Hablando recientemente con un conocido me expresó su desconfianza hacia el actual Reglamento General de Protección de Datos (en adelante RGPD) y las demás normas de protección de datos. "¿De qué sirven esas leyes?", me preguntaba. "Total, en realidad nuestros datos están desprotegidos ante las grandes empresas".
Le ofrecí respuesta a todas sus dudas, hasta el punto que acabó cambiando de postura. Pero ese diálogo me hizo ver que las ventajas de la legislación de protección de datos quizá no sean evidentes para todo el mundo. Así que intentaré resumir lo que creo que son los elementos esenciales.
Armonización de legislaciones
Una de las mayores ventajas del RGPD es que se trata de un Reglamento europeo; esto es, nos encontramos ante una norma que se aplica de manera uniforme en toda la UE. Ello facilita que haya criterios de trabajo unánimes, cosa que supone una importante herramienta a la hora de actuar contra grandes empresas que se mueven en diferentes jurisdicciones.
Una regulación más exhaustiva del consentimiento
El RGPD regula de forma más clara cuándo y de qué maneras puede un interesado prestar su consentimiento para tratar datos personales que le afecten. Ello permite evitar abusos y ambigüedades sobre si se ofreció o no ese consentimiento.
Además, el RGPD exige que el consentimiento se solicite empleando un lenguaje claro y sencillo. Si la solicitud de consentimiento viene en una declaración escrita (por ejemplo, un largo contrato o los términos de servicio de una página web), esa solicitud debe presentarse "de tal forma que se distinga claramente de los demás asuntos".
En otras palabras, no es admisible usar jerga jurídica farragosa o disimular la solicitud del consentimiento entre un montón de cláusulas sin relación. El interesado debe tener claro a qué está consintiendo.
Por si todo lo anterior falla, el interesado también puede retirar su consentimiento en cualquier momento. Y no se puede poner trabas burocráticas a este derecho, porque el RGPD dice literalmente que "será tan fácil retirar el consentimiento como darlo". De modo que si ofrecimos nuestro consentimiento con un simple mensaje electrónico, ese mismo sistema bastará para retirarlo.
Transparencia
Los responsables del tratamiento tienen la obligación de contestar a cualquier solicitud que les hagan los interesados respecto a los datos que están tratando. Así podemos saber si están usando nuestros datos, para qué, durante cuánto tiempo, de dónde han sacado los datos, a quién se los van a comunicar,...
Esta obligación tiene un plazo máximo de cumplimiento: en general los responsables deben responder en un mes (en determinadas circunstancias puede prorrogarse dos meses más). Y debe darse siempre respuesta expresa; no se admite el silencio.
Como parte de esta obligación de transparencia también hay que ofrecer más información a los interesados a la hora de tratar sus datos. Por ejemplo -como veremos más abajo-, el plazo de conservación de esos datos.
Protección de los derechos de los interesados
El RGPD regula de forma más detallada los derechos que nos asisten. Esto nos ofrece más control sobre los datos que están gestionando los responsables, llegando al punto de que podemos exigir muchas cosas: que dejen de tratar los datos, que los borren, que dejen de usarlos para mercadotecnia y otras finalidades.
Esta regulación también incluye nuevos derechos que no existían antes. Por ejemplo, el derecho de portabilidad nos permite exigir a un responsable que comunique nuestros datos a otro responsable, sin que nosotros tengamos que hacer de intermediarios (cosa muy útil, por ejemplo, cuando alguien desea cambiar de empresa de telefonía). Y los derechos relativos a decisiones individuales automatizadas nos protegen de abusos en caso de que se use algoritmos informáticos para analizar nuestros datos y tomar decisiones automáticas que puedan afectarnos.
Protección de datos desde el diseño y por defecto
El RGPD también obliga a los responsables a tener el máximo cuidado con los datos. Hasta tal punto llega esa exigencia, que se convierte en un principio básico del tratamiento: la protección desde el diseño y por defecto.
Esto significa que, cuando un responsable trate datos, lo primero en lo que tiene que pensar es en cómo protegerlos. Y que esa protección debe funcionar sin que el interesado tenga que hacer nada o solicitarla.
El principio de minimización de datos
La normativa, además, exige a los responsables que solo traten los datos imprescindibles para los fines buscados. Si, por ejemplo, la finalidad del tratamiento es mandarnos una newsletter por correo electrónico, está claro que el único dato que necesitan es nuestra dirección. Por tanto, un responsable no podría pedirnos datos ajenos a esta finalidad (por ejemplo, una foto). Con esta medida se impide que los responsables nos pidan un montón de datos bajo cualquier excusa, cosa que a la postre sirve para protegernos.
