La pesada carga que pesa sobre los responsables del tratamiento de datos

Extracto del libro de Bruno DUMAY: DESCRIPCIÓN DEL RGPD – Para directivos, departamentos estratégicos y empleados de empresas y organizaciones – Prólogo de Gaëlle MONTEILLER

El RGPD se centra en la rendición de cuentas de las partes interesadas. A diferencia de la directiva de 1995 (el primer texto importante europeo en materia de protección de datos), no exige autorización ni declaración previa. Esta es una estrategia inteligente por parte de sus creadores: la ausencia de control previo facilita que los esfuerzos necesarios para cumplir con las nuevas normas sean aceptables.

Como hemos visto, el RGPD identifica un responsable del tratamiento de datos en cada estructura, quien debe ser responsable de garantizar el cumplimiento requerido y, posteriormente, del correcto funcionamiento del tratamiento de datos. Las tareas de este responsable son arduas: no solo debe implementar las medidas adecuadas, sino que también debe poder demostrar que el tratamiento se realiza de conformidad con el reglamento (art. 24-1). Esto no es una obligación, pero la referencia a un código de conducta (art. 40) o a una certificación (art. 42) promovida por las autoridades de control puede facilitar la demostración requerida.

El principio rector del responsable del tratamiento es simple: minimizar el uso de datos personales. Por ello, el artículo 25 recomienda la seudonimización y la minimización, ya mencionadas. Añade el principio de protección de datos por defecto: «El responsable del tratamiento aplicará las medidas técnicas y organizativas apropiadas para garantizar que, por defecto, solo se traten los datos personales necesarios para cada fin específico del tratamiento» (art. 25-2). A diferencia de las prácticas actuales, donde se utiliza todo salvo indicación expresa en contrario, ahora solo se debe utilizar lo estrictamente necesario para alcanzar el objetivo establecido. La protección por defecto parece, en cierto modo, complementar la minimización de datos en el momento de la recopilación en el momento del tratamiento.

Dos profesionales podrán ser corresponsables del tratamiento; en este caso, la función de cada uno se define con precisión y se informa al interesado (art. 26). Cuando el/los responsable(s) del tratamiento no estén establecidos en la Unión Europea, designarán a un representante establecido en uno de los Estados miembros, quien será la persona de contacto del interesado y de las autoridades de control (art. 27). Es posible recurrir a los servicios de un subcontratista, siempre que este ofrezca garantías suficientes de que el tratamiento se realiza de conformidad con el RGPD (art. 28-1).

Es obligatorio llevar un registro de actividades de tratamiento (art. 30). Este debe incluir los datos de contacto del responsable del tratamiento, las finalidades del tratamiento, las categorías de personas, datos y destinatarios afectados, cualquier transferencia a un tercer país, los plazos de supresión y una descripción general de las medidas de seguridad. Este registro debe ponerse a disposición de la autoridad de control si esta lo solicita. No es obligatorio para empresas u organizaciones con menos de 250 empleados, «salvo que el tratamiento que realicen pueda suponer un riesgo para los derechos y libertades de los interesados, si no es ocasional...» (art. 30-5). Por lo tanto, tenga cuidado: el tamaño de la empresa por sí solo no es criterio suficiente para la exención del registro. Si trata datos con frecuencia o si su actividad puede vincularse de alguna manera con los «derechos y libertades de las personas», está obligado a llevar un registro de las actividades realizadas.

Un reglamento no es un manual técnico. El artículo 32, dedicado a la seguridad del tratamiento, recuerda, no obstante, algunos fundamentos: la seudonimización y el cifrado, los medios para garantizar la confidencialidad y la integridad, y para restablecer la disponibilidad de los datos y el acceso a ellos en caso de incidente. Los redactores del texto no descuidan el riesgo de piratería informática: «Al evaluar el nivel adecuado de seguridad, se tendrán especialmente en cuenta los riesgos que presente el tratamiento, derivados, en particular, de la destrucción, pérdida o alteración accidental o ilícita, la divulgación no autorizada de datos personales transmitidos, conservados o tratados de otro modo, o el acceso no autorizado a dichos datos» (art. 32-2). En otras palabras, un sistema de tratamiento solo se considerará conforme si ofrece las garantías necesarias, al menos las máximas, en materia de protección y seguridad de datos. Recordamos el revuelo causado por el hackeo de la base de datos de miembros del sitio de citas norteamericano para personas casadas, cuando decenas de miles de perfiles confidenciales se publicaron en internet.

Si, a pesar de las precauciones adoptadas, se descubre una violación de datos personales, el responsable del tratamiento deberá informar a la autoridad de control en un plazo de 72 horas, «salvo que sea improbable que la violación en cuestión suponga un riesgo para los derechos y libertades de las personas físicas» (art. 33-1). Esta salvedad ofrece cierto margen de maniobra, aunque el texto completo sugiere que no debe utilizarse indebidamente para ocultar un problema. El informe debe indicar la naturaleza de la violación, el número aproximado de personas afectadas, las posibles consecuencias de esta y las medidas adoptadas o sugeridas para remediar el problema o limitar sus consecuencias.

El responsable del tratamiento de datos también debe informar a la víctima de la vulneración lo antes posible (art. 34). Esta comunicación no es necesaria si los datos robados son incomprensibles, por ejemplo, debido al cifrado, o si las medidas adoptadas implican que no existen riesgos para los derechos y libertades del interesado, o si dicha comunicación «requiere esfuerzos desproporcionados. En tales casos, se realizará una comunicación pública o una medida similar que permita informar a los interesados de manera igualmente efectiva» (art. 34-3c). Este párrafo se dirige a los ataques informáticos masivos y exime a los responsables del tratamiento de datos de enviar un correo electrónico personalizado a cada persona de sus archivos.

Por último, aclaremos que el espíritu del RGPD es inequívoco: en una empresa organizada con filiales, las obligaciones de estas últimas son las mismas que las de la empresa matriz.