La Directiva de protección a denunciantes afecta a su empresa

Las instancias europeas han publicado una Directiva sobre protección a denunciantes (lo que en terminología anglosajona se denomina “whistleblowers”). El nombre completo de la resolución es “Directiva del Parlamento Europeo y del Consejo relativa a la protección de personas que informen sobre infracciones del Derecho de la Unión”.

En sus 23 artículos regula las medidas que deberán cumplir los Estados miembros para garantizar que a esas personas se les ofrezca la debida protección. De este modo se pretende incentivar que quienes conozcan a nivel interno (en una empresa, por ejemplo) la comisión de delitos puedan denunciarlo sin temer represalias empresariales ni estatales.

Muchas de las medidas incluidas en la Directiva afectan a los canales que los Estados miembros deben ofrecer para garantizar denuncias seguras. Pero los artículos 4 y 5 se centran en algo que atañe directamente al sector privado: las denuncias internas. Esto es, las que se producen dentro de la propia empresa.

Aquí es donde encontramos una serie de obligaciones que pueden afectar a muchas entidades mercantiles.

Lo primero que nos dice el artículo 4 es que, en cuanto la Directiva se incorpore al Derecho de los Estados miembros (en este caso, el español), existirá la obligación de establecer “cauces internos y procedimientos de notificación y tramitación de denuncias (…). Estos cauces y procedimientos deberán permitir la denuncia por parte de los empleados de la entidad. Podrán ser utilizados para la presentación de denuncias por otras personas que estén en contacto con la entidad” (y aquí incorporaríamos a contratistas, accionistas, voluntarios,…).

No solo eso, sino que el artículo 5 nos especifica que además se deberá contar con una persona encargada de gestionar estas denuncias, un procedimiento para tramitarlas de forma diligente e información clara y accesible sobre ese procedimiento.

Ahora bien, cabe plantearnos la siguiente pregunta: ¿quiénes serán las entidades obligadas a contar con este canal de denuncias?.

Pues, en contestación a la misma, cabe decir que la obligación de disponer de “un canal de denuncias” es más amplia de lo que parece. Concretamente afecta a los siguientes actores del sector privado (en el sector público hay otras entidades obligadas):

Entidades jurídicas privadas de más de 50 trabajadores.

Entidades jurídicas privadas con un volumen de negocios o balance anual igual o superior a 10 millones de euros.

Entidades jurídicas privadas, de cualquier dimensión, que operen en el ámbito de los servicios financieros o que sean vulnerables al blanqueo de capitales o a la financiación del terrorismo.

Es esta tercera posibilidad la que ofrece más riesgo, ya que afecta a este tipo de entidades sin importar su tamaño. Y el elenco de supuestos aquí es muy variado. Recordemos que la Ley 10/2010, de prevención de blanqueo de capitales y de la financiación del terrorismo consideraba “sujetos obligados”, entre muchos otros, a las categorías siguientes:

– Entidades aseguradoras.

– Promotores inmobiliarios y quienes ejerzan actividades de agencia, comisión o intermediación en la compraventa de bienes inmuebles.

– Casinos o quienes gestionen juegos de azar presenciales o telemáticos.

– Personas que comercien profesionalmente con joyas, piedras o metales preciosos.

– Personas que comercien profesionalmente con obras de arte o antigüedades.

– Personas que comercien con bienes por importe superior a 10.000 euros en una o varias operaciones.

– Etcétera.

Si su empresa actúa en alguno de estos campos (o en el resto de posibilidades previstas en la Ley 10/2010), será obligatorio contar con el canal de denuncias. También lo será, por supuesto, si se trata de una empresa de más de 50 trabajadores o con un volumen de negocios superior a 10 millones de euros.

En cualquier caso, le recomendamos que no espere a mañana para empezar a implementar este mecanismo. Su puesta en marcha no se lleva a cabo en unos días, sino que supondrá un importante cambio organizativo dentro de su empresa. Por ello creemos que lo mejor es que empiece a trabajar en ello cuanto antes.

Si necesita ayuda sobre cómo hacerlo, no dude en contactar con nosotros.

Fabián Plaza Miranda, Auren Abogados y Asesores Fiscales

Sustitución de trabajadores por robots. Sentencia discutible, debate inevitable.

Nos desayunábamos hace pocos días con la noticia de una sentencia de un juzgado de Las Palmas en la que se declaraba improcedente el despido de una trabajadora porque la empresa pretendía sustituirla por un robot.

La sentencia y su argumentación es muy, pero que muy discutible y supongo que será recurrida, pero es muy ilustrativa de la manera de pensar del juzgador a la hora de abordar la automatización de un puesto de trabajo y la sustitución de los trabajadores afectados. Vamos a darle una vuelta a ambas cosas.

La sentencia es muy discutible porque choca con la realidad que tiene que enjuiciar y parece que esa realidad no le gusta al juzgador, por lo que decide no aceptarla y llega a la conclusión de que el despido es improcedente. Digo que no acepta la realidad, porque la sentencia señala que las causas técnicas, organizativas o productivas en que la empresa basa su decisión de despedir, no quedan acreditadas en la carta de despido que se entregó a la trabajadora. Muy bien, eso bastaría para declarar la improcedencia del despido y no habría nada más que decir (sobre todo para quien no conoce la mencionada carta, ni los detalles del caso). Lo que pasa, es que a continuación de señalar eso, su señoría se mete en el complicado jardín del debate entre empleo y tecnología y convierte la sentencia en un artículo de opinión sobre las consecuencias de la una sobre el otro, elevándose a construir explicaciones de orden constitucional, que resultan como mínimo fuera de lugar.

Como ya he dicho, la sentencia señala expresamente que al no recogerse adecuadamente la causa del despido en la carta entregada a la trabajadora, el despido se debe declarar improcedente por no acreditarse la concurrencia de la causa alegada. Pero es que, dicho esto, el señor juez nos dice que aunque hubiera quedado acreditada la causa en la carta, también el despido debería ser declarado improcedente. Para ello, la sentencia, apoyándose en el voto particular de una sentencia del TS (e ignorando la propia sentencia), se encarga primero de negar el sentido literal y de fondo de las últimas reformas del art.52 del Estatuto de los Trabajadores (ET), de contraponer los derechos constitucionales de libertad de empresa y del trabajo y de declarar (o reiterar) la improcedencia en base a que no se pueden admitir los despidos derivados de los cambios tecnológicos porque eso supondría admitir que muchos trabajadores podrían perder su empleo (!!). O sea, porque no le gusta afrontar la realidad que el caso le plantea, que no es otra que, según la ley vigente, está justificado el despido que se deriva de causas técnicas. O lo que es lo mismo, viene a vaciar de contenido el art. 52 (y unos cuantos más) del ET, en base a unas elevadas razones (¿científicas, doctrinales, de equilibrio jurídico o de tertulia?) y sin plantear la inconstitucionalidad de los preceptos así cuestionados .

En el camino, al juez se le desliza su manera de pensar sobre los despidos objetivos -a los que califica de extraordinarios- y justifica que hay que dictar la improcedencia porque eso supone una mayor indemnización para el trabajador. A última hora, parece que todo es una cuestión de precio y su señoría acepta el despido, siempre que sea más caro para la empresa y deja el supuesto mandato de protección del empleo para mejor ocasión. Hasta ahí la sentencia.

El debate. La sentencia choca contra una realidad con la que nos toca vivir desde hace tiempo. Día a día se destruyen miles de puestos de trabajo por la incorporación de la tecnología y hay sectores que hemos visto cambiar en muy pocos años (¿nos acordamos de cómo eran las agencias de viaje, cuantas había y que empleo suponían, o de cuando solo comprábamos en tiendas físicas, limitados por horarios y por la carga de la compra, o de cómo se fabricaban los coches?). El debate, en el que se plantea hasta “el fin del trabajo” y que incluye la propuesta de que los robots coticen para salvar la seguridad social -precisamente porque están sustituyendo a trabajadores-, sobre la influencia de los cambios tecnológicos en el mercado de trabajo ya está iniciado desde hace más de cien años y la gran cuestión es si el saldo final entre generación y destrucción de empleo será finalmente favorable a la creación de nuevos puestos de trabajo (como ha venido ocurriendo en las anteriores revoluciones industriales) o no.

Una parte de este debate es la de la regulación y gestión del mercado de trabajo por parte de los legisladores y poderes públicos. La ley no puede contemplar como excepcional y esporádico el cambio tecnológico, porque es ya el día a día en la vida de las empresas (muchas de ellas desaparecen y otras se crean por ello) y de los trabajadores (muchos pierden y/o encuentran empleo también por ello). Si la norma legal no brinda soluciones rápidas, razonables y equilibradas que contemplen todos los intereses en juego, simplemente será desbordada por la realidad y el coste será muy alto en términos de creación de nuevos puestos de trabajo. La tecnología y el conocimiento como principal factor de producción caracterizan estos tiempos y brindan una gran oportunidad a las sociedades que apuesten por trabajadores formados y abiertos al cambio y por empresas flexibles e innovadoras capaces de crecer y aportar riqueza.

Hace tiempo que es una obviedad que ir contra la digitalización y robotización de las empresas supone no solo negar la evidencia sino pecar de iluso. La competitividad se centra, cada vez más, en economías colaborativas, en nuevas metodologías organizativas y en la colaboración de los empleados con robots en procesos de trabajo de cada vez mayor valor añadido (al principio, como pasó en la industrialización inicial, para superar los condicionantes de la fuerza física y la fatiga y, cada vez más, para incorporar la Inteligencia Artificial -IA-). Los seres humanos, que hemos evolucionado por nuestra capacidad de adaptación, tenemos que seguir adaptándonos a este nuevo ecosistema digital y robotizado. Encerrarnos en una visión proteccionista nos lleva a una concepción maligna de la robótica y como todo en la vida, hay que ser consciente que la actitud (o el prejuicio) influye en nuestra conducta humana (si es malo seguro que harán el mal)

El principal eje de reflexión para producir una adaptación inteligente a la nueva realidad pasa por la humanización de la tecnología. No se trata de enfrentar lo humano a los robots (que son una obra humana…al menos, por ahora), sino de como generar una relación de personas-robots que facilite el trabajo humano. Si creamos una visión negativista de los robots nos encontramos en una versión de lucha de clases entre obreros y robots (en una versión actualizada del ludismo). Hay que pensar que un trabajo con robots puede ser más humano, porque disponemos de mayor capacidad de autonomía, conciliación e inteligencia.

Además de cambiar nuestra actitud negativa hacia los robots e incidir en la humanización de la tecnología tenemos que aceptar el aprendizaje continuo como valor profesional. La tecnología incide en estar todo el día actualizado e impide un anquilosamiento en hacer lo mismo. Hay que evitar ser un obsoleto digital para estar mejor preparado en la forma de colaboración con tu robot (que es más una herramienta que un compañero, al menos hasta hoy). Actitud, humanización y formación continua como llaves del empleo de hoy y de mañana. Huir del empleo que se base en labores repetitivas y con trabajadores de muy baja cualificación es más efectivo que centrarnos en saber si la indemnización por despido será más o menos alta.

Pilar Sánchez-Bleda, Socia de Auren Abogados; Juan Chozas, Of counsel Auren Abogados y Javier Cantera, Presidente de Auren-Blc

¿Tienen los abogados y los médicos la obligación de cumplir con la normativa sobre protección de datos?

Determinados medios de comunicación han publicado algún artículo en el que se afirmaba que los abogados y los médicos estamos exentos de cumplir con las garantías que la normativa de protección de datos exige a otros colectivos. Como lo oyen. Se basaban -de forma vaga y equivocada- en esta publicación de la Agencia Española de Protección de Datos (AEPD).

Como dicha comunicación no tiene nada que ver con lo que apuntaban esos artículos, y como la desinformación en materia de protección de datos puede ser peligrosa, he creído oportuno aclarar los conceptos erróneos.

El primero de ellos es el más importante: no hay ninguna exención que haga que abogados y médicos estemos libres de cumplir con las obligaciones en materia de protección de datos.

Así de simple. Igual que el resto de responsables de tratamiento tenemos que asegurarnos de que el nuestro sea leal, transparente, exacto, necesitamos base legitimadora, debemos respetar los derechos de los interesados, hemos de contar con un registro de las actividades del tratamiento cuando sea obligatorio, tenemos que aplicar los principios de minimización de datos y de limitación del plazo de tratamiento, etcétera.

Lo que dice la AEPD es una cosa muy diferente. Nos explica que, dado que no todos los tratamientos son iguales (comparemos, por ejemplo, los tratamientos que haga Google con los que haga una pequeña zapatería con listado de clientes), no se debería exigir lo mismo a todos. Y el RGPD ya preveía la posibilidad de que las autoridades de control -entre ellas, la AEPD- pudieran publicar una lista de tratamientos concretos que no requieran una evaluación de impacto previa (EIPD). Lo que hace la AEPD es, precisamente, publicar esa lista.

En uno de los apartados de esa lista dice, literalmente:

“Tratamientos realizados en el ejercicio de su labor profesional por trabajadores autónomos que ejerzan de forma individual, en particular médicos, profesionales de la salud o abogados, sin perjuicio de que pueda requerirse cuando el tratamiento que lleven a cabo cumpla, de forma significativa, con dos o más criterios establecidos en la lista de tratamientos de datos que requieran evaluación de impacto relativa a protección de datos publicada por la AEPD” (resaltados nuestros).

¿Quiere este párrafo decir que médicos y abogados están exentos de cumplir con el RGPD o la LOPD?. En absoluto.

Vayamos paso a paso. Las personas que sigan este blog con asiduidad sabrán de sobras qué es una EIPD y por qué es importante conocer este concepto. En cualquier caso ya vemos que la AEPD no exime a médicos y abogados de cumplir con toda la normativa de protección de datos. Al contrario, lo único que dice es que no hace falta que lleven a cabo EIPD.

Pero esta exención no es ni universal ni absoluta.

No es universal porque no se aplica a todos los médicos y abogados. En realidad solo se aplica a aquellos que ejerzan de forma individual (por ejemplo, no se aplicaría a médicos que formaran parte de la plantilla de un hospital).

Y no es absoluta porque, en su parte final, el párrafo nos viene a decir que si el tratamiento es especialmente sensible (por cumplir de forma significativa con dos o más de las condiciones que ya citó en su día la propia AEPD) entonces vuelve a ser obligatorio hacer la EIPD. Aunque se trate de un médico o abogado que ejerza de forma individual.

Además, como puede leerse, la exención de la AEPD se aplica a cualquier trabajador autónomo que ejerza de forma individual (la mención a médicos y abogados es a título de ejemplo clarificador). De modo que no se trata de una suerte deprivilegio clasista” que solo favorece a médicos y abogados, como daban a entender los citados artículos.

Por todo ello, descuiden. Médicos y abogados tenemos que cumplir la normativa de protección de datos como cualquier otro responsable.

Fabián Plaza Miranda, Auren Abogados y asesores Fiscales

El deber de información en aplicaciones móviles

Hoy en día nadie puede negar la omnipresencia de los dispositivos móviles y la importancia del mercado digital de aplicaciones para estos soportes. Tampoco es desdeñable la cantidad de datos que se trata a través de las mismas, y este fue uno de los motivos que impulsaron la redacción del ya de sobras conocido RGPD.

Sin embargo, no todos los responsables de tratamientos realizados a través de aplicaciones móviles son conscientes de sus obligaciones en este campo. De hecho, es demasiado frecuente encontrarse con incumplimientos legales que puede ser de mayor o menor calado.

Uno de los campos en los que es más habitual cometer estas infracciones es el de la información que se proporciona a los usuarios.

Como ya es bien sabido, a la hora de tratar datos de carácter personal tenemos la obligación de ofrecer al interesado una serie de datos sobre lo que haremos con ellos, con qué finalidad o de qué manera.

Con la intención de ofrecer unas guías de comportamiento a los responsables, la Agencia Española de Protección de Datos ha publicado esta nota técnica en la que desgrana distintas obligaciones de información y de responsabilidad proactiva para el desarrollo de aplicaciones móviles.

He aquí algunos de los aspectos más significativos de la nota:

La política de privacidad de laappno solo debe estar en la propia aplicación, sino también en la tienda de aplicaciones. La idea subyacente es que el usuario no tenga que instalar la “app” para leer la información relativa al tratamiento de sus datos de carácter personal.

– Obviamente, no puede haber discrepancias entre la política de privacidad que haya en la tienda de aplicaciones y la que nos muestre la propiaapp“.

Acceder a la política de privacidad debe ser algo sencillo. Se recomienda que para llegar hasta ella solo haga falta un máximo de dos clics.

– Como en cualquier otro tratamiento, el lenguaje usado ha de ser accesible. En el caso de “apps” que vayan dirigidas a niños (juegos, etc.), hay que tener en cuenta que el lenguaje deberá ser comprensible para esos menores que son los destinatarios finales de la aplicación.

La política de privacidad no puede ser un texto inacabable lleno de jerga jurídica. Existe una obligación de evitar la llamada “fatiga informativa. Por ejemplo, deberá mencionarse elementos que afecten en concreto a la aplicación de que se trate; no sería buena práctica incluir aquí datos sobre todas las aplicaciones del mismo responsable.

– Hay que indicar en la política de privacidad los permisos que se va a solicitar en el dispositivo móvil. No solo eso, sino que hay que detallar el motivo por el que se solicitan, la finalidad de los mismos y hasta dónde llegan. La Agencia aclara que, por ejemplo, debemos especificar si los datos se tratan solo en primer plano o si se tratan también en segundo plano.

La información sobre los tratamientos realizados debe incluir también menciones a si dichos tratamientos serán realizados directamente, o si se harán a través de bibliotecas de terceros.

– Como en cualquier otro tratamiento -aunque aquí deviene un poco más importante-, el consentimiento prestado debe ser libre, ello implica que no puede condicionarse el uso de la “app” a la prestación de un consentimiento para un tratamiento que no sea necesario para el uso de dicha aplicación (por ejemplo, un videojuego que solo funciona si el interesado accede a la cesión de sus datos a terceros que no tienen nada que ver con el videojuego).

Estos son solo algunos ejemplos. En general la AEPD nos recuerda que en el tratamiento de “apps” debemos cumplir los mismos principios y obligaciones que con cualquier otro tratamiento.

Si necesitan más información, pónganse en contacto con nosotros y estaremos encantados de ayudarles.

Fabián Plaza Miranda, Auren Abogados y asesores Fiscales

La AEPD avisa: desconfíe de los presupuestos bajos

A la hora de adaptarse a la normativa de protección de datos, es habitual dar prioridad a la reducción de costes antes que al cumplimiento efectivo y fiel a dicha normativa. En otras palabras, se suele tender a ofertas de adaptación que resulten lo más baratas posibles, sin tener en cuenta si dichas ofertas son o no fiables desde el punto de vista del RGPD y de la LOPD-GDD.

Pues bien, recientemente la Agencia Española de Protección de Datos (AEPD) ha emitido una comunicación en la que resuelve las dudas al respecto. Y las resuelve de forma tajante: las empresas deben desconfiar de ofertas sospechosamente baratas.

En su comunicación (cuyo texto puede leerse aquí), la AEPD dice que muchas veces estas ofertas están vinculadas a prácticas fiscales fraudulentas, que a la postre pueden acabar con sanciones en el orden tributario para quienes las lleven a cabo. Todo ello por no mencionar, claro está, las sanciones que quepa imponer por no estar cumpliendo en realidad con las exigencias legales en materia de protección de datos.

La comunicación va acompañada de un documento informativo (descargable aquí) en el que se detalla en qué consiste este tipo de prácticas y cómo identificarlas. Y creemos oportuno traer a colación uno de sus párrafos:

“Un servicio de adecuación a una normativa específica requiere, para obtener un resultado correcto, un estudio individual pormenorizado de la entidad, los tipos de tratamientos que se realizan, los sistemas informáticos y los sistemas de gestión documental, además de un programa formativo para los empleados de la entidad” (todos los resaltados son nuestros).

En otras palabras, lo que viene a decir la AEPD es que realizar una adaptación fiable a la normativa de protección de datos no es algo que se pueda hacer en cinco minutos o con documentos pregenerados. Hará falta que personal cualificado estudie cómo se realiza cada tratamiento de datos en todas sus ramificaciones técnicas y organizativas, para garantizar que las mismas sean legalmente aceptables.

Es decir, algo que no se puede llevar a cabo a precios irrisorios. Porque hacer un buen trabajo cuesta más que eso.

Pero no es la única guía que nos ofrece la AEPD para determinar si la oferta que nos han pasado ofrece una mínima credibilidad. De hecho, en su documento la Agencia nos da otra pista para identificar prácticas fraudulentas:

Cumplimiento de forma, pero no de fondo.

Se oferta la “Adecuación a la normativa de protección de datos” pero, en algunos casos, la pretendida adecuación puede estar realizándose entregando al cliente unos formularios ya cumplimentados con los que supuestamente pueda “cumplir el expediente”.

Hay que subrayar que el cumplimiento del RGPD y de la LOPDPGDD no consiste en un cumplimiento meramente formal, sino que implica revisar, diseñar y aplicar los principios de protección de datos a las circunstancias específicas de cada empresa. El incumplimiento de la normativa de protección de datos por parte del responsable o del encargado del tratamiento constituye una infracción, por la cual la AEPD podría instruir el oportuno procedimiento sancionador y llegar a imponer una sanción.

Por lo tanto, también deberían desconfiar de las ofertas que se basen únicamente en entregar documentación -como si eso fuera suficiente-, y no en el hecho de que cada organización tiene una estructura de tratamiento de datos diferente, que debería ser estudiada de forma diferenciada y única.

También nos dice la AEPD que debemos considerar sospechosas las ofertas que pretendan una supuesta “adaptación” al RGPD haciendo uso de los fondos de empresa destinados a la formación del personal. Ello no solo no sería una adaptación suficiente a los requisitos de la normativa aplicable, sino que además -como se ha adelantado- podría ser sancionable en el orden tributario. Con lo que el supuesto “ahorro” en realidad se convertiría en una o varias sanciones.

Desde AUREN solo podemos pedirle que use el sentido común. Si una teórica adaptación tiene un precio demasiado bueno para ser cierto… quizá es porque no sea cierto, sino que se trate de una oferta basada en mentiras. O directamente en graves vulneraciones legales.

Para cualquier duda que tenga(n) sobre esta materia, como siempre, le(s) ofrecemos contactar con nosotros. Estaremos encantados de asesorarle.

Fabián Plaza Miranda, Auren Abogados y asesores Fiscales

¿Por qué necesitamos el RGPD?

Hablando recientemente con un conocido me expresó su desconfianza hacia el actual Reglamento General de Protección de Datos (en adelante RGPD) y las demás normas de protección de datos. “¿De qué sirven esas leyes?”, me preguntaba. Total, en realidad nuestros datos están desprotegidos ante las grandes empresas.

Le ofrecí respuesta a todas sus dudas, hasta el punto que acabó cambiando de postura. Pero ese diálogo me hizo ver que las ventajas de la legislación de protección de datos quizá no sean evidentes para todo el mundo. Así que intentaré resumir lo que creo que son los elementos esenciales.

Armonización de legislaciones

Una de las mayores ventajas del RGPD es que se trata de un Reglamento europeo; esto es, nos encontramos ante una norma que se aplica de manera uniforme en toda la UE. Ello facilita que haya criterios de trabajo unánimes, cosa que supone una importante herramienta a la hora de actuar contra grandes empresas que se mueven en diferentes jurisdicciones.

Una regulación más exhaustiva del consentimiento

El RGPD regula de forma más clara cuándo y de qué maneras puede un interesado prestar su consentimiento para tratar datos personales que le afecten. Ello permite evitar abusos y ambigüedades sobre si se ofreció o no ese consentimiento.

Además, el RGPD exige que el consentimiento se solicite empleando un lenguaje claro y sencillo. Si la solicitud de consentimiento viene en una declaración escrita (por ejemplo, un largo contrato o los términos de servicio de una página web), esa solicitud debe presentarse “de tal forma que se distinga claramente de los demás asuntos”.

En otras palabras, no es admisible usar jerga jurídica farragosa o disimular la solicitud del consentimiento entre un montón de cláusulas sin relación. El interesado debe tener claro a qué está consintiendo.

Por si todo lo anterior falla, el interesado también puede retirar su consentimiento en cualquier momento. Y no se puede poner trabas burocráticas a este derecho, porque el RGPD dice literalmente que será tan fácil retirar el consentimiento como darlo. De modo que si ofrecimos nuestro consentimiento con un simple mensaje electrónico, ese mismo sistema bastará para retirarlo.

Transparencia

Los responsables del tratamiento tienen la obligación de contestar a cualquier solicitud que les hagan los interesados respecto a los datos que están tratando. Así podemos saber si están usando nuestros datos, para qué, durante cuánto tiempo, de dónde han sacado los datos, a quién se los van a comunicar,…

Esta obligación tiene un plazo máximo de cumplimiento: en general los responsables deben responder en un mes (en determinadas circunstancias puede prorrogarse dos meses más). Y debe darse siempre respuesta expresa; no se admite el silencio.

Como parte de esta obligación de transparencia también hay que ofrecer más información a los interesados a la hora de tratar sus datos. Por ejemplo -como veremos más abajo-, el plazo de conservación de esos datos.

Protección de los derechos de los interesados

El RGPD regula de forma más detallada los derechos que nos asisten. Esto nos ofrece más control sobre los datos que están gestionando los responsables, llegando al punto de que podemos exigir muchas cosas: que dejen de tratar los datos, que los borren, que dejen de usarlos para mercadotecnia y otras finalidades.

Esta regulación también incluye nuevos derechos que no existían antes. Por ejemplo, el derecho de portabilidad nos permite exigir a un responsable que comunique nuestros datos a otro responsable, sin que nosotros tengamos que hacer de intermediarios (cosa muy útil, por ejemplo, cuando alguien desea cambiar de empresa de telefonía). Y los derechos relativos a decisiones individuales automatizadas nos protegen de abusos en caso de que se use algoritmos informáticos para analizar nuestros datos y tomar decisiones automáticas que puedan afectarnos.

Protección de datos desde el diseño y por defecto

El RGPD también obliga a los responsables a tener el máximo cuidado con los datos. Hasta tal punto llega esa exigencia, que se convierte en un principio básico del tratamiento: la protección desde el diseño y por defecto.

Esto significa que, cuando un responsable trate datos, lo primero en lo que tiene que pensar es en cómo protegerlos. Y que esa protección debe funcionar sin que el interesado tenga que hacer nada o solicitarla.

El principio de minimización de datos

La normativa, además, exige a los responsables que solo traten los datos imprescindibles para los fines buscados. Si, por ejemplo, la finalidad del tratamiento es mandarnos una newsletter por correo electrónico, está claro que el único dato que necesitan es nuestra dirección. Por tanto, un responsable no podría pedirnos datos ajenos a esta finalidad (por ejemplo, una foto). Con esta medida se impide que los responsables nos pidan un montón de datos bajo cualquier excusa, cosa que a la postre sirve para protegernos.

La limitación del plazo de conservación

Esta obligación es otro aspecto muy bien pensado del RGPD. Significa que un responsable no puede conservar nuestros datos tanto tiempo como quiera o “le dé la gana” (quizá con la intención de sacar beneficio económico de ellos), sino que debe darles una especie de fecha de caducidad. Pasada esa fecha, los datos deben ser en principio suprimidos.

Recordemos que una de las informaciones que los responsables deben darnos -incluso sin necesidad de preguntarlo- es cuál será el plazo de conservación de los datos. Si un responsable no ofrece esa información, ya está incumpliendo la normativa vigente y se enfrenta a sanciones. Así que esta es una obligación que no se suele incumplir, porque sería una irregularidad bastante fácil de detectar.

El principio de responsabilidad proactiva

En caso de que haya algún problema entre un interesado y el responsable que trataba sus datos, quien tiene que probar que hizo las cosas bien es el responsable, y no al revés.

Esta carga de la prueba es una garantía más a nuestro favor, ya que cualquier responsable que quiera eludir sanciones tendrá que ser capaz de acreditar el cumplimiento del RGPD. Concretamente, debe poder demostrar que:

  • El tratamiento fue lícito, leal y transparente.
  • Los datos fueron recogidos por una finalidad determinada, explícita y legítima.
  • Se ha respetado la minimización de datos.
  • Los datos son exactos.
  • Se ha respetado la limitación del plazo de conservación.
  • Y se ha ofrecido una seguridad adecuada de los datos.

Si el responsable no es capaz de demostrar todo esto, las consecuencias jurídicas para él serán graves.

Regulación de la corresponsabilidad

El RGPD tampoco permite que los responsables se amparen en complejas figuras societarias o entramados contractuales para eludir su responsabilidad. De hecho, contiene una detallada regulación de la corresponsabilidad en el tratamiento de datos, incluyendo la posibilidad de que el interesado pueda reclamar contra cualquiera de los responsables. Además, los corresponsables del tratamiento tienen obligación de suscribir un documento en el que determinen sus respectivas responsabilidades, cosa que se hace con el objetivo de evitar lagunas que puedan perjudicar a los interesados.

Notificación de brechas de seguridad

Con el RGPD también nace la obligación de comunicar las violaciones de seguridad de los datos que puedan afectar a los derechos y libertades de los interesados. De este modo se acaba con la práctica de “esconder debajo de la alfombra” esas brechas (que se ocultaban para no perjudicar la reputación de la empresa).

Además, el Reglamento no permite demora o dejadez en la comunicación. Esta debe producirse en un plazo de tiempo muy reducido. Concretamente, en el plazo máximo de 72 horas desde que se tuvo conocimiento de la brecha.

Sanciones mucho más severas

Este es un elemento del RGPD del que ya se ha hablado largo y tendido. Precisamente para poder hacer de contrapeso contra las grandes empresas, el actual sistema de sanciones pueden llegar, en los casos más graves, a cantidades tan importantes que desincentivan el incumplimiento de conjunto de normas.

Piénsese que en circunstancias normales se puede llegar a imponer una multa de hasta 10.000.000 € o el 2 % del volumen de negocio anual global de la empresa. Cosa que puede suponer un importante varapalo incluso para los gigantes tecnológicos mundiales. Si a eso le añadimos que las infracciones más serias pueden ver duplicada la sanción (hasta 20.000.000 € o el 4 % del citado volumen de negocio), quedará claro que estas sanciones son un riesgo que nadie quiere correr.

Como es natural, existen muchas más obligaciones y garantías (la exigencia de evaluaciones de impacto en algunos casos, una mayor regulación de los encargos de tratamiento, la gestión de las transferencias internacionales de datos, la figura del Delegado de Protección de Datos,…). Pero todo lo que se ha dicho debería bastar para darnos cuenta de que el RGPD no solo es muy necesario, sino que nos ayuda de maneras muy contundentes… aunque quizá a simple vista no las percibamos.

Pero lo más importante es que estas garantías existen, y no solo sobre el papel, y, además, hemos de ser conscientes de que la gente cada vez conoce más sus derechos y cómo ejercitarlos. Las propias estadísticas oficiales de la AEPD nos hablan de un significativo repunte en las reclamaciones presentadas desde que empezó a aplicarse el RGPD (pasándose de una media anual de menos de 30 denuncias al día a otra de más de 40).

Precisamente por eso las empresas se esfuerzan por cumplir con todas sus obligaciones, porque saben que las denuncias de los particulares son un riesgo real y tangible. Así que nuestros datos están más protegidos gracias al RGPD.

En cualquier caso, si tiene dudas en relación con su organización, y la misma todavía no está adaptada a la normativa vigente, puede ponerse en contacto con nosotros y le podremos ayudar a mejorar su seguridad.

Fabián Plaza Miranda, Auren Abogados y Asesores Fiscales