La protección de los datos de las personas físicas es un derecho fundamental, reconocido como tal tanto en la Carta de Derechos Fundamentales de la Unión Europea como en el Tratado de Funcionamiento de la Unión Europea. Por eso, y a pesar de que a la normativa española ya teníamos una Ley Orgánica y un Reglamento de Protección de Datos, la Comunidad Europea ha legislado sobre el tema para garantizar que todos los Estados Miembros de la Unión aseguran el tratamiento correcto de los datos de las personas.
El Reglamento Europeo de Protección de Datos (RGPD o GDPR, por sus siglas en Anglès) fue aprobado en 2016, pero su entrada en vigor se retrasó hasta el año 2018, con objeto de garantizar que las empresas disponían de un tiempo de adaptación suficiente.
Porque el cambio que implica el RGPD es sustancial: se pasa de una regulación más formalista, propia de nuestra cultura legislativa, a una normativa más conceptual: el RGPD no se puede reconducir al cumplimiento de unas obligaciones formales o a la firma de unos formularios, sino que parte de tres conceptos bastante innovadores.
El principal concepto es el establecimiento de una responsabilidad proactiva del titular de los datos ("accountability"), puesto que la protección de los datos tiene que formar parte de la planificación de la actividad de la organización. El titular de los datos tiene que tener una actitud consciente, diligente y proactiva respecto de los tratamientos de los datos que efectúa y tiene que elegir las medidas adecuadas para demostrar que los tratamientos son conformes a los requerimientos del RGPD.
Esta responsabilidad proactiva se basa en dos elementos clave. En primer lugar, en la protección de datos desde el diseño ("Privacy by design"), puesto que las entidades tienen que adoptar las medidas técnicas y organizativas adecuadas, tanto en el momento de determinar los medios de tratamiento como durante el tratamiento, para cumplir con el RGPD y proteger los derechos de los interesados. Por otra parte, en la protección de datos por defecto ("Privacy by default"), que sirve para garantizar que, por defecto, sólo se tratarán los datos personales necesarios para cada finalidad específica del tratamiento.
La nueva regulación presenta numerosas diferencias respecto de la actualmente vigente. Por ejemplo, de ahora en adelante se suprime la obligación de inscribir los ficheros en el Registro de la Agencia de Protección de Datos. Sin embargo, ambas normativas también presenta puntos de coincidencia. Sirva como ejemplo la ratificacióin del criterio de que no es necesario disponer del consentimiento del titular de los datos, cuando es este mismo titular quién ha facilitado sus datos, y su tratamiento es necesario para la ejecución de un contrato en el cual el interesado es parte o destinatario de los servicios.
Respecto del consentimiento, debe destacarse que el denominado consentimiento tácito es difícilmente compatible con la nueva normativa. Hasta ahora, se admitía el consentimiento tácito como mecanismo válido para legitimar el tratamiento. Con el nuevo modelo, cuando el tratamiento se base en el consentimiento del interesado, el responsable tendrá que ser capaz de demostrar este consentimiento. ¿Qué quiere decir esto? Que el consentimiento tiene que ser prestado mediante una clara acción afirmativa de aceptación de un tratamiento concreto. Es necesario, por lo tanto, una declaración que no podrá ser verbal, puesto que será necesario que conste en cualquier soporte que nos permita acreditarlo.
Hay otras novedades, como la obligación de designar un delegado de protección de datos en algunos casos, o la obligación de comunicar la violación de la seguridad de los datos, o la obligación de realizar una evaluación de impacto relativa a la protección de datos en caso de que haya un tratamiento que implique riesgo en la seguridad de los datos. Todas ellas van orientadas a que las entidades y empresas tengan las medidas necesarias para garantizar la seguridad de los datos.
Nosotros entendemos la protección de los datos como una forma más de respecto a los clientes. Si el principal activo de la empresa son sus clientes, no hay ninguna duda que sus datos también son un activo y un elemento a proteger.
Si la empresa tiene una orientación a cliente, seguramente ya proveerá a los clientes de una atención adecuada, probablemente dispondrá de un entorno en que los clientes se encuentren cómodos y, en definitiva, optimizará la atención al cliente en todos los aspectos. Pues el hecho de facilitar un tratamiento adecuado de sus datos personales es una forma más de atender adecuadamente al cliente. Porque los datos personales de los clientes forman parte de su espera patrimonial y, por lo tanto, gestionar adecuadamente sus datos es una forma más de velar por sus intereses y de actuar con orientación a cliente.
Es desde esta perspectiva que la responsabilidad proactiva o accountability adquiere todo su sentido. Porque gestionar adecuadamente los datos de nuestros clientes es una forma más de protegerlos.
Área Cliente
VOLVER AL LISTADO
