¿Qué hacer para cumplir el Reglamento General de Protección de Datos?
Desde el pasado 25 de mayo de 2018 es de aplicación directa en todos los Estados de la Unión Europea el Reglamento General de Protección de Datos (en adelante, RGPD), la nueva normativa sobre protección de datos personales que deroga la Directiva 95/46/CE.
Así, todos los que tratamos datos personales como responsables o encargados debemos cumplir las exigencias que establece esta nueva norma. Cabe recordar que seremos responsable si somos la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento; y seremos encargado si somos la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento, es decir, para prestarle un servicio.
Por tanto, todos los abogados debemos adaptar los tratamientos de datos personales que realizamos en nuestros despachos a lo establecido en el RGPD. Ejemplos de estos tratamientos serían los relativos a nuestros clientes, contactos de nuestro sitio web o redes sociales, otros profesionales con los que colaboramos, empleados, grabaciones de videovigilancia, listados de posibles clientes, receptores de nuestra newsletter, etcétera.
Si ejercemos como profesionales libres, nosotros, como personas físicas, seremos los responsables o encargados del tratamiento, y si ejercemos a través de una persona jurídica, esta será la responsable o encargada. Y, ¿cuándo seremos responsables o encargados? Veamos dos ejemplos que nos servirán de aclaración. Si tengo un cliente persona física, y este me aporta sus datos personales para la llevanza del asunto, yo seré responsable de ese tratamiento de datos. No obstante, si mi cliente es una persona jurídica, y me traslada los datos de sus trabajadores para prestarle asesoramiento laboral, yo seré un encargado del tratamiento, ya que trataré los datos personales de esos trabajadores solo para prestar un servicio al responsable, la persona jurídica que me contrató.
Una vez aclarado el papel que jugamos dentro de esta normativa, detallamos a continuación que pasos seguir para adaptarnos al RGPD.
Lo primero que debemos hacer es localizar todos los tratamientos de datos personales que realizamos. Es decir, saber los diferentes tratamientos que llevamos a cabo en nuestra actividad profesional, y averiguar el flujo de toda la información desde que captamos el dato hasta que lo eliminamos.
Una vez que tengamos claro lo anterior, debemos crear el registro de actividades de tratamiento, que será un documento de uso interno que contenga la siguiente información:
• El nombre y los datos de contacto del responsable, y en su caso, del delegado de protección de datos.
• Los fines del tratamiento.
• La descripción de las categorías de interesados.
• La descripción de las categorías de datos personales, las categorías de destinatarios a quienes se comunicaron o comunicarán los datos personales, incluidos los destinatarios en terceros países u organizaciones internacionales.
• Las transferencias de datos personales a un tercer país o una organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en su caso, la documentación de garantías adecuadas.
• Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos.
• Cuando sea posible, una descripción general de las medidas técnicas y organizativas de seguridad.
Tras ello, debemos analizar y documentar el cumplimiento del principio de licitud, es decir, analizar qué base jurídica legitima cada uno de nuestros tratamientos. Esta base legitimadora ha de ser alguna de las siguientes:
• El consentimiento inequívoco del interesado.
• Una relación contractual con el interesado.
• El cumplimiento de una obligación legal.
• Proteger intereses vitales.
• El ejercicio de poderes públicos.
• Un interés legítimo para su tratamiento que prevalezca sobre los derechos de los interesados.
Igualmente, debemos analizar y documentar el cumplimiento de los siguientes principios:
• Principio de limitación de la finalidad: que los datos sean recogidos con fines determinados, explícitos y legítimos, y que no sean tratados ulteriormente de manera incompatible con dichos fines.
• Principio de minimización de datos: que los datos sean adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que sean tratados.
• Principio de exactitud: que los datos sean exactos y, si fuera necesario, actualizados, y que se adopten las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.
• Principio de limitación del plazo de conservación: que los datos no sean mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
También debemos analizar y documentar el principio de transparencia, por el que debemos modificar todas las cláusulas mediante las que informamos a los interesados en la captación de sus datos personales, tanto en hojas de encargo, presupuestos, formularios, políticas de privacidad, como en cualquier otro tipo de documento en papel u online que recabe datos personales.
Estas cláusulas deben contener la siguiente información:
• La identidad y los datos de contacto del responsable.
• En su caso, los datos de contacto del delegado de protección de datos.
• Los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento.
• En su caso, los intereses legítimos del responsable o de un tercero.
• En su caso, los destinatarios o las categorías de destinatarios de los datos personales.
• En su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en su caso referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.
• El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
• La existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos.
• En su caso, la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
• El derecho a presentar una reclamación ante una autoridad de control.
• Si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos.
• La existencia de decisiones automatizas, incluida la elaboración de perfiles, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Un ejemplo de esta cláusula informativa sería el siguiente:
“Abogados Reunidos, S.L., tratará la información que nos facilite con el fin de prestar los servicios descritos en esta hoja de encargo en base a la ejecución de este contrato. Los datos no se comunicarán a terceros salvo en los casos en que exista una obligación legal, y se conservarán durante el tiempo necesario para cumplir con este fin y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Puede ejercitar sus derechos, a presentar una reclamación ante una autoridad de control, a retirar el consentimiento, de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan, ante Abogados Reunidos, c/ Sierpes, 1, C.P. 41001, Sevilla, o en info@abogadosreunidos.com.”
De la misma forma debemos modificar y firmar todos los contratos entre responsables y encargados del tratamiento, ya seamos nosotros uno u otro, pues el RGPD exige que se incluya nueva información en los mismos.
