Principios revolucionarios del tratamiento de datos según el RGPD

Extracto del libro de Bruno DUMAY: DESCRIPCIÓN DEL RGPD – Para directivos, departamentos estratégicos y empleados de empresas y organizaciones – Prólogo de Gaëlle MONTEILLER

El artículo 5 es, tanto en su letra como en su espíritu, revolucionario, si analizamos honestamente las prácticas vigentes antes de 2018.

Los datos personales deben ser tratados de forma lícita, justa y transparente con respecto al interesado (párrafo 1a). Si bien se puede concordar en que el proceso fue lícito, cabe reconocer que los criterios de transparencia y equidad apenas se tuvieron en cuenta. Ninguna persona cuyos datos fueron recopilados fue informada de los métodos y fines de dicha recopilación. Si ahora debemos cumplir con esta nueva disposición, y debemos hacerlo, los cambios necesarios, tanto en la perspectiva como en la práctica, son considerables.

El apartado 1b del mismo Artículo 5 es suficiente para aturdirnos, perdón, ilustrarnos aún más: «Los datos personales deberán recopilarse para fines específicos, explícitos y legítimos, y no ser tratados ulteriormente de manera incompatible con dichos fines». En otras palabras, un director de marketing sigue siendo responsable de los datos que ha recopilado, incluso si su uso cambia con el tiempo. Y este cambio no debe ser incompatible con las razones esgrimidas para la recopilación. El concepto de «fines específicos y explícitos» podría, en sí mismo, si un magistrado lo entendiera en sentido estricto, reducir los datos personales recopilados a un solo uso.

El párrafo 1c tampoco está mal: «Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se tratan (minimización de datos)». Se acabaron las estrategias generalizadas y las búsquedas exhaustivas para recuperar la mayor cantidad de información posible. Cada operación debe ajustarse a un objetivo específico, y solo a ese objetivo. La filosofía del texto se refleja aquí: se trata de limitar al máximo la difusión de datos personales para que ninguna persona pueda alegar que se le ha privado de información sin su consentimiento.

El plazo de conservación también está contemplado (en el apartado 1e del artículo 5): no debe exceder el necesario en relación con los fines para los que se tratan. Esto implica, seamos claros, la destrucción de los datos tras su uso; esto, admitámoslo, no es habitual en nosotros.

La licitud del tratamiento ahora tiene una base, recordada en el Artículo 6, que enumera seis condiciones, de las cuales al menos una debe cumplirse. Dado que las cuatro últimas están dedicadas a cuestiones no comerciales, solo nos conciernen las dos primeras. O bien «el interesado ha consentido el tratamiento de datos personales para uno o más fines específicos», o bien «el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la adopción de medidas a petición del interesado precontractuales». Por lo tanto, es evidente: para utilizar información personal, es esencial el consentimiento o un contrato. En el caso de un menor de 16 años, edad que los Estados miembros pueden reducir a 13 años (Francia acaba de optar por la mayoría numérica a los 15 años), el consentimiento debe ser otorgado por el titular de la patria potestad (art. 8-1). Al dirigirse a los menores, los términos deben elegirse en función de la edad para facilitar su comprensión (art. 12-1).

En caso de litigio, la carga de la prueba del consentimiento recae en el responsable del tratamiento, no en la persona que se considera perjudicada (art. 7). Y todo está previsto en el RGPD para que la autoridad de control tenga los medios necesarios para decidir si se ha otorgado el consentimiento y para qué.

Ya no hay lugar para la ambigüedad, con la que todos han jugado durante veinte años: «Si el consentimiento del interesado se otorga en el contexto de una declaración escrita que también se refiere a otros asuntos, la solicitud de consentimiento se presentará de forma que la distinga claramente de estos otros asuntos, de forma inteligible y fácilmente accesible, y se formulará en términos claros y sencillos» (art. 7-2). Este consentimiento puede revocarse en cualquier momento. Y está prohibido complicar el uso de esta posibilidad: «Es tan sencillo revocar el consentimiento como otorgarlo» (art. 7-3).

Esto no es nuevo, al menos en Francia, pero se reafirma claramente en el Artículo 9: el tratamiento que revele el origen racial o étnico, las opiniones políticas, las creencias religiosas, la salud o la orientación sexual de las personas afectadas está prohibido (Art. 9-1), salvo en diez casos específicos relacionados con el derecho laboral o el interés público. Una de estas excepciones es interesante y sorprendente, ya que se aparta del carácter protector del texto: cuando los datos son «manifiestamente hechos públicos por la persona afectada» (Art. 9-2e). En este caso, se puede revelar información considerada sensible; lo que, dado el exhibicionismo imperante, puede afectar a muchas personas.