Dos años no es un horizonte cercano pero tampoco es un plazo demasiado extenso si lo circunscribimos al término que nos da el Reglamento de la UE 2016/279 para adaptarnos. Más si sus primeras letras establecen que “La protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental”, y, un poco más adelante, “El tratamiento de datos personales debe estar concebido para servir a la humanidad”.
Uno puede ser alarmista al interiorizar el mensaje o considerar que se ha sacado de contexto y ser conservador a la vista de la fecha de entrada en vigor del 25 de mayo de 2018. A mí, permítanme ser pragmático.
En España sabemos mucho de la regulación de los datos personales. Ha habido una gran labor ejemplificadora y, posiblemente, estemos en mejor situación de partida que cualquiera del resto de Estados miembros de la UE, donde este texto legal va a tener un efecto directo –es decir no necesita la aprobación de norma nacional alguna para que se desplieguen sus efectos-, pero aun así, no estamos preparados para el cambio de paradigma que ha empezado a rodar tras 21 años de la directiva europea anterior.
Nuestra querida y conocida LOPD – es ya un acrónimo que forma parte de la vida de cualquier responsable legal, de sistemas o de “compliance” pero también de nuestros departamentos de ventas, marketing, desarrollo de negocio, etc.- compartía con la antigua directiva europea cierto enfoque formal respecto como construir cierto grado de cumplimiento con la misma. Así, hablábamos de declaración de ficheros conceptuales ante nuestra AEPD, de consentimientos tácitos, de medidas de seguridad en función de categorías de datos, etc.
Sin embargo, todo lo anterior va a desaparecer y el nuevo binomio, va a ser, por un lado, los tratamientos de datos –categoría mucho más estrecha y por tanto mucho más sujeta a una gran casuística-, y por otro, la de los riesgos que los mismos suponen para los derechos y libertades de las personas físicas. Más concretamente, vamos a tener que centrarnos en cómo identificarlos, cómo determinar su probabilidad y su gravedad y cómo adoptar medidas legales, organizativas y técnicas que limiten y mitiguen dichos riesgos contra los derechos y libertades de las personas.
Además en función del tipo de riesgo –especialmente si es alto- vamos a tener que pedir autorización previa a nuestras autoridades para realizar determinados tratamientos, podemos estar obligados a la notificación a dichas autoridades, en un plazo máximo de 72 horas, de las violaciones de la seguridad de los datos o, incluso, podemos tener que hasta llegar a advertir al propio afectado y recomendarle que hacer. Y ahora únanse a cierta perplejidad mía, y de instancias mucho más autorizadas, cuando descubran que la categoría de riesgo alto no queda realmente definida o acotada.
Cuando nos damos cuenta que para saber si hay riesgo o no, o si éste es alto será necesario realizar una auto evaluación objetiva del mismo –y en algunos casos una evaluación de impacto más reglada- y que las misma(s) formarán parte de la prueba de nuestra diligencia u obligación de demostrar cumplimiento, ya que como describe mejor el Reglamento “El responsable debe estar obligado a aplicar medidas oportunas y eficaces y ha de poder demostrar la conformidad de las actividades de tratamiento con el presente Reglamento”, quizás empiecen a compartir cierta sensación de vértigo ante lo que los abogados llamamos inversión de la carga de la prueba.
Y para terminar, en caso de que no podamos demostrar nuestro cumplimento -y bajo determinadas circunstancias- el riesgo –éste ya nuestro- se materializa en una potencial sanción del 4% del volumen total de nuestro negocio mundial o 20 millones de euros si el porcentaje no alcanza esta cifra.
Por ello, siendo pragmáticos y quedando dos tranquilos y largos años, sería prudente y, por tanto, contrario al riesgo, el comenzar realizando un diagnóstico que nos permita inventariar nuestros tratamientos –no nuestros ficheros-; determinar cuál es el riesgo que puede suponer cada uno de estos tratamientos para los derechos y libertades de las personas; qué medidas podemos diseñar para mitigar los riesgos, qué procesos hay que poner en marcha para aplicar dichas medidas y cuáles para documentar nuestra buena diligencia, y, por último, también adelantarnos y ver en qué supuestos vendremos obligados a interactuar con las autoridades y/o con los titulares del derecho fundamental a la protección de datos.
Va a requerir esfuerzos, dedicación e inversión, pero la recompensa es que cualquier tratamiento ya iniciado hoy deberá necesariamente ajustarse al nuevo Reglamento en dos años. Posiblemente, con cierta planificación, podamos ahorrar costes y ganar un temprano reconocimiento de nuestros, cada vez más sensibilizados, titulares de datos.
Como consuelo queda, que a pesar de no estar claro la traducción práctica del concepto del riesgo o sus categorías, al menos, el reto, tiene un alcance determinado y tiene un plazo cierto e inamovible. Avisados estamos.