Francisco Ramón González-Calero Manzanares
El Reglamento General de Protección de Datos se encuentra actualmente en fase de traducción a los diferentes idiomas oficiales de los Estados miembros de la Unión Europea y será aprobado definitivamente entre marzo y abril, por lo que su publicación en el Diario Oficial de la Unión Europea se prevé para el mes de junio de este año, su entrada en vigor se producirá 20 días después de la publicación y su aplicación se producirá justo dos años después de esta segunda fecha, en torno a julio de 2018.
Con este escenario temporal parece que hay tiempo para adaptarse a la nueva normativa aunque como se verá a lo largo de la presente exposición, el cambio operado es tal, que más vale ir teniendo presente estas medidas para intentar no llegar en tiempo de descuento a julio de 2018.
El Grupo de Trabajo del Art 29 ha publicado recientemente un “Statement on the 2016 action plan for the implementation of the General Data Protection Regulation (GDPR)”, pero eso no significa que ahora esté empezando a prepararse, sino que lo viene haciendo desde hace tiempo junto con las autoridades nacionales de control. Por poner algunos ejemplos, cabrían destacar del Grupo de Trabajo del Art 29 “Statement on the role of a risk-based approach in data protection legal frameworks” y “Opinion 03/2014 on Personal Data Breach Notification”, de la Agencia Española de Protección de Datos la “Guía para una Evaluación de Impacto en la Protección de Datos Personales (EIPD)” y “Conducting privacy impact assessments code of practice” de la autoridad de control del Reino Unido denominada Information Commissioner´s Office.
No obstante aunque esta labor continúe a lo largo de estos dos años, es previsible que durante algún tiempo se abra un periodo de inseguridad jurídica, ya que hay aspectos que pueden ser previstos a priori, como por ejemplo la necesidad de un Dictamen del Grupo de Trabajo del Art 29 acerca de cuándo debe entenderse que existe un riesgo alto en el tratamiento o qué debe entenderse por tratamientos masivos de datos, pero en otros supuestos, las dudas y diferentes interpretaciones surgirán con la aplicación práctica del RGPD o porque las que eran previsibles no han sido resueltas aún. Por último hay una serie de actos de desarrollo del RGPD delegados a los Estados miembros (como la elección del mecanismo de certificación, la rebaja de la edad para prestar el consentimiento a los menores de los 16 a los 13 años, la imposición de sanciones a las AAPP o las listas de tratamientos sometidos y excluidos de una Evaluación de Impacto en Protección de Datos), a la Comisión Europea y al Consejo Europeo de Protección de Datos (sustituirá al Grupo de Trabajo del Art 29) siendo deseable que se produjeran en el periodo de carencia de entrada en aplicación del RGPD para evitar en la medida de posible la inseguridad jurídica.
Al margen de estos actos delegados que necesitan desarrollo y sin ánimo de ser exhaustivos, planteamos algunos retos e interrogantes que se pueden dar en la aplicación práctica del RGPD:
Grado de intensidad en la aplicación del RGPD
La combinación del principio de privacidad por diseño (privacy by design) que obliga a implantar en la organización una verdadera cultura de respeto a la privacidad en la que se actúe con proactividad durante todo el ciclo de vida del dato, es decir desde antes de su obtención hasta su total destrucción, con el principio de enfoque basado en el riesgo que, por ejemplo, ha de ser tenido en cuenta a la hora de optar por unas u otras medidas de seguridad y el principio de accountability que obliga no sólo a cumplir con el RGPD sino también a justificar su cumplimiento, nos llevan a un escenario en el que es preciso tomar decisiones transcendentales, tales como ¿qué medidas de seguridad debo implantar?, ¿cómo integro la privacidad en la cultura de mi organización y cómo lo demuestro?, ¿por qué no me someto a una evaluación de impacto en protección de datos?, ¿cuáles son los riesgos para la privacidad en los tratamientos que llevo a cabo?, etc. A la hora de responder a estas y otras preguntas, deben tenerse en cuenta, entre otras, las siguientes variables:
- De nada me sirve actuar igual que otras organizaciones puesto que la aplicación conjunta de estos tres principios impide la creación de estándares que sin más se implanten, sino que obligan a actuar conforme a tu organización interna, modelo de negocio y situación concreta. Esto, por poner un ejemplo, quiere decir que aplicar el mismo modelo de una organización muy similar en cuanto a la tipología de datos tratados, el modo y tipo de tratamiento y el volumen de datos tratados puede no ser completamente correcto y adecuado, puesto que pueden concurrir otras variables que pueden elevar o disminuir el riesgo, como pueden ser la formación del personal, la antigüedad del hardware y software y la existencia o no de actualización y soporte.