Un ejemplo de clausula a incorporar en la hoja de encargo o contrato de prestación de servicios de un abogado como encargado sería la siguiente:
“1. Abogados Reunidos tratará los datos personales responsabilidad del que sean imprescindibles para cumplir la prestación de servicios objeto de este contrato, durante la duración de este, y tratará los datos personales únicamente siguiendo instrucciones documentadas del Cliente, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al arrendatario; en tal caso, este informará al Cliente de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público. Abogados Reunidos informará inmediatamente al Cliente si, en su opinión, una instrucción infringe el Reglamento General de Protección de Datos u otras disposiciones en materia de protección de datos de la Unión o de los Estados miembros.
2. Abogados Reunidos tomará todas las medidas de seguridad del tratamiento necesarias de conformidad con el Reglamento General de Protección de Datos, y declara que aplica medidas técnicas y organizativas apropiadas, de manera que el tratamiento de datos personales que conlleva la prestación de servicios será conforme con los requisitos del Reglamento General de Protección de Datos, garantizando la protección de los derechos de los interesados. Abogados Reunidos ayudará al Cliente a garantizar el cumplimiento de las obligaciones sobre seguridad de los datos personales establecidas en Reglamento General de Protección de Datos, teniendo en cuenta la naturaleza del tratamiento y la información a disposición de Abogados Reunidos. Abogados Reunidos asistirá al Cliente, teniendo cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados establecidos en el Reglamento General de Protección de Datos.
3. Abogados Reunidos garantiza que las personas autorizadas para tratar datos personales se han comprometido a respetar la confidencialidad o están sujetas a una obligación de confidencialidad de naturaleza estatutaria.
4. Abogados Reunidos no recurrirá a otro encargado sin la autorización previa por escrito, específica o general, del Cliente. En este último caso, informará al Cliente de cualquier cambio previsto en la incorporación o sustitución de otros encargados, dando así al Cliente la oportunidad de oponerse a dichos cambios. Cuando Abogados Reunidos recurra a otro encargado para llevar a cabo determinadas actividades de tratamiento por cuenta del Cliente, se impondrán a este otro encargado, mediante contrato u otro acto jurídico establecido con arreglo al Derecho de la Unión o de los Estados miembros, las mismas obligaciones de protección de datos que las estipuladas en este contrato, en particular la prestación de garantías suficientes de aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con las disposiciones del Reglamento General de Protección de Datos. Si ese otro encargado incumple sus obligaciones de protección de datos, Abogados Reunidos seguirá siendo plenamente responsable ante el Cliente del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.
5. A elección del Cliente, Abogados Reunidos suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros.
6. Abogados Reunidos pondrá a disposición del Cliente toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en este punto, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del Cliente o de otro auditor autorizado por este.
7. Si Abogados Reunidos u otro encargado del tratamiento infringe el Reglamento General de Protección de Datos al determinar los fines y medios del tratamiento, será considerado responsable del tratamiento con respecto a dicho tratamiento.”
Igualmente, debemos asegurarnos y documentar que todos nuestros encargados del tratamiento, quienes nos prestan un servicio y acceden a los datos personales sobre los que somos responsables, cumplen el RGPD, pues de lo contrario tendríamos que contratar un nuevo prestador que sí pueda acreditar el cumplimiento de lo establecido por el RGPD. Es importante tener en cuenta que todos los clientes respecto de los cuales seamos encargados también deberán comprobar antes de contratarnos si cumplimos lo establecido por el RGPD.
Otra tarea, basada en el principio de integridad y confidencialidad, consiste en hacer una valoración de los riesgos documentada de todos los tratamientos que llevamos a cabo con el fin de poder determinar qué si las medidas técnicas y organizativas que estamos aplicando son adecuadas. En el caso de que comprobemos que las medidas de seguridad que tenemos establecidas no son adecuadas, debemos redefinir, adaptar, e implementar nuestras medidas de seguridad técnicas y organizativas, dejando constancia documental de todo el proceso.
Además, cuando vayamos a comenzar un tratamiento que entrañe un alto riesgo para los derechos y libertades de las personas físicas, debemos realizar, antes de comenzar el mismo, una evaluación de impacto que evalúe el origen, la naturaleza, la particularidad y la gravedad del riesgo.
Igualmente, debemos establecer y documentar un procedimiento que prevea como actuar ante posibles violaciones de seguridad, ya que puede existir la obligación de notificarlas en un plazo máximo de 72 horas a la Agencia Española de Protección de Datos, o incluso a los interesados a los que hagan referencia los datos personales que hayan sufrido la violación de seguridad.
Ante la posibilidad de que algún interesado ejerza alguno de los derechos que establece el RGPD, es conveniente establecer y documentar un procedimiento a seguir para dar respuesta a los derechos de los ciudadanos en tiempo y forma.
Es posible que debamos designar un delegado de protección de datos, que debe ser una persona con experiencia y conocimiento especializado en derecho de protección de datos. Esta designación será obligatoria en los siguientes casos:
• Cuando el tratamiento lo lleve a cabo una autoridad u organismo público.
• Cuando nuestra actividad principal como responsable o encargado consista en operaciones de tratamiento que, en razón de su naturaleza, alcance o fines, requiera una observación habitual y sistemática de interesados a gran escala.
• Cuando nuestra actividad principal como responsable o encargado consista en el tratamiento a gran escala de categorías especiales de datos personales o de datos relativos a condenas e infracciones penales.
Por último, en consonancia con la responsabilidad proactiva, no es suficiente el mero cumplimiento de todo lo indicado aquí, sino que estamos obligados a comprobar periódicamente, y documentarlo, que cumplimos con todo lo establecido por el RGPD, así como a corregir y adaptar permanentemente la forma en que tratamos los datos personales de los interesados.