RGPD: ¿Protección de datos o privacidad?
Con mucha frecuencia se escucha la frase “tanta protección de datos y a mí me están llamando constantemente para venderme algo” o aquella otra que dice “mucho cuidado con el dato, el dato y luego estoy todo el rato recibiendo publicidad”. Estas afirmaciones reflejan la errónea percepción que a nivel popular se tiene sobre el principal objetivo del Reglamento General de Protección de Datos (RGPD) y demás normativa en esta materia: proteger la vida privada y la intimidad de las personas.
El derecho a la protección de los datos personales deriva directamente del derecho fundamental a la intimidad, no solo desde el punto de vista de la Constitución Española (artículo 18.4) sino también a nivel europeo debido al Convenio Europeo de Derechos Humanos (artículo 8) y el Convenio del Consejo de Europa. En concreto, se busca preservar la intimidad de las personas a través de la protección de sus datos personales, especialmente en una era donde las tecnologías permiten llegar a tener un conocimiento de las personas y su intimidad hasta ahora nunca conocido.
Conscientes de esto último, desde la Unión Europea se optó por establecer una normativa que permitiese proteger la intimidad de las personas de una forma real y efectiva. De esta forma, el RGPD destaca por exigir una mayor transparencia a la hora de informar y especialmente por no concretar qué medidas técnicas se deben adoptar.
Esa falta de concreción busca evitar que el RGPD se quedé desfasado ante el rápido avance de las tecnologías, donde las medidas de seguridad válidas para las tecnologías de hoy dejarán de serlo mañana o pasado mañana. Por ello, se busca una actitud dinámica y proactiva ante el continuo cambio tecnológico estableciendo las siguientes obligaciones:
- Adoptar medidas técnicas y organizativas que garanticen un nivel adecuado al riesgo existente.
- Realizar un análisis para determinar el nivel de riesgo que supone para los derechos y libertades fundamentales de las personas el que la entidad utilice los datos de las personas para las finalidades que pretende.
- Efectuar una evaluación de impacto en la privacidad de las personas cuando el riesgo sea alto.
A este respecto, el Comité Europeo de Protección de Datos (antiguo GT 29) y la Agencia Española de Protección de Datos (AEPD) han determinado que existe un alto riesgo cuando se utilizan las tecnologías, sean nuevas o ya consolidadas, para recabar y utilizar los datos de las personas de forma que menoscaben sus derechos y libertades.
Es cierto que en nuestro día a día podemos sentir que el RGPD no tiene ninguna eficacia real cada vez que recibimos una llamada publicitaria de una teleoperadora, una financiera, una aseguradora o tantas y tantas otras empresas. Sin embargo, esto en cierta medida se debe al desconocimiento que la mayoría de las personas tienen sobre sus derechos en esta materia y la despreocupación a la hora de facilitar nuestros datos.
La realidad es que cuando se leen noticias sobre las sanciones impuestas a empresas como Mercadona (2’5 millones de euros) o Equifax Ibérica (1 millón de euros) por el uso de tecnologías de reconocimiento facial o de web scraping para recabar información personal, podemos ver cómo una mala realización de la evaluación de riesgos tiene sus consecuencias. No obstante, sobre todo, podemos comprobar cómo el RGPD tiene una aplicación práctica y no se queda en mera palabrería legal.
Amaya Reguilón Espinosa
Delegada Protección de Datos
Asseco Spain Group