Cambios sustanciales en la normativa de la protección de datos

El 14 de febrero hubo al respecto en CNAE una jornada informativa. El ponente fue Julián Prieto Hergueta, subdirector general del Registro de Protección de Datos de la Agencia homónima. Prieto informó de las novedades que traen consigo el Reglamento Europeo, cuya entrada en vigor será el 25 de mayo, y la Ley Orgánica que actualmente está en trámite parlamentario.

Julián Prieto comenzó definiendo los conceptos de «datos de carácter personal» y de «tratamiento de datos». Del primero dijo: «una dirección IP, detalles sobre la salud de alguien, la matrícula de un coche, un número de teléfono, etc., son ejemplos de datos personales [a efectos de la protección], siempre que, a través de ellos, se pueda identificar directa o indirectamente a una persona física viva, sin un esfuerzo desproporcionado. Olvidémonos, pues, de las personas jurídicas o de las entidades». 

Del segundo dijo: «Tratamiento es cualquier cosa que se haga con los datos personales: la recogida, la conservación, el acceso, la difusión, el almacenamiento e incluso la supresión».  

Responsabilidad proactiva

Después explicó los requisitos para poder tratar los datos personales fuera del ámbito doméstico sin infringir la normativa: «A la licitud, la lealtad, la trasparencia, la limitación de finalidad, la exactitud, la limitación del plazo de conservación, la integridad y la confidencialidad hay que añadir ahora la responsabilidad proactiva. Esto es una novedad que significa que no basta con cumplir con la Ley de Protección de Datos, sino que hay que demostrarlo, por lo que se deben adoptar medidas técnicas y organizativas para proteger los datos de forma eficaz.»

«Desaparecen los ficheros y ya no habrá, por consiguiente, que inscribirlos en el registro (de la Agencia de Protección de Datos), pero cada empresa habrá de llevar un registro de actividades de tratamiento. ¿Qué va a legitimar el tratamiento de los datos personales de vuestros alumnos? El contrato. Quien solicita vuestros servicios de aprendizaje os tiene que facilitar sus datos personales.» 

«Ahora bien, imaginemos que tenéis otras líneas de negocio. La utilización de los datos de los que ya disponéis va a requerir el consentimiento de vuestros alumnos. Y no vale el consentimiento tácito; tiene que ser expreso. No obstante, aquí hay un concepto nuevo: el de intereses legítimos. En caso de interés legítimo, puedo utilizar los datos que tengo sin pedir permiso. Las personas de contacto en las empresas, o los datos de empresarios particulares entran dentro de la esfera de los intereses legítimos. No tengo que pedirles el consentimiento». 

Códigos de conducta

Uno de los temas que se suscitó es el de si es interesante adherirse a un Código de Conducta. El hecho de hacerlo basta para que se presuma el cumplimento de las disposiciones del Reglamento Europeo, y por tanto, el cumplimiento del principio de responsabilidad proactiva.

Otro punto de interés del código de conducta es la posibilidad de establecer un mecanismo extrajudicial de conflictos, al cual se sometería cualquier denuncia que llegara a la Agencia Española de Protección de Datos (AEPD) por parte de cualquier interesado contra las empresas adheridas al citado código de conducta.

La Confederación Nacional de Autoescuelas (CNAE) elaborará un código de conducta para el sector, al que podrán adherirse los centros de Formación Vial que lo deseen.

 

Más información

Sección Protección de Datos