- No implantar las medidas apropiadas nos ponen en riesgo de sanción y daño reputacional de cara a terceros y tomar medidas demasiado exigentes en relación con el riesgo, la tipología de datos, el modo y tipo de tratamiento y el volumen de datos tratados nos pueden ocasionar pérdida de competitividad con respecto a la competencia.
El papel de la LOPD y el RD 1720/2007
Si bien es cierto que la existencia en paralelo de una propuesta de Directiva sobre protección de datos en asuntos policiales y penales requerirá, o al menos eso sería lo deseable, la modificación o supresión de la LOPD para adaptar la legislación española al contenido de la Directiva y de paso adaptar y suprimir todo aquello que colisione con el RGPD, de no coincidir temporalmente con la entrada en aplicación del RGPD puede ocasionar inseguridad jurídica a la hora de determinar qué disposiciones de la LOPD continúan vigentes al no contradecirse con el RGPD y cuales no se aplican al colisionar con el RGPD. Por poner un ejemplo, en el VIII Foro de la Privacidad del ISMS Forum preguntaba Flora Egea, DPO de IBM que pasaría con las medidas de seguridad del Título VIII del RD 1720/2007 y si continuarían vigentes o no. Desde luego que no le falta razón puesto que podemos preguntarnos: ¿seguirán aplicando?, ¿su no adopción se puede considerar un incumplimiento del deber de implantar medidas de seguridad?, ¿cómo justifico que no adopto una medida que anteriormente era considerada como adecuada para proteger los datos?. Lo que queda claro es que a tenor del RGPD las medidas de seguridad técnicas y organizativas para asegurar un nivel de seguridad apropiado al riesgo que se deben adoptar lo serán atendiendo al estado del arte y los costes de implementación, a la naturaleza, finalidades, ámbito y contexto del tratamiento, además de la gravedad para los derechos y libertades de los individuos y los riesgos, por lo que la implementación de todo el Título VIII del RD 1720/2007 para determinados tipos de tratamiento, por si sólo podría no ser suficiente para cumplir con lo estipulado por el RGPD y la adopción parcial de las medidas recogidas en el mismo tampoco podría ser considerado como un incumplimiento del RGPD. Y digo parcial y no total puesto que algunas de las medidas como la identificación individual de cada usuario (mediante contraseña u otros mecanismos) y la copia de seguridad son irrenunciables
En definitiva de nada servirá implantar medidas y procedimientos si estos no son adecuados para lograr la finalidad que persiguen o se quedan en papel mojado. Aunque tengamos que tener presente a la privacidad en la gestión diaria de los datos personales, el mayor o menor grado de intensidad dependerá del riesgo, la tipología, el modo y tipo de tratamiento y el volumen de datos tratados, lo que en la práctica debería llevar a grados y tipologías de cumplimiento con matices y diferencias entre organizaciones similares, no siendo deseable que se implanten las medidas organizativas y técnicas de una organización tal cual en otra organización puesto que se eliminaría esa labor de análisis, reflexión, maduración, implantación y revisión en base a los principios de accountability, privacidad por diseño y enfoque basado en el riesgo.