Blanca García, Letrada de Derecho Mercantil en Vilarubí Abogados, explica en este texto cómo aplicar el Reglamento Europeo de Protección de Datos para que las empresas cumplan con su normativa. 

El Reglamento Europeo de Protección de Datos ampara el derecho fundamental a la protección de las personas físicas en relación con el tratamiento de datos personales. En esta sociedad digitalizada y en clara evolución tecnológica, se hace precisa la adopción de las medidas oportunas para salvaguardar los derechos de los usuarios, pues cada vez es mayor el intercambio de datos personales a nivel mundial.

Desde acciones tan cotidianas como entrar a una página web, en la que se alerta sobre las conocidas 'cookies', o suscribirse a una 'newsletter', en las que se lanza por parte del usuario numerosa información personal que reviste de gran interés para las empresas, bien para fines comerciales o estadísticos, hasta el tratamiento de datos personales a gran escala, como puede ser en una empresa con respecto a sus empleados y clientes, observamos que el flujo de datos en nuestra sociedad está dotado de gran magnitud.

El tratamiento de datos personales, por parte tanto de las empresas privadas como autoridades públicas, requiere que se adopten una serie de medidas que doten de seguridad a dicho tratamiento, en el marco del principio de la responsabilidad proactiva que, en definitiva, engloba los demás principios.

Adquiere importancia el principio de transparencia, que exige una mayor claridad en la información que se facilita al interesado. Es decir, que a la hora de recabar los datos personales de los usuarios se ha de dar previamente una información clara, concisa y fácilmente accesible del uso que se va a hacer de dichos datos, con qué finalidad, quién es el responsable de dicho tratamiento y de qué manera puede ejercitar el usuario sus derechos (ARCO-POL). Se prohíben esos bloques de información extensa y de difícil comprensión que hacían que el usuario aceptara por el simple hecho de no comprender ni poder leer con facilidad tal tsunami de información.

En relación con el principio legitimador del consentimiento facilitado por el usuario, y siempre que esta base sea la que se utilice para justificar el tratamiento de datos personales, debemos hablar de un consentimiento expreso e inequívoco, es decir, mediante una declaración o una clara acción afirmativa. Ello implica que queden fuera esas casillas pre-marcadas por las que el usuario acepta por defecto que los datos personales sean tratados con determinados fines. La clara acción afirmativa por parte del usuario implica que el mismo acepte dicho tratamiento. Sin embargo, existen otras bases que pueden legitimar a una organización para tratar los datos personales de un usuario, por lo que dicha casilla pre-marcada no siempre tiene porqué suponer una vulneración de la protección de estos derechos.

Como vemos, las novedades introducidas por el RGPD son diversas y no pueden concentrarse en el presente artículo, pero conviene conocer la necesidad de que las empresas y organizaciones apliquen con diligencia la normativa, no solo en aras de perseguir un sano desarrollo de esta sociedad de la información en la que se consiga un 'win-win', tanto por parte de las organizaciones como de los interesados, sino también en atención a las sanciones que se pueden imponer en este ámbito, que pueden alcanzar hasta los 20 millones de euros.

Las empresas han de adaptarse a dicha normativa de una manera proactiva. No basta con cumplir la normativa de protección de datos, sino que se hace preciso poder demostrarlo, y una buena manera de demostrar algo es mediante su documentación.

Podríamos decir que el eje fundamental del principio de responsabilidad proactiva se encuentra en la figura del Delegado de Protección de Datos. Es esta una medida que demuestra, junto con otras, la voluntad del responsable de cumplir con la normativa en relación al tratamiento de datos personales. Hay organizaciones y entidades que se encuentran obligadas por Ley a su designación, y otras que, si bien no se encuentran obligadas, resulta más que recomendable su designación. Para ello, es preciso que las empresas se asesoren sobre la necesidad de tal nombramiento –o su posible obligatoriedad–. El DPD ha de realizar sus funciones de informar, asesorar, supervisar y cooperar con total independencia, sin recibir influencia de ningún tipo. Por ello, externalizar dicho servicio puede ayudar a dicha independencia.

Son estas algunas de las novedades introducidas por el RGPD y cuya implantación se ha hecho inminente, por lo que se hace preciso un buen asesoramiento en materia de protección de datos con objeto de adaptarse y cumplir con la normativa.