RGPD

Han sido dos años largos. Pero depende de para qué. A muchos se les han pasado muy rápido… A tenor de esas firmas de correo electrónico que aún se ven por ahí o los miles de formularios de correo en sitios web que aún no piden “expresamente” el permiso para el tratamiento de los datos que se aportan al ponerse en contacto con los negocios y las empresas.

El problema que veo yo es que se pasado muy de puntillas sobre esta nueva norma, que parece afectar sólo a las empresas más grandes. Además, la LOPD española es una de las normas más estrictas que hay en todo el panorama europeo y su nivel de cumplimiento (para bien) es enorme.

Lo primero que hay que entender es que una no quita la otra; es decir: a partir del 25 de Mayo será de aplicación el RGPD (y la Directiva 95/46/CE), la LOPD y la LSSI (Ley de Servicios de la Sociedad de la Información). Se aplicará en cada caso lo más restrictivo de las tres. Y es difícil encontrar algo más “restrictivo” en el nuevo Reglamento que lo que lo que hay dispuesto en la Legislación Española.

Es difícil pero no imposible porque las diferencias existen

Para empezar, la RGPD no viene a sustituir a nadie sino a crear un nuevo marco legal para la protección de datos a nivel general (no sólo datos alojados en bases de datos, procesados automáticamente o captados de manera interactiva); que sea, además, común a todos los países de la Unión. En ese caso, veremos si nuestra LOPD en su nueva versión adaptada al RGPD no acaba reculando en muchas cosas.

Pero sí es cierto que el espíritu del nuevo Reglamento está creado para responder a nuevas “amenazas” (si queremos llamarlo así) tanto actuales como futuras; descargando en las empresas la protección de los datos cuando antes se limitaba a exigir un registro de los mismos.

De ese espíritu nacen nuevos elementos, como el Delegado de Protección de Datos o el Análisis de Riesgos. El DPD es una figura obligatoria cuando se da uno de estos tres “supuestos”:

• El Tratamiento de datos es una actividad principal de la empresa
• Es a gran escala (sin especificar cual)
• Es regular y sistemático

Visto esto, la pregunta no es “cuándo es obligatorio” contar con un DPD sino “cuándo NO lo es”. El Análisis de Riesgos está más claro: SIEMPRE. Es obligatorio y todas las empresas están obligadas a realizar el suyo. La Agencia Española de Protección de Datos ha subido esta aplicación web que permite evaluar ese Análisis de Riesgos. Esta herramienta está pensada para los niveles mínimos de riesgo.

Paralelamente a ello, se precisa otra serie de acciones que hasta la fecha no se habían tenido en cuenta. Es el Deber de Informar que exige transparencia y claridad. El típico tocho que va debajo de los mail, por ejemplo. Ahora tiene que dar datos sobre el DPD, sobre la finalidad del tratamiento, la base jurídica en la que se apoyan, los derechos (ojo: hay dos derechos nuevos que hablaremos más abajo), los destinatarios de los datos (si fuesen distintos a la propia empresa) y, en su caso, las fuentes de los mismos: de dónde hemos sacado esos datos.

Esos dos nuevo derechos son la “oposición”, es decir: poder seguir con el trámite pese a que el usuario no permite el tratamiento de sus datos; y la “portabilidad”: la posibilidad de descargar los datos en un archivo para enviarlos, tal cual, a otra empresa de la competencia.

Desde el punto de vista del diseño de las bases de datos, esto no en ninguna tontería: junto a los datos de cada uno de nuestros contacto deberá estar el consentimiento EXPLÍCITO a su tratamiento. La típica casilla de aceptar que no podrá referirse de manera velada a derechos y deberes ni estar “activada por defecto”. Junto a esa casilla deberá estar muy clara esa información que referimos arriba: Responsable, Finalidad, Legitimación y Derechos del Usuario; y, en su caso, Destinatarios.

La forma en la que usuario va a poder recibir sus datos aún está por ver. Se admite, de momento, su envío por mail; no teniendo que ser una implementación automatizada.

En el caso de que el usuario no acepte el tratamiento de sus datos obligaría, además, a bloquear las cookies que pueda recibir y que puedan suponer un rastreo personalizado dentro de nuestro sitio web: Google, Pixels de Facebook o de AdSense, Adwords, etc. Esto quiere decir que alguien tendrá que poder entrar en tu tienda online, comprar, pagar y marcharse sin que después le aparezca tu publicidad de Google AdSense hasta en la sopa. Falta por ver dónde se materializa ese consentimiento. Hay quien lo empieza a meter en la barra de las cookies (no es mal sitio); permitiendo la navegación privada por el sitio web.

Aún así, lo mejor es consultar con un profesional que ayude a implantar todo esto. Sin alarmismos de publicidad barata pero sin pensar en que el tratamiento que se hace no “hace necesario” contar con lo que obliga la Ley.