El 25 de mayo entra en aplicación el nuevo Reglamento General de Protección de Datos europeo, que refuerza derechos como el del olvido o los de acceso, rectificación, cancelación o supresión, oposición, portabilidad y a limitación del tratamiento. Las administraciones públicas deben prepararse. Víctor Salgado es abogado especializado en derecho TIC y profesor en la Universidade da Coruña
27 abr 2018 . Actualizado a las 14:15 h.Víctor Salgado es socio-director de Pintos & Salgado Abogados y profesor de la UDC. Especializado en Derecho TIC, nos cuenta las repercusiones que tendrá el nuevo Reglamento General de Protección de Datos.
-¿Qué importancia tiene la seguridad y la confianza en el contexto de la Administración digital?
-Máxima, porque ya no digamos que tenemos dos mundos, uno analógico y otro digital, sino un único mundo dominado por la tecnología. Nuestra vida privada y nuestras comunicaciones están basadas en lo digital y como personas sujetos de derechos, como el derecho a la intimidad o la privacidad, tenemos que tener una confianza máxima y unas medidas de seguridad máximas para garantizar en nuestra vida diaria la protección de estos derechos.
-¿Qué ventajas supondrá para el ciudadano la entrada en vigor del nuevo Reglamento?
-Se van a ver reforzados notablemente los derechos que ya concedía la normativa anterior, y se aumentan otros nuevos. Es notorio el caso del derecho al olvido, del que ya se habló por una sentencia del TJE sobre Google en mayo del 2014, y luego sobre Facebook. Se reconoce ese derecho, igual que otros derechos clásicos como el de acceso, el de rectificación, el de cancelación o supresión, el de oposición y otros como el derecho a la portabilidad y a la limitación del tratamiento. Y obligará no solo a las empresas a nivel nacional o europeo, sino incluso a aquellos proveedores extranjeros como Google o Facebook. Con sanciones muy superiores a las que había, que pueden llegar hasta 10 o 20 millones de euros o el 2 o el 4 % del volumen de facturación.
-¿Puede explicar en qué consiste el derecho al olvido?
-Cualquier persona se podrá dirigir a un proveedor de Internet que utilice medios de búsqueda y solicitar la retirada de información, datos o referencias que puedan encontrarse (por ejemplo, tecleando nuestro nombre y apellidos) y sean perjudiciales. Independientemente del derecho que siempre hay de ir a la fuente original y solicitar la retirada de esos contenidos u opiniones. Antes a veces era muy difícil, por ejemplo cuando hablábamos de un medio de comunicación o de un boletín oficial; ahora podemos dirigirnos a ese buscador y pedir que se desindexe, de tal manera que si alguien nos quiere buscar ya no aparezca esa información que nos perjudica.
-¿Qué implica el RGPD para las administraciones públicas?
-Es una vuelta de tuerca importante, obliga a revisar todos sus procedimientos de protección de datos, así como las medidas de seguridad. Una gran novedad es la responsabilidad proactiva, algo así como si todos fuésemos mayores de edad. La norma anterior nos decía lo que teníamos que hacer en función de los datos que teníamos, había nivel básico, nivel medio y nivel alto. Ahora todo esto se flexibiliza pero obliga a las organizaciones no solo a justificar las medidas que se adoptan, sino tambien a poder probarlas en cada momento. Hay una gran excepción de la que se benefician las administraciones que es poder tratar nuestros datos sin necesidad de nuestro consentimiento en el ámbito de competencias legalmente atribuidas. Pero en otros casos las administraciones van a tener que pedir el consentimiento al ciudadano para tratar esa información, y dicho consentimiento tiene que ser expreso, tiene que poder acreditarse. No vale que yo diga 'voy a a tratar tus datos si no te opones en el plazo de 30 días', y si no lo haces ya tengo tu consentimiento.
-¿Cómo se articulará el consentimiento explícito?
-El interesado tendrá que hacer una acción para aceptar ese tratamiento, no vale con que no se dirija a nosotros o no desmarque una casilla previamente marcada. Esas casillas tienen que estar en blanco y tiene que ser el interesado el que las marque, además de darnos otro tipo de consentimientos; e individualmente para cada tipo de tratamiento o finalidad, de tal modo que lo podamos tener acreditado expresamente. Si es telefónicamente puede ser grabando la conversación, para ello hay que advertirlo previamente; si es en papel, firmando y marcando las casillas correspondientes. Pero siempre con la obligación de poder probarlo.
-¿Pueden los datos ser traspasados de unas administraciones a otras, por el hecho de ser entidades públicas?
-No siempre. Las administraciones se benefician de la excepción general, que son las competencias legalmente atribuidas, así como la persecución del interés general y público. Pero esto no es una patente de corso. Para poder comunicarse datos de unas a otras tienen dos posibilidades: una, dicha cesión debe estar amparada en competencias que versen sobre la misma materia y que impliquen el tratamiento de datos por ambas; o dos, obteniendo el consentimiento. Por ejemplo, ahora está muy de moda la administración electrónica, presentar una solicitud ante un ayuntamiento, una comunidad autónoma... y no tener que aportar toda la documentación, siempre que ya conste. Ejemplo: un certificado común en materia fiscal de que estoy al corriente de mis impuestos, o de la Seguridad Social; yo puedo solicitar que esa administración lo consulte directamente con la otra. Es un beneficio para el ciudadano, pero la administración tendrá que recabar mi consentimiento para dirigirse a la Agencia Tributaria o a la Seguridad Social.
-¿Qué debe hacer una Administración ante un riesgo o violación de seguridad que afecte a datos personales?
-Si hay un riesgo general pero no se ha concretado, la obligación es gestionarlo, intentar eliminarlo (es casi imposible) o paliarlo, a través de medidas de seguridad, documentales, jurídicas... Cuando hay una violación de la seguridad ya concreta, el reglamento impone la obligación de comunicarla a la Agencia Española de Protección de Datos en un máximo de 72 horas. E incluso puede incluir comunicarlo a los ciudadanos afectados. De aquí a un mes habrá que ver quién le pone el cascabel al gato y qué administraciones públicas o empresas privadas del ámbito de seguridad, bancario o de comunicaciones cumplen con su obligación. Porque todos los días se están produciendo ataques de este tipo y no siempre nos enteramos.