Se ha escrito mucho sobre los diversos borradores realizados a la Propuesta de Reglamento Europeo de Protección de Datos (en adelante, el Reglamento) desde que se publicara la primera versión en enero del 2012. Precisamente, la última propuesta fue acordada el 15 de junio de 2015 por el Consejo de la Unión Europea (en lo que sigue, el Consejo)[1].

Durante estos años, los profesionales y las compañías han ido familiarizándose con conceptos como DPO (Data Protection Officer), PIA (Privacy Impact Assestment), Accountability, DBN (Data Breach Notification), PbD (Privacy by Design), etc. pero, realmente, ¿qué debe hacer una empresa española que ya muestre un alto nivel de cumplimiento de la LOPD y tenga voluntad de adaptarse a los requisitos de la futura norma europea sobre protección de datos?.

Son varias las tareas y enfoques que deben llevarse a cabo para que aquélla pueda absorber los diferentes procedimientos y obligaciones que tal norma exigirá, pero en este artículo resaltamos 4 cuestiones que entendemos implican un cambio sustancial respecto a cómo se venían acometiendo tales procesos:

1. Implantación de un procedimiento de “Data Breach Notification”,coherente con las obligaciones legales de notificación de violaciones de datos a la autoridad de control y al interesado.

En la última versión del Reglamento propuesta por el Consejo se establece que, en caso de que se produzca una violación de datos que probablementevaya a dar lugar a un alto riesgo para los derechos y libertades de los interesado[2] (problemas de discriminación, usurpación de identidad o fraude, pérdidaseconómicas, menoscabo de lareputación, pérdida de confidencialidad de datos sujetos al secreto profesional o cualquier otro perjuicio económico o social significativo, etc.), se deberá notificar a la autoridad de control competente sin demora injustificada y, a ser posible, a más tardar en 72 horas después de que haya tenido constancia de ella.Esta notificación no se exigiría cuando no sea obligatoria la comunicación al interesado según del artículo 32.3, letras a) y b) del Reglamento.

En lo relativo a la comunicación de una violación de datos personales a los interesados, al igual que en el caso anterior, esta obligación se circunscribe únicamente a los casos en que sea probable que ésta suponga un alto grado de riesgo para los derechos de aquéllos. Además, la notificación no será necesaria si la empresa: a) ha instaurado con carácter previo medidas de protección tecnológica y organizativa apropiadas, en particular, las que hacen ininteligibles los datos en caso de acceso no autorizado (cifrado de datos) y; b) si ha tomado medidas ulteriores que garanticen que ha desaparecido la probabilidad de que se materialice tal alto riesgo; c) si dicha comunicación supusiera una labor desproporcionada, por ejemplo, a la vista del número de casos involucrados, en cuyo caso optaría por una comunicación pública o una medida similar; d) o si dicha comunicación afectase negativamente a un interés público esencial.

Habrá muchas empresas que ya tengan un procedimiento de gestión de incidencias implantado, pero con la nueva regulación será necesario que, además de lo anterior: a) determinen quién será el interlocutor con la autoridad de control, b) quién decidirá cuándo se comunica la violación de datos y en qué términos en aplicación de la normativa aplicable, c) coordinar la notificación a la Autoridad con la comunicación de la incidencia a los afectados, especialmente clientes, d) gestionar una posible crisis reputacional, etc.

2. Uso de una metodología de Análisis de Riesgos válida para llevar a cabo los “Privacy Impact Assestment” o Evaluaciones de Impacto de Privacidad.

Cuando sea probable que un tratamiento de datos, por su naturaleza, alcance, contexto o fines suponga un alto riesgo para los derechos de las personas, la empresa llevará a cabo, antes de que se produzca aquél, una evaluación del impacto de privacidad. Si, además, la empresa hubiera nombrado a un  delegado de protección de datos (Data Privacy Officer ó DPO), deberá contar con su asesoramiento.

Los supuestos legales en los que se requiere tal evaluación se han reducido y, al mismo tiempo, matizado en la última versión del Reglamento aprobada, destacando la mención a la “elaboración de perfiles” respecto a los que el Reglamento prevé límites. Tal mención y límites son importantes, en la medida en que se pretende reforzar la protección del ciudadano ante este tipo de tratamientos, estrechamente vinculados al actual despliegue de tecnologías como “Internet de las Cosas (IoT)”, o el desarrollo de las “Smart Cities”.

En esta última versión también se prevé que sea la autoridad de control la que establezca y publique una lista de los tipos de operaciones de tratamiento que estarán supeditados a dicha evaluación de impacto.

En España, de momento, la Guía publicada por la AEPD en este ámbito es un buen trabajo para comenzar a realizar por parte de las empresas PIA´s desde una metodología sencilla, pero clara:

http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/Guia_EIPD.pdf

3. “Accountability” o rendición de cuentas.

El artículo 22 de la última versión propuesta del Reglamento, apunta que la empresa también deberá aplicar medidas apropiadas en base a la naturaleza, el ámbito, el contexto y los fines del tratamiento, así como considerando la probabilidad y gravedad del riesgo para los derechos de los interesados y, de esta forma, demostrar que los tratamientos de datos que realiza son conformes con aquél.

Para gran parte de la doctrina, este concepto se traduce en una suerte de responsabilidad general de la empresa respecto a los tratamientos de datos que acometa. En definitiva, que con este nuevo principio no sólo deberán cumplir el Reglamento, también deberán poder probar que lo han hecho.

Como novedad, la adhesión a códigos de conducta o a un mecanismo de certificación aprobado podrá ser utilizado para demostrar tal cumplimiento.

Para cumplir con este principio, es interesante considerar las medidas planteadas por el Grupo de Trabajo del Artículo 29 en su Dictamen 3/2010 sobre el principio de responsabilidad (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_es.pdf).

4. Privacy by Design.

Los empresas deberán aplicar,habida cuenta de la tecnología disponible y del coste de aplicación, la naturaleza, ámbito, contexto y fines del tratamiento, así como la probabilidad y la gravedad del riesgo para los derechos de los interesados, las medidas técnicas y organizativas adecuadas para la actividad de tratamiento desarrollada y sus objetivos, por ejemplo, aplicar la minimización y la seudonimización de los datos (privacy by design).

En definitiva, el Reglamento establece nuevas obligaciones y procedimientos para cumplir con la protección de los datos, propugnando una participación más responsable y proactiva de las empresas en este sentido.