Desde que ‘’entrara’’ en vigor el pasado 25 de mayo de 2018 el Reglamento General de protección de las personas físicas en lo que respecta al tratamiento de datos y a la libre circulación de éstos (comúnmente conocido como RGPD o GDPR por sus siglas en inglés), han surgido multitud de dudas, respuestas de toda clase y, en definitiva, desinformación que ha causado pánico en empresas y clientes o usuarios de aquellas. Una de las razones principales es que el RGPD generó ciertas dudas, introdujo algunas modificaciones importantes y figuras como el Delegado de Protección de Datos. En este artículo queremos especificar y concretar las leyendas que han girado en torno a algunos preceptos jurídicos contenidos en el Reglamento Europeo de Protección de Datos:
La entrada en vigor
Que conste que las comillas del principio están puestas a propósito. El RGPD está aprobado y vigente desde el año 2016. El 25 de mayo de 2018 comenzó a ser de obligado cumplimiento, pero han concedido 2 años como período de adaptación para implementar las medidas de seguridad adecuadas en el tratamiento de datos personales. Por lo tanto, resulta extraño que miles de empresas se sorprendieran de las obligaciones que estaban a punto de llegar a sus negocios.
Desaparición de los derechos ARCO
Los tan conocidos derechos de la LOPD: derechos de acceso, rectificación, cancelación y oposición. Estos derechos no han desaparecido. Se han modificado y ampliado como por ejemplo el derecho de información que contempla el RGPD, no es más que el derecho de acceso, pero ampliado.
Los únicos derechos que si son nuevos son los derechos de portabilidad y limitación del tratamiento.
El control de los datos y datos especiales
Otra leyenda que ha surgido en torno al RGPD son las frases: con el Reglamento los ciudadanos tendrán un control total sobre sus datos; los datos de salud serán considerados de especial protección; los datos biométricos y genéticos son de salud…y otras afirmaciones similares.
Basta con recordar que la LOPD ya preveía estas afirmaciones. Siempre hemos tenido el control sobre nuestros datos pues nunca hemos dejado de ser los titulares de éstos. Lo mismo que los datos de salud, siempre han tenido la consideración de ‘’especial protección’’. Y la mentira sobre los datos biométricos y genéticos. Esta categoría no se engloba en los de salud. Si bien son datos sensibles y de especial protección, su finalidad no es única y exclusivamente relacionada con la salud, por lo que no debemos caer en este falso error.
El RGPD, como novedad, si incluye nuevos mecanismos que ayudan a los ciudadanos a disponer fácilmente de ese control total, como el derecho a la información que incluye el deber y la obligación de informar sobre todos los fines para los que se utilizarán los datos o la posibilidad de oponerse a un determinado tratamiento y seguir utilizando un producto o servicio.
El DPO…
Uno de los mayores quebraderos de cabeza que incluye el RGPD. Si es o no obligatorio, para que entidades, quién puede y debe ser el Delegado, etc.
Lo primero, esta figura no tiene por qué ser un abogado ni mucho menos. Lo único que se exige es tener conocimientos y experiencia en materia de Protección de Datos, por lo que cualquier persona que acredite estos requisitos puede ocupar el cargo.
Segundo, no es obligatorio para todo el mundo, ni siquiera para el abogado que ejerce por su propia cuenta, él solo en un despacho y aunque trate datos relativos a infracciones y condenas penales (siempre que sean relativos a personas concretas). El DPO si es obligatorio para las Administraciones Públicas, empresas que traten sistemática y habitualmente datos a gran escala (como compañías de seguros, bancos, eléctricas, etc.) y para aquellas empresas que traten datos especiales a gran escala (orientación sexual, ideología, religión, salud, etc.).
La necesidad de consentimiento para tratar datos
Seremos breves: no. Hay seis reglas o normas para tratar de forma lícita los datos personales de las personas físicas y el consentimiento no prevalece sobre las demás. Por ejemplo, los datos de empleados o proveedores prevalece la relación contractual y no es necesario solicitar el consentimiento ya el tratamiento es inherente al cumplimiento contractual. Igual que los datos de los empleados. Prevalece una relación contractual y solo se solicitaría el consentimiento si no quedara más remedio o se quisieran tratar datos que no fueran necesarios para cumplir el contrato.
Caso bien distinto es el de clientes o usuarios que utilizan nuestros servicios y nosotros utilizamos datos con finalidades distintas. En este caso si se necesitaría el consentimiento en los términos exigidos por el GDPR.
Toda esta información intoxicada ha provocado que se solicitara el consentimiento a personas que no era necesario y a partir de entonces sí que limitamos el tratamiento a la aceptación. Aunque se opongan, tendremos que seguir prestando servicios y sin la posibilidad de tratar y almacenar sus datos por haber solicitado algo que no era necesario.
