Le damos un dato
Ocurre a cada instante.
Conseguir datos o acceder a ellos es parte esencial de su actividad empresarial o profesional. Sin datos, hoy en día, faltaría aquel insumo fundamental y estratégico para el desarrollo de los negocios.
¿Pero qué es un dato? No necesitamos acudir a complejas definiciones ni a oscuros conceptos jurídicos para contestar esta pregunta. Bástennos, para ello, con la primera y tercera acepciones con las que el Diccionario de la Real Academia Española nos explica esta palabra. En efecto, un dato es o puede consistir en:
Si esa información, además, sirve para identificar o hacer identificable a una persona natural, ya sea directa o indirectamente, entonces estamos frente un dato personal. Así es como lo define la Ley Orgánica de Protección de Datos Personales (“LPDP”) que se publicó en el Quinto Suplemento del Registro Oficial Nº 459 del 26 de mayo del 2021.
Los datos de carácter personal ya gozaban de protección en la vigente Constitución del 2008; sin embargo, debieron transcurrir casi trece años para que se dicte la ley que unifique disposiciones que antes se hallaban dispersas en normas de distinto rango, origen y consecuencias.
“Tratar” datos
El verbo “tratar”, en el contexto de la LOPDP, es virtualmente un sinónimo de “usar”, puesto que tratar datos personales no es otra cosa que usarlos de cualquier manera, ya sea de forma automatizada o no. Y ese uso también engloba actos tales como recopilar datos, obtenerlos, registrarlos, organizarlos, estructurarlos, modificarlos, indexarlos y hasta consultarlos, distribuirlos, cederlos, elaborar perfiles[1] con ellos, entre otras conductas.
El dueño de los datos y otros personajes
El dueño de los datos es la persona natural que los ha proporcionado. Esa condición le confiere una serie de derechos, entre los que destacan el derecho a la información, el de acceso, el de rectificación y actualización y el de eliminación.
Desde luego, no queremos ser exhaustivos en este momento, pero si usted o su empresa poseen datos de carácter personal que pertenecen a un sinnúmero de personas naturales, pues que sepan que ya no será tan fácil gestionar esa información y que, en la medida en que los mantengan, deberán ser capaces de facilitarles a los titulares el ejercicio de los derechos que la LOPDP les conceden, además de tener que cumplir un vasto espectro de obligaciones.
Pero, aparte del titular y pese a que hay algunos más, juegan un rol preponderante estos personajes:
Pedir cualquier dato ya no es una opción; transferirlos libremente, peor.
Los ciudadanos nos hemos acostumbrado a llenar todo tipo de formularios, electrónicos o en soporte papel, en los que se solicitan todo tipo de datos. En muchos casos, la información que se nos requiere nos parece excesiva, impertinente o incluso invasiva de nuestra privacidad, tomando en cuenta cuál es la finalidad que perseguimos cuando nos vemos obligados a entregarla.
La LOPDP tiende a suprimir esa y otras prácticas abusivas, a la par que obliga a todos quienes tratan datos a informarles a los titulares:
De igual manera, y salvo ciertas excepciones expresamente previstas en la LOPDP, la transferencia libre de datos de carácter personal ha dejado de ser, al menos dentro de la ley, una posibilidad, pues el titular deberá prestar su consentimiento expreso para que puedan ser cedidos, siempre y cuando se le haya entregado previamente información suficiente sobre los fines u objetivos que se persiguen con la cesión. Tenga muy en cuenta esto si, como parte de sus prácticas comerciales o profesionales, suele comprar o vender bases de datos, pues las consecuencias podrían resultarle muy costosas.
Multas significativas
En letra muerta quedarían las disposiciones de la LOPDP si no fuese por la presencia amenazante de multas que pueden ser cuantiosas. Así, tenemos que para el responsable o, en su caso, para el encargado del tratamiento de datos personales que pertenezcan al ámbito privado, las sanciones pueden ser:
¿Qué hacer?
A estas alturas, ya se habrá dado cuenta de que —bien sea como responsable o bien fuere como encargado—, definitivamente usted, su empresa u organización “tratan” datos de carácter personal. Por ende, por mucho que se resista, probablemente no está lejos del alcance de la LOPDP y, de hecho, casi nadie lo está. Entonces, debe empezar a actuar con la adecuada asesoría tecnológica y jurídica para:
1.1. La aplicación de medidas dirigidas a impedir que, sin esfuerzos desproporcionados, se pueda identificar o volver a identificar a una persona natural a través de sus datos personales (medidas de anonimización).
1.2. La implementación de medidas que impidan asociar datos personales a sus titulares concretos (medidas de seudonimización).
1.3. Recabar el consentimiento libre, específico, informado e inequívoco de los titulares para el tratamiento de sus datos, así como facilitar su eventual revocatoria.
1.4. Facilitar, de forma expedita, el ejercicio de los derechos que la LOPDP les franquea a los titulares en relación a sus datos personales, lo que incluye el derecho de eliminación y a la suspensión del tratamiento.
1.5. La protección de datos personales desde el diseño.
1.6. La protección de datos personales por defecto.
1.7. Adoptar las mejores prácticas en materia de seguridad integral de datos personales, según cuál fuere el alcance del tratamiento.
1.8. La realización de análisis de riesgo, amenazas y vulnerabilidades.
2.1. Avisos o declaraciones, en lenguaje sencillo y directo, que les permitan a los titulares viabilizar su derecho a la información sobre los fines del tratamiento de sus datos, así como sus clases, base legal, etcétera.
2.2. Contratos, entre los responsables y los encargados, que incluyan cláusulas de confidencialidad y de tratamiento adecuado de datos personales.
2.3. Cláusulas de confidencialidad y de tratamiento adecuado con el personal que tendrá acceso a datos de carácter personal.
Como se ve, los frentes a cubrir y las tareas a realizar son múltiples. Sin embargo, aún hay tiempo. No hay que esperar hasta el 26 de mayo del 2023 para tomar las medidas correctivas, pues desde esa fecha la LOPDP se hará sentir con toda su fuerza.
Consulegis Abogados
Fabrizio Peralta Díaz
[1] Según la LOPDP, la elaboración de perfiles es una forma de tratamiento de datos “que permite evaluar, analizar o predecir aspectos de una persona natural para determinar comportamientos o estándares relativos a: rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, ubicación, movimiento físico de una persona, entre otros”.
[2] Ciertamente, en la LOPDP se ha cometido el error de utilizar, a la vez, el techo de la multa por infracción leve como piso de la multa por infracción grave.
Sobre el autor