“Cuando una puerta se cierra, otra se abre, pero a menudo vemos tanto tiempo y con tanta tristeza la puerta que se cierra que no notamos otra que se ha abierto para nosotros”. - Alexander Graham Bell

Montse Medina es licenciada en Ciencias Políticas y Sociología y Máster en Gestión de Información. Es directora de Green House Consultores, especializados en el análisis e implantación de la normativa europea de protección de Datos. Es miembro de la Junta Directiva de la Organización Mujeres Empresarias y Profesionales, experta externa del SEPBLAC, miembro del Club Rotario Molina de Segura, de la Junta Directiva de la Unión de Consumidores de la Región de Murcia, pero sobre todo es mi amiga y para mí una de las mayores conocedoras del RGPD que entró en vigor hace unos días.   

¿Qué ha cambiado con el actual reglamento en cuanto al consentimiento del tratamiento de los datos?
La LOPD permitía para determinados datos no sensibles, que el consentimiento fuese tácito (Informe Jurídico 0645/2009 emitido por la AEPD). Con el RGPD mantiene los mismos principios del consentimiento de la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Es decir, el interesado debe haber expresado una declaración o una acción positiva que manifieste su conformidad.

Esto obliga a que el silencio, las casillas ya marcadas o la inacción no constituirán prueba de consentimiento (Considerando 32 del RGPD).

La recolección de datos masiva o indiscriminada, ¿qué ocurre con ella?
La LOPD solo obligaba a informar de la existencia de un fichero o tratamiento de datos de carácter personal, la identidad del responsable del tratamiento,  la finalidad de la recogida de los datos y de los destinatarios de la información, así como de la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.  

El Reglamento establece la obligación de informar sobre nuevos aspectos. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, el período de conservación de los mismos y que los interesados podrán dirigir sus reclamaciones a las autoridades de protección de datos, si consideran que hay un problema con la forma en que están manejando sus datos, y que de alguna manera, aquellas acciones intrusivas por parte de las empresas hacia los afectados no compensen a éstas.

Entiendo que el porqué y el para qué quedan perfectamente recogidos en éste reglamento. Aparentemente cambian los derechos, o se amplían.
La antigua (LOPD) reconocía los siguientes derechos: acceso, rectificación, oposición, y cancelación.
El reglamento, además de los anteriores, recoge el derecho a la transparencia de la información, la supresión (o derecho al olvido), limitación, portabilidad.

Otra novedad, respecto de la LOPD, es que se establece la obligación para el responsable del tratamiento de proporcionar medios para que las solicitudes de ejercicio de derechos se presenten por medios electrónicos, en particular cuando los datos personales se hayan recabado a través de estos medios (Considerando 59).

El la antigua LOPD las empresas debían comunicar los ficheros que se disponían y un nivel de riesgo objetivo o subjetivo para valoración por parte de la AEPD. Pero siempre nos enterábamos de los problemas en casos noticiables de fallos comunicados por la prensa o mediante denuncias de los usuarios. ¿Esto sigue igual?
No, de ninguna manera. El RGPD obliga a informar de los problemas o fallos de seguridad que se produzcan en su organización a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas. El responsable del tratamiento debe contar con un sistema efectivo para realizar el reporte a la AEPD o para comunicar el fallo a los afectados si existe algún riesgo para sus derechos, lo que implica que absolutamente todas las personas que trabajan en una empresa estén concienciadas de que cualquier problema ha de ser comunicado de forma inmediata.

Parece que en este Reglamento, las organizaciones son responsables, además de los ficheros de datos, del tratamiento efectivo y de las medidas de seguridad necesarias para una tutela Efectiva del tratamiento de los datos.
Exacto. Las organizaciones que habitualmente realicen tratamiento de datos de riesgo para la privacidad de los interesados,  o traten datos sensibles, deberán contar con un registro de las actividades de tratamiento efectuadas bajo su responsabilidad. Dicho registro deberá contener información relativa, entre otros aspectos, a los tratamientos de datos que se realicen, los datos personales que se traten, los destinatarios de los datos, los plazos previstos para la supresión, la finalidad de dicho tratamiento y las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.

Esto será bueno para los informáticos o malo
Ni bueno ni malo. El Reglamento obliga a que se realice un Registro de tratamiento de los datos y de actividades de tratamiento. En sí no es ni bueno ni malo. Si los técnicos realizan ese registro adecuadamente pues bien por ellos. Pero se persigue la inacción o la falta de actitud profesional. Se obliga a una visión proactiva de cumplimiento normativo, una mayor concienciación.  Digamos que normaliza muchos de los procesos que se vienen haciendo de manera normal: uso de firewall, reglas de seguridad para el acceso, permisos de acceso. En definitiva: las medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.

Qué es un Delegado de Protección de Datos y para qué sirve:
Un ‘personaje’ que asume nuevas competencias en materia de coordinación y control del cumplimiento del RGPD. Básicamente, sus funciones se centran en:

•    Informar y asesorar al responsable del tratamiento de datos de las obligaciones que debe efectuar para cumplir con el Reglamento General. Debe dejar constancia por escrito de las comunicaciones con el responsable del tratamiento y sus respuestas.

•    Supervisar la aplicación de las normas por el encargado del tratamiento en materia de protección de datos personales: asignación de responsabilidades, formación del personal y auditorías correspondientes.

•    Supervisar la documentación, notificación y comunicación de las violaciones de datos personales.

•    Supervisar la respuesta a las solicitudes de la autoridad de control y cooperar con ella por solicitud de las mismas o por iniciativa propia.

•    Ejercer de punto de contacto con la autoridad de control sobre cuestiones relacionadas con el tratamiento de datos personales.

Será obligatoria cuando el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial; las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de datos a gran escala; las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas o infracciones penales.

Yo no envié mensajes a  mis clientes informándoles de que me validaran el consentimiento.
Entre empresas, cuando se demuestra que existe una relación comercial. Una tarjeta, un pedido, un contrato. En ese caso es absurdo solicitar un nuevo consentimiento. Ya existe ese consentimiento por la propia relación comercial. Si tenemos una Base de Datos recabada de fuentes externas es cuando debemos recabar ese consentimiento. No debemos volvernos locos. Si ya tenemos una relación que podemos demostrar, entonces no es necesario inundar con correo que, en muchos casos ha sido el resultado de un mal asesoramiento, pues el tratamiento ya estaba legitimado. Y lo de mal asesoramiento no lo digo yo, lo señaló la directora de la Agencia Española de Protección de Datos en la última Asamblea General.

Una conclusión. Para el ciudadano de a pie, ¿qué podemos decirle?
Que el Reglamento propone soluciones y nos permite derechos muy importantes: el olvido, el consentimiento informado fehaciente. Cambiarán muchas cosas. Incluso la sanidad. Solo recordar que el Reglamento indica que los datos son del usuario y solo del usuario. A ver qué hospital se va a negar a darnos nuestro historial completo. Distinto será que la Administración nos solicite el consentimiento para la cesión de nuestros datos a entidades privadas; no sólo no lo hace, sino que me consta que una vez realizada dicha cesión, no existen medidas de control que nos asegure que nuestros datos no serán utilizados para finalidades distintas.