¿Nos Protegemos?

Year 2 - Week 50

ISSN 2603 - 9931

Se acerca el 25 de mayo de 2018. Se acerca el momento a partir del cual resultará obligatorio, directamente aplicable y por ello exigible la nueva normativa europea sobre protección de datos.

El 27 de abril de 2016 fue dictado por el Parlamento Europeo y el Consejo el Reglamento (UE) 2016/679 General de Protección de Datos, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos -también en esa fecha fue dictada la Directiva (UE) 2016/680 relativa a la protección de los datos personales de las personas físicas en los ámbitos policial y judicial-.

Imagino que sois conocedores, o al menos eso espero, de la existencia de una normativa nacional sobre protección de datos, que os resulta aplicable dado que trabajáis con personas y manejáis sus datos.

Podríais pensar que, dado que -hablo en el mejor de los casos-, ya estáis cumpliendo con la LOPD -Ley Orgánica de Protección de Datos española-, estáis protegiendo suficientemente los datos personales ajenos y también os estáis protegiendo de las sanciones que puede acarrear el incumplimiento de tal normativa. Ahora bien, a partir de la fecha que os he reseñado resulta de aplicación directa el Reglamento (UE) 2016/679, y es de aplicación preponderante respecto a la normativa nacional, sin necesidad de que se dicten en el país normas que lo “trasladen”-o transpongan como decimos en el mundo del derecho;- y es mucho más duro y gravoso.

Pero también el Reglamento, además de unificar y modernizar las normativas europeas, y dar a sus titulares un mayor control sobre sus datos personales, reduce la burocracia, proporcionando a las empresas la oportunidad de aprovechar las oportunidades que ofrece un mercado único digital. Y resulta aplicable, aunque el tratamiento de los datos no se haga en la Unión Europea, si las actividades del responsable de los datos sí se desarrollan en la misma, o se refieren a datos personales de residentes en la Unión cuyo tratamiento se relaciona con la oferta de bienes o servicios o el control de su comportamiento en el citado ámbito espacial-.

Europa se rige por la normativa europea, y las empresas ajenas a la Unión también han de regirse por ella cuando sus servicios se ofrezcan en la Unión Europea.

Lógicamente ha de garantizarse el derecho a la privacidad, y es por ello que se precisa que el consentimiento del afectado sea inequívoco, explícito y verificable. Y, es por ello que, también en esta materia, vuelven a ser íntegramente aplicables todos los principios que ya os he comentado alguna vez que han de regir la actuación empresarial según las últimas tendencias -¿recordáis lo dicho en alguna otra ocasión sobre los programas de Compliance o cumplimiento normativo?-, es decir, licitud, lealtad y transparencia, y sus derivados, a saber, integridad y confidencialidad, exactitud, limitación de la finalidad y del tiempo, minimización del número de datos que se solicitan y que han de referirse exclusivamente a los fines para los que se solicitan.

De hecho, resulta esencial, un principio de nombre enteramente rimbombante: el Principio de Responsabilidad Proactiva. La denominación en cuestión –“asustaniñas” donde las haya-, sin embargo hace referencia a algo muy lógico y de fácil comprensión: la vigilancia y supervisión periódica de las medidas que la empresa está adoptando para garantizar la seguridad del acceso a los datos de carácter personal. ¿Para qué? Pues para evitar fisuras, errores, deficiencias en definitiva, que puedan implicar un mal uso o un mal tratamiento de los datos. Para proteger a los afectados pero también para proteger a los usuarios y, en definitiva, a la propia empresa. ¿Cómo? Actuando desde la prevención o proactividad -sin perjuicio de las medidas reactivas en el momento en que se pongan de manifiesto disfunciones no detectadas con anterioridad-: efectuando continuos seguimientos y periódicos controles preventivos de tales medidas de seguridad. Principio, por lo demás, directamente relacionado con el llamado enfoque de riesgo, es decir, la previa determinación de cuáles son los riesgos para los derechos y libertades de los afectados que se derivan de la utilización de sus datos; y es por eso precisamente que han de determinarse límites, fines y tiempo. Y es por eso que, aquellos supuestos en que se detecten graves quiebras de seguridad que puedan afectar a tales derechos y/o libertades o puedan suponer perjuicios económicos o morales para los afectados han de ser obligatoriamente notificados a la Agencia Española de Protección de Datos (AEPD).

Nuevamente nos hallamos ante normas que obligan a las empresas: en este caso a empresas que tratan y manejan datos de carácter personal. Pero ¿qué empresa hoy por hoy no trata en mayor o menor medida datos de esta naturaleza? Ya sea de sus clientes, sus proveedores, sus contactos profesionales o de sus propios trabajadores.

Nuevamente nos hallamos ante normas de hard law cuyo incumplimiento puede suponer gravísimas consecuencias de naturaleza administrativa -vía multas que pueden alcanzar hasta 20 millones de euros o incluso un 4% de los ingresos globales de la organización-. Y cuyo incumplimiento puede suponer la comisión de un delito de descubrimiento y revelación de secretos de los previstos en el artículo 197 y siguientes del Código Penal, y de que, pueda ser también considerada autora del mismo la propia empresa y ser condenada por este motivo -ex artículos 31 bis y 197 quinquies del Código Penal-, a penas incluso de disolución o suspensión por tiempo de hasta cinco años de sus actividades, si no dispone de un programa de cumplimiento normativo -Compliance- adaptado y adecuado a la prevención de tales riesgos. Y todo ello, claro, con independencia del daño que causa tal incumplimiento a la reputación de la empresa o corporación correspondiente.

Ciertamente os puede parecer que, en los últimos años, crecen el número de leyes y normas de todo tipo que debéis cumplir y cuya contravención supone unas consecuencias que pueden acabar, de una u otra forma, con vuestras empresas. Esto en un contexto de crisis económica general y en particular del sector del transporte de viajeros por carretera; en un contexto de una disminución de ingresos en tanto los gastos se mantienen o incluso aumentan. Pero también en un contexto en que, considero, la apuesta ha de ser por la calidad en su más amplio sentido, en empresas modelo de cumplimiento normativo y modelo en la prestación de sus servicios, quizá con un aparente detrimento inicial de ganancias pero con una clara visión de futuro.

Bien sea por un espíritu netamente utilitarista basado en el miedo a las sanciones o a las condenas o por un mucho más constructivo cambio en la idea de empresa, de nada sirve lamerse las heridas ni mirar hacia atrás. La primavera ha venido y nadie sabe cómo ha sido: éstas son las cartas y con éstas hay que jugar.

Espero que solamente necesitemos invocar a Machado y no nos sea aplicable a ninguno Pavese y su vendrá la muerte y tendrá tus ojos. Aunque conociendo el sector miedo me da: las Agencias de Protección de Datos no saben de sutilezas, metáforas o poesía: no se casan con nadie. Y el Derecho Penal tampoco.

#Compliance #Auditoria #LOPD #Ciberseguridad