Cuando se habla de requerimientos de TI, el cumplimiento de determinada normativa, y este podría ser el caso del texto legislativo objeto de estudio, al final son textos legales con una componente técnica importante, y en muchos casos, el destinatario final de estas normas son los Departamentos de TI, los Departamentos de Seguridad, los Departamentos de GRC o quien tenga asignada la responsabilidad de implementar las medidas técnicas y organizativas a las que obliga la legislación de protección de datos.
Con el objetivo e intención de no solaparse con la parte específica de protección de datos, pero, aunque así se produjera, se entiende que no está de más tratarla por separado, ligándola finalmente a una parte más técnica o de Compliance TI. Por lo tanto, se hará en esta unidad un repaso generalista a la primera parte del reglamento, pero se pondrá más énfasis en la parte relativa a las medidas de seguridad a implantar por aquellas organizaciones que tratan datos de carácter personal, ya sea de forma automatizada o no automatizada.
Conviene mencionar que el reglamento sobre el que van a tratar las próximas líneas se encuentra plenamente vigente, pero dada la reciente aprobación del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, se desconoce el impacto que tendrá sobre el marco normativo español, ya que, en función de la fuente, el mensaje no es el mismo.
Hay quien señala que la actual legislación seguirá vigente con unas mínimas modificaciones, y en otros casos, hay quien prevé un profundo cambio en todo nuestro tejido normativo sobre privacidad. Ya se verá lo que nos depara el futuro.
Ahora bien, traer aquí el nuevo Reglamento Europeo no ha sido casual, ya que, entre los importantes aspectos que cambia, se quieren destacar dos de los que habrá que estar expectantes para ver cuál es su recorrido. Se trata de las certificaciones y los denominados códigos de conducta.
El nuevo Reglamento Europeo: certificaciones y códigos de conducta
Esta posibilidad que ofrece el reglamento servirá para que, junto con otras cuestiones, la empresa pueda acreditar su verdadero compromiso con la privacidad. El considerando 77 es una verdadera declaración de intenciones de lo pretendido por los legisladores europeos.
En relación a las certificaciones, la pretensión que parece tener el reglamento es promover la creación de certificaciones en materia de privacidad y protección de datos, así como la creación de sellos, marcas o similares en materia de protección de datos, que podrán suponer un plus respecto del cumplimiento de las obligaciones, ya que eso significa que un tercero independiente, y tras un proceso transparente, certifica un determinado grado de cumplimiento en materia de privacidad y protección de datos. Este tipo de certificaciones tienen carácter voluntario, por lo que el hecho de no tenerlas no significa que exista incumplimiento.
Estar en posesión del sello, no limita o reduce la responsabilidad ni evitará una sanción en caso de incumplimiento, pero estar en posesión de estos sellos significará que el grado de madurez de la empresa en materia de protección de datos podrá determinar que su forma de acometer situaciones en materia de privacidad sea preventiva y no reactiva, es decir, la organización será capaz de anticiparse a los problemas y resolverlos antes de que sea demasiado tarde.
El recorrido de este tipo de certificaciones está por ver, pero, al igual que otro tipo de certificaciones, estar en posesión de ellas dará una ventaja competitiva respecto de aquellas organizaciones que no la tengan.
A nivel individual, señalar que en España existen dos certificaciones que acredita que el profesional certificado posee conocimientos y solvencia práctica en materia de privacidad y protección de datos.
Estas certificaciones son:
- Certificación APEP de la Asociación Profesional Española de Privacidad.
- Certificación CDPP (Certified Data Privacy Professional) del ISMS Fórum.
La concreta regulación de la certificación se encuentra en el artículo 42 del reglamento que, entre otras cosas, señala que la certificación es voluntaria, se otorgará a través de un proceso transparente, que podrá ser expedida por organismos de certificación o por la propia autoridad de control, tendrá una duración máxima de tres años y podrá ser objeto de renovación.
El segundo aspecto que se quiere destacar es el relacionado con los Códigos de Conducta. El reglamento permite, tanto a asociaciones como órganos representativos de un sector determinado, la elaboración de Códigos de Conducta. A estos códigos se podrán adherir, libremente, los responsables o encargados del tratamiento.
Estos Códigos de Conducta se encuentran regulados en el artículo 40 del reglamento, naciendo con la vocación de especificar la aplicación del reglamento en aspectos como:
- El tratamiento leal y transparente.
- La recogida de datos personales.
- Los intereses legítimos perseguidos por los responsables de tratamiento.
- La seudonimización de datos personales.
- La información proporcionada al público y a los interesados.
- El ejercicio de derechos.
- La información proporcionada a los niños y la protección de estos.
A nivel nacional ya existe una figura similar a la propuesta por el reglamento. Se habla aquí de los denominados Códigos Tipo, regulados en los artículos 71 a 78 del Reglamento de la LOPD, por lo que podría decirse que, a nivel europeo, se ha exportado esta figura recogida en nuestro reglamento. Consultada la página web de la AEPD, existen en la actualidad 15 códigos tipo inscritos.
Al respecto de la importancia de los códigos tipo, es preciso traer a colación la sentencia de la Audiencia Nacional AN (Sala de lo Contencioso-Administrativo, Sección1ª), sentencia de 7 febrero 2007. RJCA 2007\265, que textualmente señala: “En definitiva, en el presente caso, se produjo un accidente el día 18 de abril en el que intervino el vehículo asegurado en la compañía actora (el anterior día 5 de abril el mismo vehículo había tenido otro accidente), vehículo conducido por un tercero, pero cuyo conductor habitual y tomador del seguro era el denunciante, por lo que FIATC siguió el protocolo de actuación de las entidades aseguradoras adheridas al FHSA, en los casos en que se produce un siniestro, cumpliendo con la normativa reguladora de la mecánica interna de funcionamiento del mismo, al ceder los datos del repetido accidente a tal fichero común. Datos que, conforme al punto 7.1 del Código Tipo eran los del vehículo, los del tomador del seguro, los del contrato y los del siniestro, y que ninguna relación guardaban con la culpabilidad o no de dicho tomador del seguro en el siniestro, tal y como asimismo se desprende del folio 54 del expediente, en el que figuran los datos comunicados por FIATC a tal Fichero Histórico y que se detallan en el primero de los fundamentos jurídicos”.
A la vista de lo expuesto en líneas precedentes, puede concluirse que la inclusión en el reglamento de estas dos figuras puede proporcionar, al menos, mayor seguridad tanto a responsables y encargados del tratamiento como a los particulares afectados.