El Reglamento General de Protección de Datos (RGPD) lleva más de cuatro meses en vigor en la Unión Europea. Cuatro meses que los usuarios de internet lo hemos podido percibir a través de una sucesión de petición de autorizaciones para el acceso a ciertos lugares y, sobre todo para aceptar las cookies que todas las webs incorporan.
El proceso de implementación es algo bastante más relevante que dar ese consentimiento. De hecho, un dato tan sencillo como el almacenamiento supone que se requiere un consentimiento libre, específico, informado, inequívoco y demostrable. Algo que no siempre es sencillo y que provoca problemas indudables de gestión y de cómo se organizan los datos que se han recopilado.
Una simple pregunta nos plantea interrogantes difíciles de resolver: una dirección de correo electrónico de un profesor de universidad, disponible al público a través de la web de su departamento, ¿se podría recoger para conformar una base de datos a la que remitirle información de interés para su ámbito de conocimiento?
Por ello, la introducción del RGPD ha supuesto la adopción en el seno de las organizaciones, públicas y privadas, de una política de protección de datos que está al lado de los demás aspectos de su actividad cotidiana. Una obligación legal que, a la vista de algunos estudios, no parece que haya sido implementada de forma clara en nuestro país.
Constituye, sin duda, esas obligaciones de carácter estructural, cuyos resultados no se ven fácilmente a la vista… hasta el momento en que la Agencia de Protección de Datos inicie un procedimiento sancionador. De hecho, una vez que el RGPD ha entrado en vigor, el Gobierno, para subsanar el retraso en esta materia, promulgó el Real Decreto-ley 5/2018, de 27 de julio, de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos; cuya finalidad ha sido la incorporación al derecho español el régimen sancionador y la actividad inspectora fruto de la normativa europea. Una norma transitoria hasta el momento en que se apruebe la nueva Ley Orgánica de Protección de Datos; tal como se recoge en su Disposición de vigencia: Estará en vigor “hasta la vigencia de la nueva legislación orgánica de protección de datos que tenga por objeto adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos”
Pero demos un paso detrás. De lo que se trata es de evitar el procedimiento sancionador, teniendo en cuenta la importancia económica de las sanciones que se recogen en el RGPD. Por ello, es tan relevante la adopción de una política en las organizaciones de protección de datos.
La política de protección de datos surge como un elemento de análisis de riesgos dentro de las organizaciones. Por ello, es tan relevante. La gestión de riesgos supone estar en condiciones de a) la pseudonimización y el cifrado de datos personales; b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamientos, c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) Un proceso de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Puede usted pensar que no tenga datos especialmente sensibles y que lo que se acaba de señalar sólo afecta a grandes organizaciones. Pero, por pequeña que sea una empresa, una organización ¿no se conservan los partes de baja de los trabajadores por enfermedad? Con ello, ya encontramos unos datos de los que son de más alta protección, por afectar a la salud del individuo.
Uno de los aspectos que debe tenerse en cuenta, como elemento de dificultad de la materia y de los complejos contornos que tiene, es que EL RGPD no está solo a la hora de determinar el marco jurídico, sino que se ha de aplicar al lado de la Ley de Servicios de la Sociedad de la Información. Una aplicación de la LSSI que obliga a ciertos deberes de comunicación e inscripción registran para los operadores con datos personales.
Como se puede apreciar en las líneas anteriores, la política de protección de datos resulta imprescindible en el seno de las organizaciones. No obstante, desde la perspectiva del titular de los derechos, no deja de ser un aspecto insuficiente, si observamos aquello que está ocurriendo con las grandes operadores transnacionales. Incluso podríamos recordar aquella expresión de Mozorov, para exponer el problema estadounidense: “My name is America and I’m a dataholic”.
Inlcuso yendo más allá, ¿se ha pensado en la función social de la propiedad de los datos? Un aspecto relevante, que podría contribuir a una mejor gestión pública y en el que, sin embargo, no se ha progresado demasiado. Pero, como en la historia interminable de Michael Ende, esta es otra historia que conviene ser contada en otro momento.