La limitación del plazo de conservación
Esta obligación es otro aspecto muy bien pensado del RGPD. Significa que un responsable no puede conservar nuestros datos tanto tiempo como quiera o “le dé la gana” (quizá con la intención de sacar beneficio económico de ellos), sino que debe darles una especie de fecha de caducidad. Pasada esa fecha, los datos deben ser en principio suprimidos.
Recordemos que una de las informaciones que los responsables deben darnos -incluso sin necesidad de preguntarlo- es cuál será el plazo de conservación de los datos. Si un responsable no ofrece esa información, ya está incumpliendo la normativa vigente y se enfrenta a sanciones. Así que esta es una obligación que no se suele incumplir, porque sería una irregularidad bastante fácil de detectar.
El principio de responsabilidad proactiva
En caso de que haya algún problema entre un interesado y el responsable que trataba sus datos, quien tiene que probar que hizo las cosas bien es el responsable, y no al revés.
Esta carga de la prueba es una garantía más a nuestro favor, ya que cualquier responsable que quiera eludir sanciones tendrá que ser capaz de acreditar el cumplimiento del RGPD. Concretamente, debe poder demostrar que:
Si el responsable no es capaz de demostrar todo esto, las consecuencias jurídicas para él serán graves.
Regulación de la corresponsabilidad
El RGPD tampoco permite que los responsables se amparen en complejas figuras societarias o entramados contractuales para eludir su responsabilidad. De hecho, contiene una detallada regulación de la corresponsabilidad en el tratamiento de datos, incluyendo la posibilidad de que el interesado pueda reclamar contra cualquiera de los responsables. Además, los corresponsables del tratamiento tienen obligación de suscribir un documento en el que determinen sus respectivas responsabilidades, cosa que se hace con el objetivo de evitar lagunas que puedan perjudicar a los interesados.
Notificación de brechas de seguridad
Con el RGPD también nace la obligación de comunicar las violaciones de seguridad de los datos que puedan afectar a los derechos y libertades de los interesados. De este modo se acaba con la práctica de "esconder debajo de la alfombra" esas brechas (que se ocultaban para no perjudicar la reputación de la empresa).
Además, el Reglamento no permite demora o dejadez en la comunicación. Esta debe producirse en un plazo de tiempo muy reducido. Concretamente, en el plazo máximo de 72 horas desde que se tuvo conocimiento de la brecha.
Sanciones mucho más severas
Este es un elemento del RGPD del que ya se ha hablado largo y tendido. Precisamente para poder hacer de contrapeso contra las grandes empresas, el actual sistema de sanciones pueden llegar, en los casos más graves, a cantidades tan importantes que desincentivan el incumplimiento de conjunto de normas.
Piénsese que en circunstancias normales se puede llegar a imponer una multa de hasta 10.000.000 € o el 2 % del volumen de negocio anual global de la empresa. Cosa que puede suponer un importante varapalo incluso para los gigantes tecnológicos mundiales. Si a eso le añadimos que las infracciones más serias pueden ver duplicada la sanción (hasta 20.000.000 € o el 4 % del citado volumen de negocio), quedará claro que estas sanciones son un riesgo que nadie quiere correr.
Como es natural, existen muchas más obligaciones y garantías (la exigencia de evaluaciones de impacto en algunos casos, una mayor regulación de los encargos de tratamiento, la gestión de las transferencias internacionales de datos, la figura del Delegado de Protección de Datos,...). Pero todo lo que se ha dicho debería bastar para darnos cuenta de que el RGPD no solo es muy necesario, sino que nos ayuda de maneras muy contundentes... aunque quizá a simple vista no las percibamos.
Pero lo más importante es que estas garantías existen, y no solo sobre el papel, y, además, hemos de ser conscientes de que la gente cada vez conoce más sus derechos y cómo ejercitarlos. Las propias estadísticas oficiales de la AEPD nos hablan de un significativo repunte en las reclamaciones presentadas desde que empezó a aplicarse el RGPD (pasándose de una media anual de menos de 30 denuncias al día a otra de más de 40).
Precisamente por eso las empresas se esfuerzan por cumplir con todas sus obligaciones, porque saben que las denuncias de los particulares son un riesgo real y tangible. Así que nuestros datos están más protegidos gracias al RGPD.
Fabián Plaza Miranda, Auren Abogados y Asesores Fiscales
