O pasado 25 de maio de 2018 entrou en vigor o novo Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello do 27 de abril de 2016, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos (en diante, RGPD), que se aplica directamente en todos os Estados membros da Unión Europea.
A Unión Europea elixiu a aplicación directa da norma para garantir a unificación da protección dos datos persoais en todo o seu territorio, apostando por unha regulación con vocación de permanencia que se vaia adaptando progresivamente á rápida evolución tecnolóxica e á globalización.
A partir do regulado polo RGPD, as lexislacións nacionais poden seguir vixentes en todo o que non contradigan a devandita normativa. Non obstante, a norma europea anima aos Estados a adaptar o seu articulado ás súas propias realidades en determinadas materias. Con este panorama, en aras á seguridade xurídica o máis conveniente sería aprobar unha lexislación nacional onde se introducisen as modificacións contidas na norma europea e as matizacións posibles.
En calquera caso, este novo acerbo lexislativo se impón a unha sociedade na cal a cidadanía expón con facilidade os seus datos persoais nas redes sociais de forma voluntaria. O Cal formula o seguinte interrogante: ¿que implicacións vai ter esta nova regulación que trata de garantir a privacidade na era dixital? Dito noutros termos, ¿non resulta un pouco sorprendente esta dicotomía na que a privacidade e a publicidade se mesturan?
Cambios na concesión do consentimento
A primeira advertencia que hai que facer é que o RGPD non rompe con todo o desenvolvemento anterior da protección europea dos datos persoais. Arrástranse moitos elementos e principios que xa estaban a aplicarse. De forma sumaria, as grandes modificacións incluídas son a forma de concesión do consentimento do tratamento dos datos persoais, que pasa a ser expreso en todas as circunstancias; a inclusión do principio de proactividade nas políticas de protección de datos e a creación dunha nova figura como é o Delegado de Protección de Datos.
Así, o concepto de dato persoal protexible mantense. Enténdese como “toda información sobre unha persoa física identificada ou identificable”. Non obstante, o RGPD inicia xa a actualización desta noción, incluíndo expresamente novas formas de identificación, tales como a fisiolóxica e xenética, indo máis alá dos modelos máis clásicos.
Dende a análise dos grandes principios aplicables, pódese obter unha visión panorámica das novidades do RGPD. En primeiro lugar, atópase o principio de licitude do tratamento. Todo tratamento ten que ter unha base lícita para desenvolverse que, en principio, é o consentimento do interesado, pero que tamén, entre outros, pode ser a lei (por exemplo, o tratamento dos datos persoais pola Axencia Tributaria para o cobramento dos tributos) ou o contrato entre as partes (por exemplo, o tratamento dos datos persoais dos traballadores polo empresario no desenvolvemento das relacións laborais).
Por outra parte, conforme ao xa manifestado anteriormente, tampouco é preciso o consentimento no suposto que os datos persoais que o propio interesado fixese públicos, por exemplo, nas redes sociais. Pero, cando o fundamento da licitude sexa o consentimento, este debe ser expreso, claro e libre. Polo tanto, xa non son válidos os consentimentos tácitos. Ademais, debe ser tan doado dalo como cancelalo. Un elemento que complementa á licitude é que o tratamento sempre ten que realizarse para unha finalidade/s concreta/s. Desta forma cando se consente, debe ser sempre cunha finalidade limitada e non de forma xeral.
Con independencia de que sexa preciso ou non o consentimento, ou a súa licitude veña apoiada noutro elemento, de acordo co principio de transparencia, será preciso sempre informar sobre o tratamento dos devanditos datos aos interesados. A devandita información terá que ser concisa, accesible e entendible, polo que haberá que empregar unha linguaxe clara e sinxela, o que debe valorarse especialmente en situacións de complexidade tecnolóxica. Esta información facilita a posta en marcha doutro principio, como é o da exactitude dos datos, vinculado ao dereito de rectificación, que é máis doada de garantir cunha correcta información.
Outros principios aplicables son o da minimización do dato e a limitación da conservación dos datos recollidos. Así, só se tratarán os datos necesarios, e unha vez perdida a finalidade para a que se realizou o tratamento, en principio, cancelaranse. Búscase limitar, na maior medida posible, a manipulación de datos persoais, evitando posibles brechas de seguridade. Así mesmo, mantense o principio da integridade e confidencialidade dos responsables e encargados do tratamento.
Non obstante, a gran novidade é o principio da responsabilidade proactiva. Agora é preciso que os responsables do tratamento prevexan as súas accións a través do deseño de políticas onde deben establecer como van manexar os datos persoais tratados dende a análise do risco. Terán que avaliar os riscos do tratamento, e establecer medidas de seguridade que eviten posibles brechas. Ademais, as accións determinadas non serán estáticas, senón que se irán modificando continuamente de acordo coa propia evolución dos tratamentos dos datos, que estará moi vinculada á transformación tecnolóxica. En todo caso, é importante ter en conta que a posta en marcha de boas políticas activas poden ser un bo elemento para fidelizar clientes. De feito, o propio RGPD aposta pola creación de selos de calidade nesta materia.
Para finalizar hai que facer unha breve referencia á nova figura do Delegado de Protección de Datos. Trátase dun experto na materia dende dous puntos de vista: o legal e o tecnolóxico. Sempre será un axente independente da organización que o contrate e actuará como enlace coa Axencia de Protección de Datos. En todo caso, non é obrigatorio o seu nomeamento, senón só para aquelas entidades que tratan datos de categorías especiais ou/e un número inxente de datos persoais, dado que precisarán dun especial asesoramento neste contexto aos efectos de cumprir axeitadamente a normativa aplicable. Así, en xeral, a súa contratación será precisa unicamente nas empresas grandes ou naquelas que pola súa actividade afecten a datos de categorías especiais.
En definitiva, aquelas organizacións que xa tiñan posta en marcha políticas de protección de datos persoais de acordo con Lei orgánica 15/1999, do 13 de decembro, de protección de patos de carácter persoal, só terán que adaptarse ás novas consignas do RGPD, e non tanto modificar todo o feito ata agora. Así, terán que continuar coas súas accións na materia, pero esta vez dende un posto de vista activo e dende a análise do risco, solicitando o consentimento dos interesados de forma expresa, dando un correcto contido ao dereito de información e, no seu caso, contratando un Delegado de Protección de Datos, cando a súa actividade o requira. Todo isto mentres espera a que se regule unha nova lexislación nacional na materia que aclare a posta en marcha da regulación europea.
(Fonte: Eva María Blázquez. Profesora Titular de Dereito do Traballo e da Seguridade Social. Universidade Carlos III de Madrid)