El Reglamento de Protección de Datos llega el 25 de mayo con más control y sanciones

La presidenta de la AEPD, Mar España, aboga por regular el uso curricular de Internet: "Los niños, a veces incluso antes de empezar a andar, ya se están bajando vídeos"

El Reglamento de Protección de Datos llega el 25 de mayo con más control y sanciones
photo_camera El Reglamento de Protección de Datos llega el 25 de mayo con más control y sanciones

El Reglamento General de Protección de Datos (RGPD) llegará el próximo viernes 25 de mayo con cambios "importantes" para los ciudadanos que tendrán un mayor control sobre sus datos, y para los sectores tanto públicos como privados, y será de aplicación en cualquier parte del mundo, bajo fuertes sanciones en caso de incumplimiento.

Así lo explica la directora de la Agencia Española de Protección de Datos (AEPD), Mar España, en una entrevista concedida a Europa Press a pocos días de que el reglamento europeo --entró en vigor el 25 de mayo de 2016-- sustituya a la actual normativa vigente y que comience a aplicarse "de manera directa en los 28 Estados miembro de la Unión Europea (UE).

Mar España --máxima responsable de la autoridad estatal de control independiente-- destaca que esta normativa supone un "cambio muy importante" en el modelo que se estaba aplicando hasta ahora debido a que, a partir del 25 de mayo, se va a aplicar un modelo preventivo.

"Desde el minuto uno, en que una administración publica o una empresa vaya a tratar los datos de los ciudadanos, clientes o empleados tiene que aplicar los principios de 'privacidad por defecto' y 'privacidad desde el diseño'", apunta.

Estas medidas (organizativas y técnicas) que debe aplicar el responsable con anterioridad al inicio del tratamiento y también cuando se esté desarrollando y supone una aplicación directa del principio de responsabilidad proactiva--.

En relación con las novedades inmediatas que se van a producir a partir del 25 de mayo, Mar España asegura que "va a haber bastantes cambios importantes", el primero de ellos, que los ciudadanos van a tener "mucho mayor control" de los derechos que tienen en cuanto al tratamiento de sus datos personales.

"En nuestro país, ya no se puede tratar los datos con el consentimiento tácito", señala España. El consentimiento tácito implicaba que la persona 'titular' acepta el tratamiento de sus datos personales, cuando la empresa que posee su información le hubiese informado a través de su aviso de privacidad y dicha persona no se oponga a ello.

NUEVOS DERECHOS

Asimismo, la directora de la AEPD indica que en esta normativa europea hay "nuevos derechos como el Derecho a la limitación en el tratamiento; por primera vez, se recoge el Derecho al olvido; y el Derecho a la portabilidad. "Son derechos muy importantes", subraya.

En este contexto, la responsable del organismo estatal advierte de que los responsables del tratamiento "van a tener que hacer un análisis previo respecto a cuál es la legitimación que tienen para tratar esos datos". "Puede ser el consentimientos explícito, puede ser un contrato, una base legal, el ejercicio de potestades públicas si es una administración pública, por ejemplo. Y van a tener que aumentar el tipo de información que dan a los afectados", asegura.

Los ciudadanos "van a estar más protegidos". La directora de la AEPD recuerda que el 80% de los ciudadanos, según los datos disponibles del Instituto Nacional de Estadística (INE), se muestra bastante preocupado por su privacidad, y uno de cada cinco se arrepiente de haber dado datos en redes sociales o de subir fotografías a la red.

El reglamento se aplica "extraterritorialmente", es decir, que también tiene efectos fuera de la Unión Europea. "Vale con que una empresa de cualquier parte del mundo esté ofreciendo bienes y servicios a ciudadanos en nuestro país, o haga perfilado a ciudadanos en España para que todas estas garantías y derechos del reglamento se apliquen directamente", aclara.

Respecto a las empresas, Mar España diferencia varios ámbitos ya que no todas habrán de cumplir los mismos requisitos y obligaciones. Así, aclara que las pequeñas empresas tratan datos de riesgo básico, mientras que las grandes empresas realizan Big Data, Inteligencia Artificial etc.

Éstas últimas van a estar obligadas a tener un Delegado de Protección de Datos porque, en muchas ocasiones, llevan a cabo perfilados y tratan datos "sensibles". Además las grandes empresas tendrán que tener hecho y documentado un análisis de riesgos y una evaluación de impacto. "Las medidas técnicas, organizativas y de seguridad que tengan que implantar como consecuencia de ese análisis serán adaptados exclusivamente a su modelo de negocio", apostilla Mar España.

En relación con las medianas empresas --por ejemplo, un farmacéutico o un despacho de abogados--, la directora de la Agencia indica que quizá no están obligadas a tener un Delegado de Protección de Datos porque no hacen perfilado, pero "sí que tendrían que hacer el análisis de riesgo porque, a lo mejor, el riesgo es medio".

"NO VA A HABER MORATORIA"

En este contexto, Mar España insiste en que "no va a haber moratoria" en la aplicación del nuevo reglamento de protección de datos "porque no puede haberla" y añade que, según los datos de los que dispone, existe un "nivel alto" de conocimiento de la norma en el tejido empresarial español. "Hemos recibido aproximadamente unas 1.600 notificaciones de delgados de Protección de datos, pero es verdad que no es obligatorio hasta el 25 de mayo", subraya.

El escenario en el que desembarca el Reglamento General de Protección de Datos es muy diferente al de hace tan solo diez años y es que la democratización de Internet y las redes sociales han hecho que el panorama de las protección de datos haya "cambiado muchísimo".

"Si pensamos que WhatsApp no se creó hasta 2009... imagínate el cambio tan importante en un país en el que 30 millones de ciudadanos ya utilizamos Internet prácticamente a diario, y 21 o 22 millones son usuarios de Facebook", apunta la directora de la AEPD.

Para Mar España, existe "un comportamiento diferente" entre los ciudadanos en relación con el rigor que tienen en el tratamiento de sus datos en la vida real y presencial, y la "alegría con la que a lo mejor se reenvían fotos, se hacen comentarios que pueden atentar contra la dignidad o la privacidad de las personas en foros y redes sociales". "Hace falta mucha mayor concienciación", considera.

Sobre qué habría que advertirle a las personas que realizan este tipo de conductas a través de la red, la directora de la Agencia lo tiene claro: "Que tengan mucho cuidado, porque tiene responsabilidad administrativa con multas que pueden llegar hasta 20 millones de euros con este nuevo reglamento, y además tiene responsabilidad penal".

En este sentido, Mar España cree que la "mejor medicina" para difundir la cultura de la privacidad "es que se enseñe en los colegios". "Los niños, a veces incluso antes de empezar a andar, ya se están bajando vídeos. Que se enseñe en las aulas, que cuando un padre le vaya a regalar el primer teléfono móvil o la primera tableta, ya haya habido unas charlas en los colegios porque esté regulado por las comunidades autónomas el uso curricular de Internet", recalca.

Pero Mar España también cree que "en los adultos todavía queda mucho por hacer" e insiste en que "la gente tiene que saber que determinados comentarios en blogs, en foros, en las redes sociales, que el envío de fotos no es gratuito, y que no todo vale en Internet".

"Debemos de comportarnos con el mismo respeto con el que nos comportamos en la calle", afirma la directora de la AEPD, para después añadir que, "aunque se crean que es anónimo, Internet deja huella y deja rastro". "Detrás de cada comentario hay siempre una dirección IP, y la unidad de Ciberdelicuencia de la Policía Nacional y la Guardia Civil funcionan estupendamente bien", avisa.

Comentarios