Una vez cumplida su mayoría de edad, el próximo 25 de mayo de 2018 la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD), quedará desplazada por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD), que será de directa y uniforme aplicación a los 28 estados de la Unión Europea.

El derecho a la protección de datos es un derecho fundamental, comprendido en el artículo 18.4 de la Constitución, pero con un objeto más amplio, ya que no se limita a los datos íntimos de la persona, sino que persigue garantizar a la persona un poder de decisión sobre sus datos.

Como Mutua Colaboradora con la Seguridad Social, en Asepeyo tratamos datos de carácter personal de nuestros trabajadores protegidos para la gestión de las prestaciones de la Seguridad Social que tenemos legalmente atribuidas. En este sentido, no constituye una novedad que la licitud del tratamiento de esos datos vendrá dada, en lo esencial, por el cumplimiento de obligaciones legales, o bien por el propio consentimiento de los interesados. 

Tal como ya sucedía con la LOPD, no se exige el consentimiento del interesado cuando el tratamiento de los datos es necesario para el cumplimiento de una obligación legal. Así sucede con los datos de los pacientes y usuarios necesarios para la gestión de prestaciones económicas y sanitarias que realizamos. Estos datos son recabados para poder dispensar las prestaciones que la Ley General de la Seguridad Social atribuye a las mutuas.

Otros tratamientos de datos de pacientes y usuarios requieren el consentimiento del interesado. Por ejemplo, el tratamiento de los datos personales necesarios para la tramitación de las ayudas sociales, que son potestativas y no forman parte de la acción protectora de la Seguridad Social, o para la resolución de peticiones de información.

El RGPD aclara que el consentimiento debe consistir en una declaración o una clara acción afirmativa, de modo que la inacción por parte del interesado o las casillas premarcadas no pueden entenderse por suficientes a estos efectos. También prevé que el consentimiento debe prestarse para cada uno de los fines del tratamiento. De este modo, la utilización para fines distintos de los datos personales que han sido recabados para la gestión de prestaciones de la Seguridad Social requiere el consentimiento del interesado.

Tampoco es novedad del RGPD que los datos relativos a la salud sean categorías especiales de datos; antes, datos especialmente protegidos. El RGPD mantiene igualmente los derechos de información, tanto al interesado, en la recogida de datos, como cuando los datos no hayan sido obtenidos del propio interesado.

Responsabilidad proactiva

No obstante, el cambio más relevante que introduce el RGPD es el llamado principio de “responsabilidad proactiva”. El deber de seguridad de los datos ya existía con la LOPD; sin embargo, el modelo de cumplimiento que se preveía en su reglamento de desarrollo se basaba en la definición de niveles y medidas de seguridad según la tipología de los datos.

Con el RGPD corresponde a cada responsable del tratamiento establecer los niveles de seguridad adecuados en función del riesgo. Ello alcanza también a los proveedores, con quienes el responsable del tratamiento deberá establecer las medidas de seguridad aplicables en el contrato de encargado del tratamiento.

Desaparece la obligación de notificar los ficheros de datos a la Agencia Española de Protección de Datos, pero deberá llevarse un registro de tratamientos de datos personales y notificarse a la AEPD y a los propios interesados las brechas de seguridad, en un plazo máximo de 72 horas.

Asimismo, entre otros supuestos, en la medida que los tratamientos afecten a categorías especiales de datos, como son los datos relativos a la salud, el responsable del tratamiento deberá designar un delegado de protección de datos (DPD). Su función consistirá en supervisar el cumplimiento de la normativa en materia de protección de datos, y, antes de cada nuevo tratamiento o modificación de los tratamientos preexistentes, deberá realizar una evaluación de impacto, las llamadas PIAS.

 

Protección de datos desde el diseño y por defecto

En el nuevo Reglamento se establecen también las obligaciones de protección de datos desde el diseño y por defecto (“privacy by design” y “privacy by default”), con las que se pretende, en síntesis, que los principios de la protección de datos constituyan aspectos inherentes de los procesos propios del negocio del responsable del tratamiento.

En suma, frente a un modelo de cumplimiento fundamentalmente exógeno, en el cual los responsables del tratamiento auguraban un cumplimiento adecuado de la normativa de protección de datos cumpliendo con las medidas de seguridad reglamentariamente establecidas para cada tratamiento o tipo de datos, con el RGPD son los propios responsables quienes se convierten en garantes de la protección de datos de carácter personal asumiendo la siguientes obligaciones:

  • Dotarse de aquellas medidas que sean adecuadas para esa finalidad.
  • Adoptar la perspectiva de protección del dato en sus procesos.
  • Asegurar el cumplimiento de las medidas establecidas.
  • Comunicar las brechas de seguridad que pudieran darse.

 El RGPD es una norma menos reglamentista, pero en absoluto menos exigente.

Y no menos importante, el régimen sancionador sufre importantes modificaciones, tanto por la cuantía máxima de las sanciones, que pasa de 600.000 euros a 20 millones de euros, o el 4% de la facturación del último ejercicio cerrado, como por la definición de las infracciones, mucho más generalista.

Desde la publicación del RGPD, en Asepeyo hemos estado trabajando para adaptar nuestras políticas, normativas y procedimientos de protección de datos a la nueva regulación. También hemos designado al Comité de Protección de Datos y Seguridad de la Información, plural e interdisciplinar,  para ejercer las funciones de delegado de protección de datos. Todo ello, con la finalidad de seguir asegurando un nivel óptimo de protección de los datos de nuestros trabajadores protegidos. 

 

Comité de Protección de Datos y Seguridad de la Información