La aprobación del Reglamento pondrá de relieve la madurez de este régimen jurídico cuya existencia ya todos los empresarios conocemos. Coincidirá, más o menos, con la finalización (el día 24 de octubre de 2007) del plazo de doce años para adecuarse a ella que la LOPD otorgaba a las entidades que sólo tuviesen ficheros y tratamiento no automatizados (por ejemplo, en papel) con anterioridad a su entrada en vigor.
Será el pistoletazo de salida para que las entidades que aún no se hayan ajustado a sus requerimientos lo hagan. Y es que se trata de una tarea difícil –por qué no decirlo- si no se cuenta con el asesoramiento adecuado. Desde el año 1992 –cuando se aprobó la LORTAD- han pasado quince años y me atrevo a decir que aún pasarán otros cinco –por lo menos- hasta que veamos a todas las organizaciones cumplir sus obligaciones en esta materia. En el caso de la Administración será básica la creación de las agencias autonómicas. Y en el caso de las entidades privadas, su concienciación real.
No basta moverse porque su incumplimiento sea sancionable sino por responsabilidad, por convicción de que los derechos al control de los datos (habeas data), a la no recepción de comunicaciones comerciales no deseadas, a la intimidad personal y familiar y al honor –especialmente estos dos últimos-, se merecen dicho respeto y protección. O, como ya denuncié en un artículo anterior, ¿acaso no es socialmente responsable preocuparse de estos menesteres? ¿O es que la responsabilidad social corporativa no es más que marketing y comunicación y el cumplimiento de las exigencias legales no es vendible en el mercado?
La realidad es que los empresarios se mueven por la existencia de sanciones. No por proteger los referidos derechos. Ni tan siquiera por aprovechar las numerosas ventajas que de su cumplimiento se derivan para la organización, que son muchas. Lean el reportaje publicado en las páginas 60 a 62 del número de julio esta misma revista. Ahora vamos a estudiar dichas novedades:
Cinco novedades
Principio de seguridad
En el ámbito de la seguridad, existen varias novedades. Todas ellas –salvo la primera- son relativas al cambio del nivel de seguridad aplicable a los ficheros o tratamientos. A saber:
– Se detallan las medidas de seguridad aplicables a los ficheros y tratamientos no automatizados, que en el Reglamento de Medidas de Seguridad (RMS) no venían recogidas por ser el reglamento que desarrolló la derogada LORTAD que trataba, exclusivamente, ficheros y tratamientos automatizados.
– Se redefinen las medidas de seguridad aplicables a los ficheros y tratamiento de datos de los que se puede obtener un perfil de personalidad. Con el nuevo reglamento se aplicará el nivel de seguridad medio completo y no el nivel básico más las cuatro medidas del nivel medio que establecía el RMS.
– Además, se amplía la aplicación de esta medida a los ficheros o tratamientos de datos que permitan obtener una definición de las características de su titular o que permitan evaluar su comportamiento. Medida acertada cuyo alcance –sin embargo- habrá que delimitar.
– A los ficheros y tratamientos de datos especialmente protegidos (a los que siempre había que aplicar un nivel de seguridad alto) se les podrá aplicar un nivel básico cuando la finalidad sea la realización de una transferencia dineraria a las entidades de las que los afectados sean miembros.
– Esta rebaja de seguridad también se aplicará cuando los datos especialmente protegidos se almacenen o traten de forma no automatizada de forma incidental o accesoria y sin relación con la finalidad del fichero o tratamiento concreto de que se trate.
– Por último, se permitirá la adopción de un nivel de seguridad bajo a los ficheros y tratamientos de datos de salud referentes a la condición de discapacidad o invalidez o al grado de dichas discapacidad o invalidez motivados por el cumplimiento de deberes públicos (v.gr.: gestión de nóminas).
Acceso a datos por el encargado de tratarlos por cuenta del responsable
En esta materia, el Reglamento eleva al rango de norma legal la postura que veníamos manteniendo tanto las agencias como los consultores. La “novedad” reside en los requisitos que el encargado del tratamiento debe cumplir para poder subcontratar los servicios encargados por el responsable o cualesquiera otros servicios que impliquen el acceso por parte del subcontratista a los datos de carácter personal (ya ficheros ya tratamientos) de los que responda (valga la redundancia) el responsable.
Para poder subcontratar, o bien la subcontratación se hace en nombre y por cuenta del responsable -para lo que debe dar su previa autorización- o bien se especifican en el contrato de encargo los servicios que se pueden subcontratar y las empresas con las que hacerlo ajustándose el tratamiento de datos por el subcontratista a las instrucciones del responsable. Evidentemente, será necesario firmar un segundo contrato de acceso entre el subcontratista y el encargado principal.
Es importante reseñar que si el acceso tiene por objeto el nacimiento de un nuevo vínculo entre el encargado y el afectado la relación pierde su condición de acceso a datos por cuenta del responsable para considerarse una cesión de datos de un responsable a otro con las implicaciones que ello tiene en la información y solicitud de consentimiento al afectado.
