La protección de datos constituye uno de los elementos que está generando más tensiones y dificultades dentro de la formulación jurídica de los proyectos en las organizaciones. Se aúnan aspectos de ignorancia por parte de los gestores, de cierta indolencia en nuestra protección de nuestros datos, de falta de incorporación del debate en el momento oportuno y de desconocimiento de las sanciones que puede imponer la Agencia de Protección de Datos, la más activa sancionando de la Unión Europea.
La regla de la que tenemos que partir es muy sencilla: los datos son propiedad de la persona. No de quien los ha recolectado, ni gestionado. Solo de su titular. Y, por ello, antes de pedir o de hacer uso de estos datos hay que pedir permiso y explicar para qué se quieren.
PETICIÓN DE CONSENTIMIENTO
La primera regla es clara. Hay que preguntar y hay que permitir que la respuesta sea libre (esto es, que no puede ser la consecuencia directa o indirecta de presiones o de peticiones realizadas en el ejercicio del poder de dirección del empresario, que pueden suponer que psicológicamente se crea que no se debe rechazar) e indubitada.
Más aún, el consentimiento tiene que ser para un tratamiento de datos que debe reunir, además, ciertos requisitos. El RGPD lo concreta de forma muy clara en el artículo 5.1 cuando dispone que los datos y su tratamiento de los datos deben ser:
- Los datos deben ser tratados de manera lícita, leal y transparente. Esto supone que, si el consentimiento se pide para varias cosas, han de estar perfectamente delimitadas y pudiéndose separar los elementos.
- Deben ser recogidos con fines determinados, explícitos y legítimos, no pudiendo cambiarse la finalidad con posterioridad. Una legitimidad que viene dada sólo por el hecho de que sea necesaria para la ejecución de un contrato, para el cumplimiento de una obligación legal y siempre, insisto, que el interesado diera su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos
- Han de ser adecuados, pertinentes y limitados, de tal manera que sólo hay que pedir aquello que resulte imprescindible.
- Exactos, con posibilidad de rectificar los que no lo sean.
- La cesión será limitada en el tiempo.
- Los datos serán mantenidos de forma segura, lo que obliga a incorporar las medidas de seguridad necesarias para garantizar su integridad y confidencialidad.
La pregunta que surge inmediatamente es sencilla también: ¿se pueden pedir todos los datos o hay algunos que tienen condiciones especiales? Hay ciertos datos que no admiten su tratamiento:
“Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física”.
Teniendo en cuenta cuáles son los valores que están recogidos aquí, no es válido hacer una lectura restrictiva de los elementos que se están señalando.
PLANIFICACIÓN DE LAS PETICIONES DE DATOS
El dato es un elemento económico del que se pueden obtener réditos y puede ocasionar riesgos. Por ello, hay que planificar la gestión. Es la consecuencia de vivir en el capitalismo de la explotación de datos personales, de la cual las grandes tecnológicas son verdaderos expertas. Pero no se puede tropezar en la misma piedra.
El gestor del proyecto se tiene que plantear tres preguntas: para qué los quiero, qué es lo que realmente necesito y por cuánto tiempo lo necesito.
Todo lo que no esté incluido en la primera pregunta es un territorio vedado para el uso, y, a posteriori puede parecer que el RGPD es una molestia, cuando no es así, es que no se ha planificado. Igual que cuando se pide más información de la debida, lo que puede suponer un incumplimiento debido, precisamente, a esa minimización de los datos que se capturan. Y si no se fija el plazo, puede padecerse una sanción, como ha ocurrido recientemente.
Por ello, en el momento en que se planifica un negocio, en sus aspectos económicos, operativos, organizativos y jurídicos, uno de los elementos que deberán contener los aspectos jurídicos es el de la protección de datos, dado que será esta planificación la que permitirá cumplir con los objetivos del RGPD y lo que permitirá redactar las cláusulas correspondientes del contrato en la materia, fijando las garantías de los titulares de los datos y la posición que asume la entidad, ya sea como responsable ya sea como encargado del tratamiento de los datos. Es, por ello, un contenido necesario del Legal Business Case a que se ha hecho referencia en otro post de este blog.
Y esto último nos lleva a que la materialización de los consentimientos pasa siempre por un desarrollo tecnológico que acompañe lo que está establecido en el contrato. La falta de desarrollo de un aplicativo no es excusa para el incumplimiento.
Pero también, es una cuestión de gestión de recursos humanos, en la medida en que el personal de atención al cliente, cuando sea atención personalizada, lea efectivamente el documento del consentimiento o lo ponga a disposición del usuario del servicio.
Pero no nos olvidemos de cada dato que se introduzca o elimine exige su valoración por la Delegación de Protección de Datos de la empresa para determinar cuál es su tratamiento, especialmente cómo se solicita el consentimiento del titular del dato.
POSIBILIDAD DE REVOCACIÓN
La entidad a la que se han cedido los datos no tiene un cheque en blanco. Debe saber que, por un lado, el titular de los datos puede cambiar de opinión o que uno puede haber hecho un mal uso.
Por ello, disponer de canales apropiados de comunicación entre usuario y entidad se acaba transformando en un instrumento esencial para una adecuada política de gestión de la protección de datos.
LA SANCIÓN EN EL HORIZONTE
La vulneración del RGPD trae consigo un conjunto amplio de sanciones. En España, además, la Agencia Española está siendo muy activa en los procedimientos sancionadores por los incumplimientos. De hecho, en multitud de ocasiones, la denuncia ante la agencia es la vía más eficaz ante un comportamiento empresarial o institucional que no resulta adecuado. Acaba siendo, al igual que el Derecho de la competencia, un derecho transversal y, por ello, resulta previsible un incremento de denuncias en los años venideros.
Ahora bien, el recordatorio de la sanción ¿es el gran argumento para luchar en las organizaciones por el cumplimiento?
En mi opinión, la concienciación directiva, con el objetivo de que lo proyecten hacia sus departamentos, debiera ser el gran mecanismo. Lo que ocurre es que, por un mal entendimiento de cuál es el papel de la protección de datos (me atrevería a decir, del derecho, en general) se acaba considerando una molestia para el desarrollo de la actividad.
Pero, viendo algunas de las sanciones impuestas, sobre todo a las grandes compañías ¿cuánto se ha de vender, cuánto beneficio se ha de obtener para pagar una sanción que ha llegado a los 10 millones de euros en nuestro país? Es la virtud preventiva de la protección datos, que se añade a la potenciación de las ventas, tal como se ha explicado con anterioridad.
Pero aquí, como en tantas otras cosas, el elemento central es planificar cuidadosamente y analizar en el momento adecuado cuáles son las implicaciones que tiene el proyecto. Si no se hace así, los riesgos de sanciones se incrementan exponencialmente