A apenas escasos días de la plena aplicación en toda Europa del Reglamento General de Protección de Datos (RGPD, por sus siglas en español), los ciudadanos del viejo continente, menores y adultos, nos preparamos para la llegada de la que será la primera norma europea en materia de protección de datos que aplique transversalmente a todos los europeos y la primera que ponga el verdadero foco en el individuo y la protección de su intimidad.
Y si bien es cierto que los europeos contamos desde hace décadas con regulaciones específicas en materia de privacidad, algunas de ellas de rango constitucional, nos hallamos ahora en un momento clave, con el auge de Internet y la tecnología, donde la protección de nuestros datos y de nuestra vida privada se encuentra bajo la sombra de la duda. No en vano, asistimos a diario como espectadores pasivos a noticias en prensa en las que se habla de cómo datos privados que afectan a nuestra intimidad son explotados comercialmente y con impunidad por terceros sin nuestro consentimiento y sin que seamos en muchos casos ni siquiera conscientes de ello.
Este mal endémico, fruto de los excesos tecnológicos propios de la escena temporal tan fantástica y agitada que nos ha tocado vivir, parece que tocará su fin con la plena aplicación del ya famoso RGPD el 25 de mayo de 2018. Esta norma, que nace tras años de debate legislativo y social en Europa, tiene como principal y casi único cometido concienciar acerca de la importancia de la privacidad en todos los ámbitos, poniendo a todos los europeos en la misma página de cumplimiento y exigiendo a las empresas de fuera y de dentro del continente europeo el sometimiento a sus dictados. El que se quede fuera, ya sabe a lo que se expone: 20 millones de Euros o el 4% del volumen de facturación global de la compañía. Ésas son las sanciones propuestas, muy por encima del máximo actual de 600.000 Euros, que ahora se deroga. Se acaban las medias tintas en privacidad.
Sin embargo, lo atractivo (y retador) del RGPD es que aplica a todos por igual, a administraciones públicas y privadas, a grandes multinacionales y a pequeñas empresas. Aplica en realidad a cualquier entidad que trate datos personales de terceros, incluyendo, por supuesto, el tratamiento de los datos personales de los menores, expuestos de manera en muchas ocasiones inconsciente a los riesgos de su intimidad.
ECIJA, Firma de abogados de la que soy socio, y que ha cosechado en los últimos tiempos importantes reconocimientos en la materia, trabaja de manera recurrente con grandes multinacionales en el respeto y cumplimiento de las normas. Sin embargo, la faceta humana de cada uno de nosotros nos obliga a rendir cuentas con la sociedad y a aportar a ésta, en forma de responsabilidad social corporativa, nuestro grano de arena en el ámbito en el que realmente sentimos que podemos aportar, la protección de la privacidad en nuestro caso. En ese contexto, y con el objetivo de abogar por la salvaguarda de los menores, hemos puesto en marcha junto con Integra Información y Comunicación, S.L. un plan de cumplimiento destinado a permitir que las Escuelas Católicas se adecúen a la nueva normativa y den máxima garantía de privacidad a los menores.
A tal fin, son muchos los aspectos a tomar en consideración por las escuelas en las que se educan nuestros hijos. Entre otras, y solo por mencionar algunas, las siguientes son algunas de las medidas que los centros de enseñanza deberán adoptar antes del 25 de mayo de 2018 con el objetivo no solo de velar por la protección de la privacidad de los menores sino también de evitar daños económicos y reputacionales, derivados de la eventual imposición de una sanción por vulneración de los preceptos normativos.
- Registro de tratamientos. Los centros de enseñanza deberán llevar a cabo un registro interno y por escrito de las diferentes actividades desarrolladas en el centro que conlleven un tratamiento de datos, ya que se elimina la necesidad de inscribir ante el Registro de la Agencia Española de Protección de Datos los distintos ficheros responsabilidad de los centros.
- Designación de un DPO. La nueva norma europea establece la obligación de designar un responsable de protección de datos por cada centro de enseñanza siempre y cuando se den una serie de circunstancias, vinculadas, en muchos casos al tratamiento de datos a gran escala o al tratamiento de datos especialmente sensibles.
- Obtención del consentimiento. De acuerdo con las consignas del nuevo RGPD, el consentimiento para poder tratar datos de carácter personal de los menores ha de ser inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro de sus padres o representantes legales. De este modo se erradican los consentimientos tácitos, tolerados en determinados casos en el pasado.
- El RGPD importa del ámbito anglosajón el principio de accountability, que exige responsabilidad a los centros que traten datos de carácter personal a fin de demostrar que cumplen con las exigencias contempladas en el Reglamento. Esto se traduce en una responsabilidad proactiva, de manera que cada centro debe poder demostrar que éste ha materializado dichas exigencias a través por ejemplo de políticas, procedimientos, controles, etc.
- Elaboración de evaluaciones de impacto. Previamente a efectuar determinados tratamientos de datos, los centros de enseñanza deberán elaborar una evaluación de impacto, en la que se analicen los posibles riesgos que pudiera conllevar el nuevo tratamiento sobre los datos que se va a efectuar.
- Protección de datos desde el diseño y por defecto. Los centros educativos y las escuelas, en tanto que tratan datos personales, deberán tener en cuenta todas las disposiciones de la normativa que puedan afectarles antes de efectuar cualquier tratamiento, aplicando las medidas técnicas y organizativas que puedan corresponder, garantizando que, por defecto, solo serán objeto de tratamiento aquellos datos que sean estrictamente necesarios para los fines específicos del tratamiento.
Lejos de ser un obstáculo, lo cual a primera vista es razonable pensar, lo cierto es que todas estas medidas son una primera capa de garantía que hará a todos sentirnos más tranquilos, con el confort de que nuestra privacidad y la de nuestros hijos, descansa a buen recaudo.
Alejandro Touriño, Socio Director
ECIJA (Partner de Integra)
En Madrid. 10 de abril, 2018
Artículos relacionados
1 de noviembre de 2024
25 de octubre de 2024
2 de octubre de 2024
18 de septiembre de 2024