Tratamiento de datos con fines de prospección comercial
Siendo la actividad de envío masivo de comunicaciones comerciales no solicitadas la cuarta más sancionada (por importe) en el ejercicio 2006, he considerado preciso incluir entre las más importantes las novedades en materia de prospección comercial y no otras.
El reglamento impondrá a las entidades que subcontraten la realización de campañas de prospección comercial la obligación de asegurarse de forma diligente (ahí queda eso) de que el encargado de realizar la campaña haya recabado los datos cumpliendo las exigencias establecidas en la LOPD.
Al igual que en el caso anterior, esta “novedad” no es tal. Sí lo es en el cuerpo normativo del ordenamiento español, pero los consultores también veníamos recomendando a nuestros clientes que obligasen a sus proveedores de servicios de marketing directo a firmar en el contrato de prestación de servicios que los datos contenidos en las bases de datos a utilizar para la realización de las campañas se habían obtenido con el consentimiento para tal fin de los afectados con el fin de limitar su responsabilidad.
Un beneficio directo de esta norma será la tendencia de los piratas de datos bien a profesionalizarse y ejercer su actividad de forma legal, diligente y leal bien a desaparecer, lo que redundará positivamente en el resultado de las campañas.
Por otra parte, el nuevo reglamento impondrá a las entidades que realicen cualquier tratamiento de datos con fines publicitarios o de prospección comercial consultar listas de exclusión (o Robinson) para evitar que aquellas personas que no desean recibir comunicaciones comerciales las reciban.
Esta obligación se completa con la autorización a todas las entidades a crear sus propias listas de exclusión y a crear listas comunes generales o sectoriales. Y a mantener los datos de los afectados estrictamente necesarios para ello.
Su consulta (además de obligatoria) evitará denuncias por el envío de comunicaciones comerciales masivas y supondrá el ahorro de costes (económicos y temporales) en acciones comerciales que es seguro que no darán ningún fruto (por estar dirigidas a personas no interesadas) y que, todo lo más, mancharán el buen nombre de la compañía anunciante.
Por último, cuando un afectado ejerza su derecho de exclusión oponiéndose a que sus datos se traten con fines de prospección comercial, el responsable estará obligado a informarle de la existencia de los ficheros comunes generales y sectoriales y de quiénes son sus responsables, lo que obligará a las empresas a estar pendientes de la creación de los mismos.
Códigos tipo
En relación con los códigos tipo, la principal novedad es una apuesta por la excelencia y reside en la necesidad de que aporten algo a las normas legales. En la actualidad, el RGPD está lleno de códigos tipo que se limitan a decir lo mismo que la normativa pero con otras palabras y en otro orden. En mi opinión, estos códigos sólo generan confusión. En el futuro, los códigos tipo deberán ir más allá e incluir –por ejemplo- modelos para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
Derechos de acceso, rectificación, cancelación y oposición
La preocupación del legislador por facilitar a los afectados el ejercicio de sus derechos de acceso, rectificación, cancelación y oposición (ARCO) es la que marcado las novedades del reglamento en este ámbito.
Así, por ejemplo, establece que el responsable deberá facilitar a los afectados un medio sencillo y gratuito (medio prefranqueado, llamada gratuita, envío de correo electrónico) para negar su consentimiento en el proceso de recogida.
Igualmente, el legislador impondrá a los responsables la obligación de establecer un medio que no les reporte ningún ingreso para que los afectados puedan revocar su consentimiento. En esta línea, prohibirá expresamente que el responsable exija el envío de cartas certificadas o servicios de telecomunicaciones de rarificación adicional.
Una recomendación
En fin, una vez más, no puedo dejar de recordar al lector la máxima de que “en el derecho, el tiempo se venga de las cosas que se hacen sin su colaboración”. Corolario (porque no precisa demostración) que me lleva a recomendar a los empresarios que planifiquen de la mano de la Ley -de los abogados- y que se ajusten al régimen jurídico de protección de datos no por evitar las sanciones (que también) sino por proteger la intimidad, el honor y los demás derechos de sus trabajadores, socios, clientes, colaboradores y demás afectados. Y porque ello les reportará abundantes beneficios.
Una crítica
Por otra parte, a pesar de que buena parte del contenido de este reglamento era necesaria, he de hacer una crítica al legislador. El reglamento es muy reiterativo. Generará, sin lugar a dudas, confusión. A pesar de que su exposición de motivos reza “ha de destacarse que esta norma reglamentaria nace con la vocación de no reiterar los contenidos de la norma superior…”, el reglamento –en muchos extremos- dice lo mismo que la propia norma que desarrolla (la LOPD) con distintas palabras. La buena noticia es que a los abogados nos permitirá ejercer uno de nuestros pasatiempos favoritos: interpretar y buscarle tres pies al gato.
Conclusión
Resulta de todo modo imposible resumir en cuatro páginas todas las obligaciones que el Reglamento de desarrollo de la LOPD impondrá a los responsables. Por ello, voy a concluir diciendo que era necesario matizar y clarificar muchos aspectos del régimen jurídico de protección de datos y -a pesar de mi crítica; de que todo es mejorable- considero que el objetivo se ha alcanzado satisfactoriamente. En todo caso, el tiempo nos lo dirá.