El próximo 25 de mayo entra en vigor el REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que fue aprobado por las instituciones europeas el pasado 27 de abril de 2016, que afecta a todos los países miembros de la Unión Europea. En los últimos días se suceden las publicaciones sobre cómo afectará tanto a empresas como ha particulares. Desde Grupo Paradell hemos querido contar con la opinión experta de Manuel de Palacio Anuarbe, de Persevera Grupo, para hablar sobre el tema:
Ante la llegada de esta fecha, todos aquellos que estamos vinculados con la protección de datos seguimos devanándonos los sesos sobre una de las características más preocupantes de este nuevo reglamento: la autorregulación. Esta preocupación aumenta si, además, relacionamos este concepto de autorregulación con el de seguridad.
Sabemos, porque así se ha dispuesto en la misma norma, que el RGPD (UE) 2016/679 deroga la actual Directiva 95/46/CE. Asimismo, también conocemos que la nueva LOPD derogará la actual LO 15/1999, de 13 de diciembre, que afecta específicamente a la ley española. Si bien, salvo error u omisión del que suscribe, nada se ha dispuesto respecto de la posible derogación futura del RD 1720/2007. Y este reglamento dispone medidas concretas y concisas en sus artículos 89 a 114.
Llegados a este punto, es hora de recordar el Esquema Nacional de Seguridad (ENS):
“La finalidad … es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos…”.
El párrafo anterior, en el que hemos preferido quitar algunas palabras de la frase transcrita, que bien podría describir la finalidad de las medidas de seguridad de cualquier sistema de protección de datos, es parte del preámbulo del RD 3/2010, de 8 de enero (ENS). Y por lo tanto, parte principal de los objetivos de este RD.
Estudiando esta norma encontramos infinidad de recursos válidos para dotar a un sistema de protección de datos del nivel de seguridad adecuado. Uno de ellos, básico para la definición de la seguridad del sistema, aunque nos lo encontramos casi al final del ENS, es la dimensión que debe caracterizar la seguridad (art. 2 del anexo I ENS). Son las siguientes:
- Disponibilidad (D)
- Autenticidad (A)
- Integridad (I)
- Confidencialidad (C)
- Trazabilidad (T)
Si analizamos lo dispuesto en el art. 32.1 RGPD (UE) en sus apartados b, c y d, nos encontramos que lo dispuesto en ellos tiene como base las cinco dimensiones referidas: D, A, I, C y T.
Sabemos, además, que el ENS no tiene carácter obligatorio salvo para las administraciones públicas y según lo dispuesto en el Capítulo I de este RD, y solo en caso de que se apruebe la redacción actual del Anteproyecto de Ley Orgánica de Protección de Datos para aquello relativo a lo dispuesto en esta nueva LOPD. Pero no dejamos de trasladar nuestro criterio de que el ENS es y será una magnífica guía de consulta.
Junto a las cincuenta y dos medidas incluidas en el ENS, seguimos teniendo en vigor el RD 1720/2007. La buena noticia es que ambas normas son un marco perfecto para la «autorregulación» planificada del sistema.
No cabe duda de que cualquier cambio obliga a todos aquellos afectados por el mismo a estudiar el nuevo marco, en este caso jurídico. Una vez estudiado, los profesionales que trabajan los temas relativos a la protección de datos deberán buscar la mejor interpretación para el efectivo cumplimiento del mismo. Una vez completada esta fase, deberán poner en práctica los procedimientos adecuados y necesarios para que la nueva normativa se cumpla con eficacia.
Finalmente, cabe destacar que la nueva ley europea tendrá una sencilla implantación en los países miembros, por lo que parece que, aunque está por ver, tendrá una buena acogida entre los despachos de abogados.
