El pasado 25 de mayo comenzó a aplicarse el Reglamento de Protección de Datos. Prácticamente todos pudimos percibir una avalancha de comunicaciones previas a esa fecha en la que se nos informaba del cambio de la política de protección de datos, la adaptación al RGPD, se nos solicitaba el consentimiento expreso… de las más diversas formas y maneras.
La prensa, blogs, webs jurídicas… han recogido en innumerables artículos comentando cualquier aspecto de nuevo Reglamento y, en algún momento, hemos vivido una infoxicación que, como en todo exceso de información, ha llevado errores en la información. Son muchos los que han visto una oportunidad de negocio con la entrada en aplicación de Reglamento y han aprovechado la situación para transmitir más inseguridad a las empresas con mensajes falsos o exagerados.
Por ello, hoy traemos a esta sección a una abogada experta en Derecho TIC, Ruth Benito Martín, Of Counsel de Elzaburu y Directora del Área de Privacidad y Protección de Datos, con la que vamos a repasar los principales mitos que se han creado alrededor del Reglamento General de Protección de datos.
1er mito: el más repetido pero el más inofensivo: “El RGPD ha entrado en vigor el 25 de mayo de 2018”.
Muchos confunden la entrada en vigor del Reglamento, ¿es el 25 de mayo de 2018 la fecha? “No -responde rotundamente Ruth Benito-. Entró en vigor en mayo de 2016, ahora ha entrado en aplicación comenzando a ser plenamente exigible, pero realmente hemos tenido dos años para ir implementándolo en las organizaciones”.
2º mito: El Delegado de Protección de Datos y sus mitos
La primera de las cuestiones que se ha contado sobre esta figura es que si lo necesitan todas las empresas. Esta afirmación tampoco es cierta, como nos aclara Ruth Benito, “es obligatorio para las AAPP, para empresas cuya actividad principal suponga una observación sistemática y habitual de datos a gran escala (seguros, compañías eléctricas, bancos…) y para empresas cuya actividad principal suponga un tratamiento a gran escala de datos de categorías especiales (salud, creencias religiosas, preferencias sexuales, ideología, etc) o de datos relativos a infracciones o condenas penales (no si son unipersonales, es decir no si se trata de la consulta privada de un solo médico o del despacho de un solo abogado)”.
Otro de los mitos es la exigencia de que el DPD sea un abogado. Otra falsedad que nos remarca nuestra interlocutora, “el Reglamento no exige una titulación concreta, “sólo” exige tener conocimientos en Derecho y práctica en Protección de Datos, pero podrán serlo diferentes perfiles profesionales”.
Y lo mismo sucede con el requisito de que el DPD tenga que estar certificado. “No es obligatorio, es un medio más para demostrar lo anterior, pero no es el único, ni es requerido por el RGPD”, concluye nuestra experta.
3er mito: “Ahora con el Reglamento…
a) … los ciudadanos tendrán el control de sus datos”. “En teoría ya antes lo tenían”, afirma la Of Counsel de Elzaburu. “Es cierto que el RGPD trata de incorporar algún mecanismo más de control por parte de los interesados (derecho a la portabilidad, mayor información que hay que suministrarles, etc.), pero el marco legal anterior siempre contempló al interesado como el titular de los datos, el dueño y quien debía, con carácter general, tener control sobre su información personal”, aclara Benito Martín.
b) … los datos de salud tendrán especial protección”. “Ya la tenían antes -vuelve a insistir Ruth-“, el Reglamento no es una novedad en este aspecto.
c) … los datos biométricos y genéticos son datos de salud y por eso tendrán especial protección”. Otra de las afirmaciones que merecen la aclaración de nuestra experta en protección de datos: “Aunque ahora sí son datos de categoría especial (datos sensibles), no son per se datos de salud. De ello, se puede inferir en algunos casos información sobre la salud de las personas, pero no tiene por qué y pueden ser usados con finalidades que nada tengan que ver con la salud y nada respecto a esta revelen”.
4º mito: Los nuevos derechos que establece el RGPD
Entre estos nuevos derechos que se han incluido en esa infoxicación a la que aludíamos al comienzo de este artículo está el derecho a la información, un derecho que “ya estaba, pero ahora se amplían los aspectos del tratamiento sobre los que hay que informar”, vuelve a puntualizar Ruth Benito. Lo mismo ocurre con el derecho al olvido. que “no es ni más ni menos que el derecho de supresión aplicado a los buscadores de internet” y con el derecho a oponerse a decisiones individuales automatizas que “no es tan novedoso, ya que lo teníamos en nuestro ordenamiento jurídico con el art. 13 de la LOPD – derecho a impugnar decisiones automatizadas-“, concluye Ruth.
Los dos derechos que sí son totalmente nuevos, nos puntualiza nuestra experta, “son el derecho de portabilidad de los datos y el derecho a la limitación del tratamiento”.
5º mito: El rey de los mitos: Ahora todas las empresas van a necesitar el consentimiento para tratar datos personales.
“El consentimiento es simplemente una de las 6 bases legales que habilitan el tratamiento de datos y no prevalece respecto a los 5 restantes. Es más, en muchos casos lo conveniente es tratar el consentimiento como residual y sólo acudir a él si no queda más remedio, por ejemplo, en la inmensa mayoría de tratamientos de los empleados (que estarán basados en la relación contractual y no en el consentimiento, ya que, entre otras cosas, éste puede entenderse que no se ha otorgado libremente y por tanto no sería válido), o para clientes y proveedores (donde aplicará en la mayoría de los casos las bases legales de la relación contractual o del interés legítimo, antes que el consentimiento)”, nos explica Ruth Benito.
Este último mito ha provocado que muchas organizaciones hayan solicitado más consentimientos de los realmente necesarios y esto se ha convertido en una trampa para ellas ya que, como señalada acertadamente la abogada, “ahora quedan sujetos a la sola voluntad de sus clientes y demás personas a quienes les hayan pedido dicho consentimiento cuando realmente no hacía falta”.
Por último, concluimos con una nota de humor: “Se nos decía que con la aplicación del RGPD íbamos a notar que ya no recibiríamos tanto spam y que las casillas ya no vendrían pre-marcadas, pero realmente con la llegada del RGPD lo que tuvimos todo fue una locura de “spam para poder seguir recibiendo spam” y una avalancha de nuevas políticas de privacidad que lo que ha conseguido es precisamente el efecto contrario: que no nos leyéramos ninguna”, nos comenta con una sonrisa irónica Ruth Benito.
FUENTE: legaltoday.com