Según información del diario “El País”, tal y como sabemos, en los últimos años se han puesto en marcha diversas normativas para limitar el uso de nuestros datos y hacer que podamos saber en todo momento quién tiene acceso a ellos, para qué puede usarlos y cómo los ha conseguido.

La norma más importante y de mayor calado fue el Reglamento General de Protección de Datos (RGPD) que entró en vigor en mayo de 2016 y que desde el 25 de mayo del año pasado es de obligado cumplimiento en España. Su incumplimiento puede conllevar multas y sanciones que alcanzan los 20 millones de euros, en el peor de los casos.

Dos años de margen tuvieron entidades públicas, organizaciones y empresas para adaptarse a la nueva forma de gestión de la información. Sin embargo, aún hay rezagados que siguen sin aplicar las nuevas normas o no lo hacen correctamente.

Como resumen, indicar que cumplir con el deber de información, esto es, que se debe informar a los titulares de los datos de quién es el responsable del tratamiento, las finalidades que se persiguen, si existen cesiones a terceros y la dirección postal o electrónica donde el titular pueda solicitar sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento o portabilidad. Todas las empresas están obligadas a informar por cualquier canal a sus clientes de estos cambios.

En segundo lugar, indicar que el consentimiento para el tratamiento de datos deja de ser tácito, debe de haber una clara acción afirmativa. El responsable de los datos debe tener pruebas de ese consentimiento.

Se deben además registrar las actividades de tratamiento. El RGDP obliga a informar y tener  disposición, tanto a los propios usuarios como a la AEPD, sobre la recopilación de los datos y el objetivo de la misma. La antigua inscripción de ficheros (vigente con la anterior LOPD 15/1999) es ahora sustituida por ese registro de actividades de tratamiento efectuadas por cada responsable y, en su caso, encargado del tratamiento de datos. Ese registro incluye, entre otra información, los fines, las categorías de destinatarios a quienes se comunicaron o comunicarán los datos, las transferencias de datos personales a un tercer país, etc.

También se debe realizar un análisis de riesgos y adoptar medidas de seguridad. No es posible asegurar el derecho fundamental a la protección de datos si no se es capaz de garantizar la confidencialidad, la integridad y la disponibilidad de los datos personales. Si hubiera incidentes de seguridad, se debe comunicar a la autoridad competente, en este caso la AEPD. En determinados casos también hay que avisar a las personas cuyos datos personales se hayan visto afectados por la violación.

El RGPD define el tipo de contrato que debe vincular al responsable de los datos con el encargado de los mismos. En él se deben especificar la relación y las obligaciones de ambas partes ante la prestación del servicio acordado. Si existiera un contrato vigente previo a mayo de 2018, cuando entró en vigor el reglamento, es imprescindible incluir una cláusula al respecto que sea firmada por las partes.

Quizás sea este el momento de valorar si el organismo o empresa encargada del tratamiento de los datos de mi compañía es el más adecuado y aclarar situaciones en las que puede ser difícil distinguir cuándo estamos frente a un encargado o a un responsable del tratamiento.

Conviene designar un delegado de protección de datos, además de aquellas entidades que están obligadas, para coordinar la adaptación para el correcto cumplimiento de las medidas del reglamento.

Por último, se debe atender correctamente los derechos de los ciudadanos. Nos referimos al derecho de acceso (para conocer y obtener información sobre sus datos de carácter personal sometidos a tratamiento), de rectificación (el ciudadano puede solicitar la corrección de errores y la modificación de los datos que resulten ser inexactos o incompletos), de cancelación (cualquier persona puede solicitar que se supriman sus datos) y de oposición (puede negarse a que se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo).