Consultorio jurídico, por Ejaso ETL Global

Pregunta: Llevo unos meses preocupado con las nuevas regulaciones de protección de datos, porque no sé qué tengo que hacer exactamente para cumplir en nuestra estación de servicio con esas normas. No tenemos página web ni tienda online y, aun así, me indican que tengo que ponerme al día en esta materia. ¿Me pueden dar algunas pautas?

Respuesta: Efectivamente, ha sido muy relevante la trascendencia mediática, en fechas recientes, de todo lo relacionado con la protección de datos de carácter personal, como consecuencia lógica de la plena aplicabilidad en España del Reglamento comunitario de protección de datos (RGPD) que es de obligado cumplimiento en nuestro país desde el pasado 25 de mayo de 2018. En la actualidad, en España se está tramitando además el proyecto de Ley Orgánica de Protección de Datos de Carácter Personal, que, cuando se apruebe, también podrá tener relevancia para su consulta.

El RGPD regula el “tratamiento” de todo tipo de “datos personales”. Deben considerarse como datos personales toda la información relacionada con una persona física que se puede utilizar para identificarla de forma directa o indirecta (por ejemplo, el nombre y apellidos, una foto, dirección de correo electrónico, número de DNI, datos bancarios…). También existen datos personales de categorías especiales, que el RGPD diferencia por su especial sensibilidad (racial, religiosa, política, sobre la salud o la orientación sexual, por ejemplo) y que requieren de una serie de medidas aún más exigentes para su tratamiento. Sin embargo, pensando en el desarrollo normal de un negocio como el de una estación de servicio, no se hará ahora mención a los mismos, más allá de esa advertencia.

Con respecto al tratamiento de estos datos, el RGPD lo define como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.

Así, con carácter general, son muchos los datos y las operaciones, incluso simplemente de registro y organización, que pueden verse afectados por las disposiciones del RGPD en el día a día de la vida de cualquier negocio, con independencia de si se dispone de página web o tienda online. Basta pensar en que un cliente deje cualquier dato personal para comprar un producto o servicio, en la recogida de datos para la oferta de cualquier promoción o campaña interna concreta, la contratación de servicios con terceros -por ejemplo, para elaborar las nóminas del personal-, la recepción de un currículum o la grabación en el recinto del negocio. Todas estas actividades implican un tratamiento de datos personales y están sometidas a las regulaciones del RGPD.

Uno de los principios fundamentales del nuevo RGPD es el de la transparencia y del consentimiento libre, inequívoco e informado de la persona para que sus datos sean tratados para uno o varios fines específicos.

Este consentimiento debe realizarse “mediante una declaración o una clara acción afirmativa” de la persona; siguiendo el ejemplo de la promoción antes referido, mediante la inclusión de una casilla que marcar en el formulario al solicitar esos datos, en el que se informa por parte del responsable del tratamiento, de la finalidad para la que se vayan a usar los datos: si se van a ceder a terceros y el medio por el que se pueden ejercer los derechos de acceso, rectificación, cancelación y oposición a los datos (los llamados derechos ARCO).

El responsable del tratamiento (que es distinto a la figura del “encargado del tratamiento”, o sea, la persona que trata datos por cuenta del responsable mediante la existencia de un contrato a tal fin; por ejemplo, la empresa encargada de elaborar las nóminas), habrá de tratar los datos ajustándose a las previsiones y obligaciones del RGPD, adoptando para ello de forma proactiva medidas técnicas y organizativas para garantizar un nivel de seguridad adecuado. Es necesario, por tanto, realizar un análisis de riesgos y adoptar medidas de seguridad suficientes. También es obligatorio notificar brechas de seguridad en un plazo de 72 horas a la Agencia Española de Protección de Datos (Aepd).

No obstante, no todas las medidas contempladas en el RGPD son de obligado cumplimiento en la totalidad de las empresas. Así, a modo de ejemplo, la figura del delegado de protección de datos se prevé como obligatorio por el RGPD tan solo para determinados supuestos muy específicos, al igual que la obligación de mantener un registro de actividades de tratamiento. Es por ello que las obligaciones concretas que de estas regulaciones derivan para su empresa habrán de determinarse tras un análisis individualizado y exhaustivo de su actividad.

Por último, aunque siempre con la cautela correspondiente y sin ánimo de generar una excesiva intranquilidad, tampoco puede obviarse el régimen sancionador que prevé el RGPD, en el que llegan a contemplase sanciones de hasta 10.000.000 de euros o hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior o de hasta 20.000.000 euros o hasta el 4% del volumen de negocio, según la infracción de que pudiera tratarse.