18 septiembre 2020

Abogacía y protección de datos: elementos clave para su cumplimiento

Por Julián Prieto Hergueta, subdirector general del Registro General de Protección de Datos

Protecion datosEl derecho fundamental a la protección de datos personales, derivado del artículo 18.4 de la Constitución, no sólo constituye un ámbito de especialización del derecho al que se dedican, o pueden dedicarse, los abogados en la prestación de sus servicios a los clientes, sino que, sea cual sea la materia a la que se dedican profesionalmente, lo han de observar y garantizar como sujetos obligados en sus relaciones profesionales con clientes, empleados, instituciones y organismos públicos.

Para los profesionales que se dedican al asesoramiento en esta materia lo que aquí vamos a exponer les resultará conocido, si bien lo que persigue es hacer llegar los elementos clave que les permitan el cumplimiento de la normativa de protección de datos en el ejercicio de su profesión.

Para ello hay que partir de que la regulación actual, que ha sustituido a la Directiva 95/46/CE, a la Ley Orgánica de Protección de Datos de 1999 (LOPD) y a su Reglamento de aplicación de 2007, incorpora un nuevo modelo de cumplimiento que ha pasado del control por la autoridad de supervisión al de responsabilidad proactiva, que descansa en la obligación del responsable o encargado del tratamiento de los datos no sólo de cumplirla, sino de poder demostrar ese cumplimiento, que exige la adopción de las medidas técnicas y organizativas que procedan en atención a la naturaleza, ámbito, contexto, fines que se persiguen con el tratamiento y los riesgos que puede implicar para los derechos y libertades de los afectados.

Este principio de proactividad, junto con el análisis de los riesgos, inspira tanto el Reglamento (UE) 679/2016, Reglamento general de protección de datos, o RGPD (https://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807), como la Ley Orgánica 3/2018, de 5 de diciembre, de protección de los derechos personales y garantía de los derechos digitales (https://www.boe.es/buscar/doc.php?id=BOE-A-2018-16673).

El RGPD, que perseguía el objetivo de la aplicación uniforme de la normativa de protección de datos en todos los Estados miembros de la UE, lo que no había sido posible con la Directiva, ha obligado a responsables y encargados a adecuar sus procesos de tratamiento de datos personales sobre la base de los principios mencionados.

Pero antes de entrar en lo que implica este cambio de modelo de cumplimiento, resulta oportuna una referencia a los cambios que el RGPD ha introducido en los elementos básicos que configuran el derecho a la protección de datos, como los principios del tratamiento de los datos (artículo 5 del RGPD), la licitud de su tratamiento (artículo 6.1 y 9 del RGPD) y los derechos de los titulares de los datos (artículos 12 a 22 del RGPD), cuyo cumplimiento han de observar los sujetos obligados. Estos tres aspectos del derecho a la protección de datos, que proceden de la normativa anterior, han sufrido ciertas modificaciones que hay que tener presente en el cumplimiento proactivo del RGPD.

Los principios de la Directiva 95/46 y la Ley Orgánica 5/1999, de Protección de Datos se mantienen, lo que el RGPD hace es precisarlos, como el principio de minimización de datos, en el que la exigencia de no recabar datos excesivos para la finalidad que justifica el tratamiento se ha limitado a la recogida de los datos necesarios, o añadiendo la transparencia al principio de licitud y lealtad del tratamiento.

LICITUD DEL TRATAMIENTO

Entre estos principios se encuentra, como se ha señalado, el de la licitud del tratamiento, lo que nos lleva a las causas de licitud que se recogen en el artículo 6.1 del RGPD. Sobre esta cuestión, esencial en materia de protección de datos, hay que destacar el cambio que afecta significativamente a un amplio sector de tratamientos de datos, al establecer un número clausus de causas que legitiman el tratamiento, pero sin ninguna prelación entre ellas.

Mientras que la LOPD establecía el consentimiento de los interesados, incluido el consentimiento tácito, como el elemento central de la licitud del tratamiento de datos personales para después establecer, como una suerte de excepción, los supuestos en los que también era lícito el tratamiento sin necesidad del consentimiento, el RGPD relaciona los 6 motivos que lo legitiman sin prioridad ninguna, por lo que las bases jurídicas del tratamiento distintas del consentimiento no son subsidiarias ante su falta.

El consentimiento, que en todo caso ha de ser expreso cuando no explícito si hablamos de categorías especiales de datos, ha dejado de ocupar ese lugar prioritario que llevaba a que en la práctica se solicitase a los interesados, incluso cuando era de aplicación una legitimación distinta del consentimiento. De ahí que desde la Agencia se haya recordado que cuando proceda una causa de licitud distinta del consentimiento, ésta es la que se debe aplicar, y valorando como alternativa el interés legítimo del responsable cuando se den los requisitos para ello y previa ponderación con los derechos y libertades de los interesados.

En cuanto a los derechos de los interesados, éstos se han visto ampliados con el derecho a la limitación del tratamiento de sus datos, a la portabilidad, y a no ser objeto de una decisión automatizada, incluida la elaboración de perfiles, que produzca efectos jurídicos o les afecte de una manera significativamente de modo similar.

