Actualidad | Artículos | 08 JUN 2015

Las 3Cs de la protección de datos personales y la privacidad

Una empresa que trata datos personales de sus clientes conforme al principio de responsabilidad cumple, genera confianza y es competitiva.
symantec_proteccion_datos
Miguel Recio Gayo

La protección de datos personales o la privacidad son, para cualquier empresa, una cuestión de responsabilidad (en inglés, “accountability”), lo que implica que sean también un aspecto clave a considerar como objetivo estratégico y a las que se debe atender desde el punto de vista del cumplimiento necesario, generar confianza entre las partes interesadas y ser competitiva.

Además, la protección de datos y la privacidad son una cuestión transversal, que afecta a todas las áreas y acciones de la empresa, incluso en relación a sus empleados, y están íntimamente interrelacionadas con la ciberseguridad.

Con independencia de que se adopte una aproximación estadounidense, centrada casi por completo en la protección de los consumidores, o europea, que hasta el momento ha prestado más atención a la vertiente de la protección de datos como derecho fundamental, y sin olvidar ni obviar los marcos de referencia en la materia en otras latitudes geográficas; la protección de datos y la privacidad son una cuestión que, en la práctica, implica buscar como objetivo las tres Cs de cumplimiento, confianza y competitividad.

Resulta indiferente, sin perjuicio de la responsabilidad específica exigible en cada caso, que la empresa actúe como responsable o como encargado del tratamiento. No es una cuestión de quién decide sobre el tratamiento de los datos personales, lo que corresponde al responsable del tratamiento, si no de tratar los datos personales respetando a la persona física, que es el titular de los mismos.

El cumplimiento es ineludible para cualquier empresa, con independencia de que la fuente de la obligación sea una norma legal o regulación, una obligación contractual con un socio de negocio o la autorregulación. Es, además, lo que diferencia a una empresa “responsable” de otra irresponsable o, incluso, que en el peor de los casos actúa al margen de toda norma.

En ocasiones será posible que alguien piense que incumplir puede ser barato, pero obviamente quien lo hace se expone a pagar un alto precio ya que la sanción que, en su caso, pueda imponer la autoridad garante o la autoridad reguladora, va acompañada también de publicidad negativa, pérdida de clientes e, incluso, la pérdida de oportunidades con socios, otros inversores y/o accionistas.

 

La protección de datos personales o la privacidad no son imposibles, son una cuestión de responsabilidad que debe aplicarse por la empresa según un principio de proporcionalidad, evaluando el valor de sus activos y sin perder de vista que cuando éstos son datos personales, se refieren a una persona, el cliente o potencial cliente. Sin clientes o potenciales clientes no hay datos personales que tratar y sin datos personales es difícil poder desarrollar productos o servicios innovadores y competitivos.

Generar y mantener la confianza a lo largo del tiempo no es una tarea fácil, pero no cabe duda de que garantizar la protección de datos y la privacidad ayuda en su consecución. No se trata sólo de la confianza de los clientes o potenciales clientes, sino de la confianza de todas las partes interesadas, entre las que se encuentran una amplia lista de sujetos, tales como socios, autoridades de protección de datos y otras autoridades reguladoras. Y la confianza es clave para el éxito de cualquier organización.

Quizás en los Estados Unidos de América haya una mayor percepción en la práctica de la interrelación entre privacidad y competitividad, siendo buena muestra de ello las facultades conferidas en la materia a la Comisión Federal de Comercio (en inglés, Federal Trade Commission, FTC) y algunas acciones llevadas a cabo hasta la fecha. Pero no hay que olvidar ni puede pasar desapercibido que en el caso de la Unión Europea, el objetivo de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, es armonizar las legislaciones nacionales en la materia para, entre otras cuestiones, evitar, por una parte, “un obstáculo para el ejercicio de actividades económicas a escala comunitaria” y, por otra, “falsear la competencia” (considerando 7).

En cualquier caso, a ambos lados del Atlántico avances como los tratamientos masivos de datos (“big data”) y el Internet de las Cosas (en inglés, Internet of Things, IoT), son ya objeto de atención por las autoridades garantes y reguladoras sobre protección de datos y privacidad, que están uniendo los puntos de interrelación entre la protección de datos o la privacidad, en cada caso, y las 3Cs. Y esto debe ser una clara señal para las empresas de cuál es la hoja de ruta a seguir.

El mercado digital único, a pesar de que han pasado ya unos años, sigue siendo una prioridad en Europa, y lo es también la protección de datos personales, por lo que cualquier empresa, esté establecida en o fuera de la Unión Europea, debe considerar la protección de datos personales y la privacidad como un componente esencial en su plan de negocio, desde el principio, si quiere ser realmente competitiva, cumplir, siendo responsable, y generar confianza.

Es decir, considerar la protección de datos y la privacidad desde el inicio (en inglés, “privacy by design”) de un proyecto o tecnología, ya consistan éstos en un producto o un servicio; evaluar los riesgos para la protección de datos (“data protection impact assessment”); y adoptar medidas para controlar en todo momento el riesgo, con la ayuda del delegado de protección de datos (“Data Protection Officer”), es un plan de acción esencial por lo que se refiere a conseguir metas en materia de cumplimiento, confianza y competitividad.  

En definitiva, un buen nivel de cumplimiento en protección de datos por la empresa genera la confianza necesaria entre las partes interesadas, tanto sus clientes como otros sujetos, lo que permite a dicha empresa ser competitiva en el mercado. El escrutinio al que se ven sometidas las empresas, especialmente en el ámbito de la protección de datos y la privacidad, requiere que éstas adopten medidas, proactivas cuando ello sea posible, que les permitan gestionar el riesgo que implica todo tratamiento de datos personales.

 

Miguel Recio Gayo

Abogado del Ilustre Colegio de Abogados de Madrid; Licenciado en Derecho por la Universidad Carlos III; Máster en Protección de Datos, Transparencia y Acceso a la Información por la Universidad CEU San Pablo y Máster en Derecho de la Propiedad Intelectual por The George Washington University Law School. Es socio fundador de Global Data Protection Consulting, una firma de servicios jurídicos y consultoría en Derecho de las TIC. Es autor de diversas publicaciones sobre protección de datos y otras áreas del Derecho de las TIC. Madrid, España.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información