hoy un criterio con la esperanza de que sea ese y no otro el que finalmente impere. Por otra parte, porque cualquier intento de implantación íntegra de la nueva norma, a fecha de hoy, resulta un esfuerzo tan exigente como inútil, ya que muchas de las medidas que se tomen habrán de ser corregidas cuando se materialicen las reformas normativas necesarias. Y, por último, porque la única normativa vigente que debe observarse en nuestro país hoy es la LOPD. Dejar de cumplir esta para realizar una supuesta adaptación completa al nuevo Reglamento Europeo significa exponerse a recibir una sanción por no cumplir aspectos aún hoy vigentes pero que no exige el RGPD.

Es indiscutible la necesidad de que las empresas e instituciones emprendan a corto plazo un camino de progresiva adaptación a la nueva normativa. Y este proceso se deberá ir completando, paulatinamente, a la vista de las diversas normas que vayan apareciendo y en las que finalmente se vaya concretando el RGPD. Pero lo que no puede afirmarse, porque es falso, es que, a fecha de hoy, sea posible (o incluso conveniente) adaptar de forma íntegra una empresa o institución al nuevo RGPD.

Les propongo que, la próxima vez que reciban la visita de un comercial que les ofrezca implantar en su empresa el RGPD le hagan algunas de las siguientes preguntas y esperen a ver cómo sale del atolladero:

a) El RGPD dice que, para acreditar mi responsabilidad en su cumplimiento, tengo que adoptar “medidas técnicas y organizativas apropiadas”. ¿Cómo sabe usted que las medidas que piensa implantar en mi empresa son las “apropiadas”, que son suficientes y que no hay otras que sean más “apropiadas” que esas?

b) A la hora de decidir si, como parte de esas medidas tengo que incluir una Política de Protección de Datos, el criterio que establece el RGPD es que ello sea “proporcionado”. ¿En qué criterios se basará usted para decidir si, en mi caso, la implantación de una Política de Protección de Datos es o no una medida “proporcionada”?

c) A la hora de elegir a un encargado del tratamiento, el RGPD me exige que el seleccionado “ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas”. ¿Cuáles son esas “garantías suficientes” y esas medidas “apropiadas” que tengo que verificar? ¿Y qué pasa si lo que el encargado del tratamiento considera “suficiente” o “apropiado” no lo es para mí?

d) Hay que establecer un registro de operaciones de tratamiento y realizar una evaluación de impacto sobre la privacidad, entre otros casos, cuando el tratamiento “pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional”. ¿Cómo interpreta usted esos conceptos y en qué se basa para hacer esa interpretación?

e) El RGPD me obliga a consultar previamente a la AEPD cuando pretenda realizar un “tratamiento de alto riesgo”. ¿Cuándo, según usted, un tratamiento es o no de alto riesgo y en qué se basa para hacer esa interpretación?

f) Estoy obligado a nombrar un Delegado de Protección de Datos, entre otros supuestos, cuando mi empresa realice un “tratamiento a gran escala de datos”. ¿Qué quiere decir “a gran escala”? ¿Tengo que tener en cuenta a estos efectos el volumen de los datos que trate o su naturaleza? ¿A partir de qué volumen se considera “gran escala”?

g) Según el RGPD, podré tratar datos sin consentimiento para fines diferentes del autorizado por el titular de los datos si ello entra dentro de las “expectativas razonables” que este tenga. ¿Cuándo puedo entender que existía esa expectativa en el fuero interno del interesado y cuando es “razonable”?

Seamos serios. Afirmar que hoy puede adaptarse íntegramente una entidad al RGPD es simple y llanamente mentir. Frente a tales cantos de sirena, opte usted por ponerse en manos de un despacho de abogados especializado y déjese guiar por él en el ineludible, progresivo y gradual proceso de readaptación a la nueva norma. Va en ello su tranquilidad y la de sus clientes.

Ernesto José Muñoz Corral.

Abogado Socio de Picón & Asociados Abogados.

European Data Protection Officer.

Recent Posts