El 28 de enero se celebra el Día Internacional de la Protección de Datos, mismo día en que, en 1981, se abrió la firma al Convenio 108 del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal. Su importancia reside en que se trata del primer y único -a día de hoy- instrumento internacional legalmente vinculante en el área de la protección de datos que, de hecho, obligaba a las partes firmantes a adaptar su legislación local a los principios recogidos en el mismo sobre el tratamiento de información personal. Lo anterior no deja de ser inesperado, pues estamos hablando de que hasta hace poco más de cuarenta años, no se comenzó a regular este derecho fundamental de la protección de nuestros datos personales.
La celebración de este día fue impulsada por la Comisión Europea, el Consejo de Europa y las Autoridades Supervisoras de Protección de Datos de los Estados miembros de la Unión Europea. Es una fecha destinada, por un lado, a concienciar y sensibilizar sobre la importancia que tiene la protección del tratamiento de datos personales por las organizaciones y, por otro, a dar a conocer a los ciudadanos cuáles son sus derechos y responsabilidades en torno a la protección de datos.
En este contexto, es importante recordar, como hemos indicado, que el derecho a la protección de datos es un Derecho Fundamental, amparado por el artículo 18.4 de la Constitución Española, en el que se recoge la obligación de limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos, así como el pleno ejercicio de sus derechos.
La protección de datos de carácter personal no es algo estático, sino una materia en constante evolución, lo cual, unido también al desarrollo y transformación de los sistemas utilizados para el tratamiento de los datos, hace que los retos legislativos sean cada vez mayores. Por ello, al Convenio 108 le siguieron, a nivel europeo:
- La Directiva de Protección de Datos en el año 1995, basada en los principios del Convenio 108, cuyo objetivo fue encontrar una postura a medio camino entre proteger la privacidad de las personas y favorecer el flujo libre de datos entre los Estados miembros. Sin embargo, al tratarse de una directiva y no de un reglamento, las diferencias en la transposición a las legislaciones nacionales en cada Estado fueron significativas. Esto provocó que las organizaciones encontraran complicada su aplicación y dañó el mercado interno en la Unión.
- La Carta de los Derechos Fundamentales en el año 2000, que consolidaba los derechos fundamentales de los que disfrutamos actualmente en la Unión y, más concretamente, menciona el derecho a la protección de los datos personales.
- El Tratado de Lisboa en el año 2009, que convirtió a la Carta de los Derechos Fundamentales en jurídicamente vinculante.
- El Reglamento General de Protección de Datos en 2018, de aplicación directa a los Estados, y cuyo objetivo principal era permitir que las personas dispusieran de un mayor control sobre sus datos personales. personales.
Actualmente, las dos principales normativas que rigen en nuestro país en materia de protección de datos personales son: (i) El Reglamento General de Protección de Datos (RGPD), que aplica a los Estados miembros de la Unión Europea; y (ii) la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), de ámbito nacional.
Centrando la aplicación de los principios del anterior marco normativo regulatorio en el ámbito empresarial, podemos afirmar que la protección de datos se está empezando a asumir como una parte más de la política de responsabilidad social corporativa. Esto es debido a que el correcto cumplimiento de la protección de datos puede proporcionar un valor añadido a las organizaciones, aumentando la confianza de los clientes, además de ayudar a cumplir con los aspectos legales y éticos de las mismas.
Como principales obligaciones para garantizar el cumplimiento de la normativa en materia de protección de datos en el ámbito empresarial, se encuentran las siguientes:
- Designar un Delegado de Protección de Datos (DPD o DPO), en los casos previstos en la normativa. Sus funciones principales son informar y asesorar a la organización en materia de protección de datos, así como supervisar el cumplimiento de lo dispuesto en el RGPD y la LOPDGDD, cooperando con la autoridad de control y siendo el punto de unión entre esta y la entidad.
- Tener un Registro de Actividades de Tratamiento (RAT). Este documento recogerá los tratamientos de datos personales llevados a cabo en la organización y deberá contener, como mínimo, la información contemplada en el artículo 30 del RGPD.
- Formalizar contratos con los terceros con acceso a los datos personales responsabilidad de las organizaciones que actúan como encargados de tratamiento, de acuerdo con lo dispuesto en el artículo 28 RGPD.
- Realizar un análisis de riesgos sobre los tratamientos de datos efectuados para valorar su impacto en los derechos y libertades de las personas físicas. Así, respecto de aquellos que puedan entrañar un alto riesgo para estas personas físicas, las organizaciones deberán realizar una Evaluación de Impacto de Protección de Datos (EIPD o PIA) con el objetivo de minimizar los riesgos que dicho tratamiento conlleve sobre los intereses y libertades de los interesados.
- Disponer de procedimientos y políticas para la atención de las solicitudes de derechos de los interesados, para la gestión de las brechas de seguridad, para garantizar la privacidad desde el diseño y por defecto, así como para garantizar el cumplimiento del resto de las obligaciones de la normativa, como, por ejemplo, respecto del deber de información.
- Formar y concienciar a las personas trabajadoras de la organización en materia de privacidad y seguridad.
Unido a lo anterior, se debe tener en cuenta que cada vez existe un mayor interés y una preocupación de los ciudadanos por la protección de sus datos personales. Una consciencia sobre el valor de sus datos que influye, de manera directa, en las decisiones que adoptan a la hora de la contratación de servicios. Por ello, incorporar la protección de datos a la estrategia del negocio repercutirá positivamente, no solo en la seguridad y cumplimiento normativo de la misma, sino también en la competitividad y en la reputación de la empresa, evitando posibles sanciones por incumplimientos de la normativa. Definitivamente, el efectivo cumplimiento en materia de protección de datos se ha ido consolidando como punto de distinción entre unas empresas y otras.
En Áudea Seguridad de la Información disponemos de profesionales con la preparación y experiencia necesaria para apoyar a las organizaciones y Delegados de Protección de Datos en la gestión de la seguridad y privacidad de la información de sus organizaciones, por ello no dude en contactarnos.