Mención especial merece el derecho a la información configurado como tal en aplicación del principio de transparencia que rige el tratamiento de los datos personales, lo que obliga a que sea cual sea la causa de legitimación para el tratamiento de los datos se tiene la obligación de informar a los interesados con arreglo a lo establecido en los artículos 13 y 14 del RGPD, que con la finalidad de hacerla más accesible se puede proporcionar con arreglo a lo dispuesto en el artículo 11 de la LOPDPGDD.

Están exentos de la obligación de informar los responsables que hayan obtenido los datos de terceros y tengan un carácter confidencial sobre la base de una obligación de secreto profesional, regulada por el Derecho de la UE o de un Estado miembro, incluida una obligación de secreto de naturaleza estatutaria.

Respecto de los demás derechos, los responsables del tratamiento han de atender el ejercicio de estos derechos, aun cuando no procedan, dando la correspondiente respuesta en el plazo de un mes que, en caso necesario y debido a la complejidad y al número de solicitudes, podrá prorrogarse por dos meses más, de lo que el responsable deberá informar al interesado en el plazo del mes después de recibir su solicitud (artículos 15 a 22 RGPD y 12 18 LOPDPGDD).

Los responsables del tratamiento no sólo han de cumplir el RGPD, sino que han de poder demostrarlo, obligación cuyo incumplimiento puede originar responsabilidad (artículos 83.5.a RGPD y 72.1.a LOPDPGDD).

Para ello el propio RGPD establece una serie de medidas de cumplimiento que van desde la llevanza de un registro de actividades de tratamiento (artículos 30 RGPD y 31 LOPDGDD), la realización del correspondiente análisis de riesgos y adopción de las medidas de seguridad (artículo 32 RGPD), en su caso de una evaluación de impacto (artículo 35 RGPD), la obligación de comunicar las brechas de seguridad a la autoridad de control y, en su caso, a los afectados (artículos 33 y 34 RGPD), o la designación de un delegado de protección de datos -DPD- (artículos 37 a 39 RGPD y 34 a 37 LOPDPGDD).

La Agencia ha venido trabajando en la elaboración de materiales, documentos y herramientas que faciliten a los responsables el cumplimiento de la normativa, como:

Mención especial merece la figura del DPD que el RGPD establece como obligatoria cuando las actividades principales del responsable o encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala; o cuando consistan en el tratamiento a gran escala de categorías especiales de datos personales, aquellos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física; y de datos relativos a condenas e infracciones penales que, aunque su tratamiento, conforme al artículo 10 de la LOPDPGDD, está reservado a responsables de los órganos competentes para la instrucción de procedimientos sancionadores o a supuestos autorizados por Ley  o contando con el consentimiento de los interesados, el propio artículo incluye que será posible su tratamiento por Abogados cuando tengan por objeto recoger la información facilitada por sus clientes para el ejercicio de sus funciones.

El DPD es una figura a la que el RGPD atribuye un papel fundamental dentro del modelo de responsabilidad activa que establece, por lo que resulta fundamental que su designación descanse en una persona que reúna los requisitos de cualificación y de capacidad que exige el RGPD.

De la obligatoriedad de designar un DPD estarían exentos los abogados que ejerzan su actividad a título individual[1], si bien resultaría recomendable que las corporaciones profesionales, que como tales están obligadas a contar con un DPD (artículo 34.1.a LOPDPGDD), pudieran ofrecer estos servicios de forma voluntaria a quienes no estén obligados a disponer de esta figura, de manera que les sirviera de ayuda para el cumplimiento de la normativa aplicable.

CANAL PRIORITARIO

Quisiera, así mismo, a una de las iniciativas de la Agencia Española de Protección de Datos: el Canal Prioritario, puesto en marcha el pasado mes de septiembre, con la finalidad de ofrecer a las personas un mecanismo para proteger sus derechos y libertades fundamentales en la utilización de sus datos personales, como imágenes o audios, en redes sociales, y otros servicios y aplicaciones de internet.

La imagen como el sonido, cuando permiten identificar a una persona, constituyen un dato de carácter personal, por lo que el Canal Prioritario se configura como una vía rápida (fast track) para aquellas situaciones excepcionalmente delicadas que requieren una solución rápida para evitar que la difusión de las imágenes o audios de carácter sexual, violento, humillantes o degradante produzca, o agrave los daños y perjuicios si se mantiene esa difusión, que son de difícil reparación cuando no imposible. Se trata de situaciones de violencia digital que afectan en su gran mayoría a mujeres, menores de edad y a los colectivos más expuestos a situaciones de vulnerabilidad.

Para dar a conocer este medio la Agencia Española de Protección de datos y el Consejo General de la Abogacía Española firmaron un protocolo general de actuación que, entre sus objetivos, contempla el conocimiento de esta vía por parte de los Abogados con la finalidad de que puedan informar y asesorar sobre su existencia con ocasión de los casos que conozcan y pueda proceder.

DATOS PERSONALES Y COVID 19

Por último, no podría finalizar en estos momentos sin hacer una breve referencia a la incidencia que la pandemia de la COVID 19 ha tenido en el derecho a la protección de datos personales, que se ha plasmado en los informes y comunicados que la Agencia Española de Protección de Datos ha elaborado y publicado al respecto. Accesibles a través del siguiente enlace https://www.aepd.es/es/areas-de-actuacion/proteccion-datos-y-coronavirus.


[1] Ver las Directrices sobre los delegados de protección de datos (WP 243 rev. 01) en el portal del Comité Europeo de Protección de Datos (https://edpb.europa.eu/ ).

Comparte: