Sesión impartida en la Facultad de Derecho de la UDC
Las novedades del Reglamento Europeo de Protección de Datos Personales, a estudio en Diálogos 2020
Las nuevas obligaciones de los empresarios según el Reglamento Europeo de Protección de Datos Personales centraron una sesión de los Diálogos 2020 celebrada este lunes en la Facultad de Derecho de la Universidad de A Coruña.
La sesión fue impartida por Marcos López, profesor del Área de Derecho Civil de la Universidad de A Coruña. El profesor analizó uno por uno los principios aplicables al tratamiento de datos: de calidad; de consentimiento (antes denominado de licitud); de lealtad; de información (antes, de transparencia); de responsabilidad proactiva (antes, de seguridad); y de secreto.
Con respecto al principio de calidad, López recordó que “los datos sólo pueden ser objeto de tratamiento para aquella finalidad para la que han sido recabados; deben recabarse los datos que sean estrictamente necesarios; y éstos deben ser veraces y correctos”. A propósito de este principio, el profesor puso de relieve lo que considera que es una de las características del Reglamento: su inconcreción, afirmando que éste “se halla plagado de conceptos jurídicos indeterminados, así como de remisiones a las futuras legislaciones de los Estados miembros”.
En cuanto al principio de transparencia, obliga al responsable del tratamiento a informar de dónde ha obtenido dichos datos. En cuanto a la forma en que debe practicarse dicha información, hay un contenido mínimo común, con independencia del origen de los datos. Como consecuencia, la información a suministrar puede ser excesiva, por lo que se ha establecido un mecanismo de información por capas, pudiéndose encontrar un modelo en la web de la Agencia Española de Protección de Datos.
A continuación abordó la explicación relativa al principio de seguridad, del que aclaró que “es una manifestación concreta del principio de responsabilidad proactiva”. En este aspecto, el ponente puso de relieve las diferencias entre el régimen de la Ley Orgánica de Protección de Datos (LOPD) y el del Reglamento General de Protección de Datos (RGPD). “El sistema ha cambiado, de manera que es el responsable del tratamiento quien debe analizar los riesgos, dependiendo de la naturaleza de los datos, para así decidir qué medidas deben implementarse”, especificó. Ello se debe a que en el RGPD no existe un elenco tasado de medidas, sino que la lista es de carácter meramente orientativo.
Cambio de paradigma en el sistema de protección de datos
El último de los principios analizado fue el relativo a la responsabilidad proactiva, que supone un cambio de paradigma en el sistema de protección de datos. Ello se debe, como apuntó el profesor, a que “se pasa de un procedimiento de protección ex ante a otro que se va a producir ex post”. Será la autoridad de control la que, ante denuncia o investigación de oficio, entrará a valorar si se cumplen las medidas necesarias en materia de protección de datos. Así, será el responsable del tratamiento quien decida la aplicación de unas u otras dependiendo de los riesgos asumidos. No obstante, a efectos probatorios, el responsable del tratamiento tiene la posibilidad de acreditar el cumplimiento de los requisitos mediante la adhesión a los códigos de conducta o a través de mecanismos de certificación, a los que sólo se pueden acoger los organismos del sector privado.
Así, el RGPD recoge una serie de medidas que deben ser aplicadas por los responsables del tratamiento de los datos. La primera es una evaluación de riesgos, ya que de esta evaluación se derivan las medidas que se van a aplicar; la segunda es el registro de las actividades del tratamiento, un libro diario donde se recogen los aspectos básicos del tratamiento (debe tenerse en cuenta que con carácter general las empresas de menos de 250 trabajadores están exentas de esta medida). La tercera es la protección desde el diseño y por defecto. Ello quiere decir que, ya desde el principio, se deben adoptar las medidas necesarias para actuar conforme al Reglamento. A continuación, se encuentran las medidas de seguridad. En sexto lugar, las comunicaciones de los fallos de seguridad y, en séptimo y último lugar, la figura del delegado de protección de datos.
En el turno de debate, el ponente señaló a “la evaluación de riesgos, sin duda alguna” como la medida más importante para dar cumplimiento a la legislación sobre protección de datos.
A esta sesión de Diálogos 2020 asistieron representantes de instituciones públicas como la Xunta, la Autoridad Portuaria de A Coruña o la UDC, profesionales de la abogacía como Armenteros Abogados y Lustrum Abogados, representantes de empresas como Gadisa, Vegalsa, Apecco, Construcciones Ramírez, Grupo Puentes, Grupo Losán, Inveravante, inversiones Frieira y Terravanza.