El nuevo Reglamento General de Protección de Datos (RGPD) es de obligado cumplimiento desde el 25 de mayo de 2018. Esta legislación introduce muchas novedades con respecto al tratamiento de los datos personales, aunque dichas novedades van en la línea que la Unión Europea viene estableciendo en el marco de las relaciones comerciales entre consumidores y empresarios. Es decir: sólo es válido un acuerdo cuando está expresamente consentido y correctamente informado.
A continuación, se exponen cuatro ideas que hay que tener en cuenta a la hora de aplicar la nueva legislación:
1ª Idea: ¿Qué es un dato personal?
Algo, en teroía sencillo, que puede generar problemas interpretativos. No queda otra que estar a la definición que da el propio Reglamento. Así, son datos personales toda información sobre una persona física cuya identidad pueda determinarse de alguna manera. Tengamos en cuenta que un dato sobre nosotros mismo puede ser, desde un número de teléfono, hasta que nos gustan los zapatos rojos. Hoy en día toda información puede ser objeto de comercio.
2ª Idea: ¿A quién se aplica?
Una cuestión esencial es saber a quién se aplica la Ley. El Reglamento, sin decirlo expresamente, deja dentro de su ámbito de aplicación a cualquier ejerciente de una actividad comercial que trate con datos personales. Para ello, el Reglamento detalla una lista mediante la que excluye de su ámbito de aplicación a determinados grupos dedicados a actividaes no lucrativas, como son las persona físicas en el ejercicio de actividades exclusivamente personales o domésticas (albumes de fotos, por ejemplo) o a las autoridades que manejen información con el fin de esclarecer hechos ilícitos, entre otros. Sin embargo, las Administraciones públicas sí están, al menos genéricamente, incluidas de su ámbito.
3ª Idea: ¿Se aplica por igual a todo el mundo?
No todas las actividades comerciales están sometidas al mismo régimen de control (aunque hubiera sido deseable que se facilitase su aplicación a pequeñas empresas, siempre que ello no suponga un menoscabo en el tratamiento de los datos). Así, el Reglamento crea la figura del Encargado de Tratamiento. Esta figura es una persona encarga de gestionar los datos personales que se encuentre en poder de una empresa y su intervención (sea desde dentro de la empresa o vía externalización) es obligatoria cuando el objeto de la actividad implique:
A) Un tratamiento de datos habitual y a gran escala.
B) Cuando se trabaje con datos personales de categoría especiales. En este sentido, téngase en cuenta que pertenecen a esta categoría los datos relativos a la salud.
C) Las Administraciones Públicas.
La Ley otorga una serie de potestades que garantizan la independencia del Encargado de Datos, lo cual no quiere decir que se pueda “trasladar” la responsabilidad dimanante por brechas de información a esta figura, aunque sí quedará la posibilidad de exigir responsabilidades por los perjuicios causados por su gestión.
4ª Idea: Lo más importante.
Como suele suceder en estos casos, lo primero que hay que entender para aplicar una Ley es el objeto y espíritu de la misma. Como ya hemos adelantado, lo que el Reglamento de Protección de Datos viene a decirnos es que el tráfico de datos es lícito siempre que se cuente con el consentimiento expreso del interesado. Se acabaron los consentimientos tácitos y presuntos. Cuando desee utilizarse un dato con un fin concreto, éste deberá ponerse en conocimiento del interesado y recabarse un consentimiento inequívoco de que admite su uso.
