Ya ha entrado en vigor el Reglamento General de Protección de Datos y prácticamente todas las empresas y autónomos se han centrado en adaptarse mediante una campaña de miedo y terror. Ciertamente hemos podido ser testigos cómo dentro de esa campaña de terror muchas son las empresas que han “enchufado” la protección de datos a todo el mundo.
Ciertamente, todos los profesionales o no (autónomos, empresas privadas, empresas públicas, entidades sin ánimo de lucro, comunidades de propietarios) que utilicen cualquier dato personal para el desarrollo de sus actividades tienen la obligación de cumplir con las garantías establecidas para la protección del derecho fundamental a la intimidad y a la privacidad de datos personales en la creación, tratamiento y modificación de ficheros que contengan la información personal de clientes, pacientes, empleados, proveedores, alumnos, etc.
Pero continuamos con la alarma social provocada hasta el punto que muchos de nosotros hemos recibido un sin fín de correos electrónicos en la que nos advertían de que habían adaptado su política de privacidad al nuevo Reglamento y otros que nos solicitaban el consentimiento y, a la vez, que actualizásemos nuestros datos.
Ahora bien, si el Reglamento es el mismo para todos, ¿cómo es posible que algunos realizasen una comunicación con una simple actualización y otros soliciten una nueva autorización?
A partir de hoy es necesario o bien la existencia de un consentimiento expreso o bien un interés legítimo. Todas aquellas empresas a las que tenemos un contrato firmado, como los típicos servicios en la que nos logueamos (esto es ya per se un contrato), ya disponen de ese consentimiento expreso con carácter previo a la entrada en vigor al Reglamento, por lo que únicamente tienen la obligación de proceder a su actualización. Ahora bien, cuando no existe ese contrato expreso o cuando aquel que procede al tratamiento no puede garantizar que alguna vez ese consentimiento se ha realizado expresamente, es necesario que puedan justificar que los titulares de los derechos han prestado expresamente el citado consentimiento.
Esto deviene en la diferenciación entre un cliente, un contacto o un cliente potencial. Muchos hemos podido víctimas de correos masivos intensivos o, incluso llamadas agresivas de venta. A la cabeza me viene cuando un viernes, en una cena benéfica conocí a un profesional que se interesó por los servicios que prestaba por lo que le entregué mi business card y al día siguiente, ya me habían incorporado al envio de su boletín diario y había recibido una llamada ofreciéndome sus servicios. Pues bien, esto con la entrada en vigor del nuevo Reglamento, ya no debería realizarse y, si se realizase, podría ser un hecho denunciable ante la AEPD.
En cuanto a novedades relevantes del RGPD nos encontramos con la supresión del registro de ficheros, lo que no garantizaba en absoluto la seguridad de los mismos en el tratamiento, por la elaboración de un plan de identificación de tanto las amenazas como los riesgos que un profesional o una compañía puede estar expuesta dentro de la actividad que lleve a cabo en el tratamiento de los datos personales. La ausencia de claves de seguridad en accesos en los ordenadores, la falta de cifrado u olvidarse un pendrive con información confidencial pueden ser riesgos que podrían provocar esa falta de seguridad en el deber de vigilancia de los datos.
Por ello, deberemos identificar los tratamientos que llevemos a cabo y asumir una serie de obligaciones como encargado del tratamiento como responsable del mismo y ofrecer, en todo momento, una información clara y transparente. Dentro de esa información deberán figurar los derechos del propietario de los datos al acceso, rectificación, cancelación y oposición (los llamados Derechos ARCO), el derecho a la limitación de los datos, introduciéndose, también, el derecho a la portabilidad, esto es, la obtención de una copia física de los datos o su transmisión a un tercero (derecho especialmente importante para asesores y gestorías).
Por último, indicar que en todo caso deberemos tener constancia y asegurarnos de obtener cuantas medidas de seguridad organizativas y/o técnicas sean necesarias a fin de evitar o reducir el impacto de esos riesgos y, en caso de una quiebra de seguridad, deberá ser comunicada en un plazo de 72 horas tanto a la Autoridad como el titular de los derechos. En cuanto al nombramiento del Delegado de Protección de Datos (DPD) el mismo tendrá el carácter obligatorio para la gran mayoría de compañías, si bien existen algunos profesionales que no estarán obligadas a disponer del mismo.
Es importante la concienciación en la protección de los datos personales y el derecho a la intimidad y hay que diferenciar y tratar los datos con carácter individualizado (no con carácter global) y diferenciar todos y cada uno de los supuestos y para ello será necesario contactar con el correspondiente profesional.
Puedes ampliar la información en los documentos que encontrarás en la Agencia Española de Protección de Datos (AEPD). Por nuestra parte, vamos a empezar a gestionar un Boletin Informativo (Newsletter) con una determinada periodicidad y al que podrás suscribirte NEWSLETTER
Photo by Pixabay on Pexels.com