El 25 de mayo de 2018 se aplicará el Reglamento General de Protección de Datos (RGPD), que sustituye a la actual normativa vigente, pero ¿sabes en qué consiste?
El tratamiento de datos personales que, de sus clientes y usuarios, realizan las empresas, debe de ser siempre llevado a cabo desde las más estrictas medidas de seguridad y confidencialidad. Por ello, toda empresa está obligada a cumplir con la llamada Protección de Datos de carácter personal que hayan podido obtener, sea cuál sea la vía, de las personas que han utilizado sus servicios.
¿Qué es la protección de datos?
La protección de datos es una rama del Derecho que ha surgido no hace mucho, con el objeto de proteger la intimidad personal y el derecho al honor, entre otros derechos fundamentales, frente a los posibles riesgos derivados de la recogida y uso de datos personales por empresas e instituciones. Se entienden como datos personales todos los referidos a la esfera particular de la persona y que, de una u otra forma, puedan utilizarse para evaluar aspectos tales como hábitos de compra, rutinas familiares, creencias personales, historial médico o psicológico, etc. La importancia de su regulación surge a raíz del comienzo del tratamiento informático de estos datos, que permite una flexibilidad de comunicación tan alta, que hace que los mismos sean fácilmente transmitidos a cualquier persona en el mundo.
¿Por qué es tan importante?
Ante estas situaciones, los Estados empezaron a plantearse la necesidad de limitar este tráfico y uso masivo de datos por llegar a considerar que se estaban mermando derechos fundamentales tales como el derecho al honor y a la intimidad personal y familiar. Actualmente en España, la protección de datos es considerada una rama jurídica autónoma e independiente de los derechos anteriormente mencionados, pues el Tribunal Constitucional ha advertido de que el tratamiento de los datos personales no solo puede lesionar el derecho al honor o a la intimidad, sino otros múltiples derechos de la personalidad.
Además, es tan importante este derecho a nivel internacional que, la Carta de los Derechos Fundamentales de la Unión Europea lo califica como derecho fundamental de cualquier ciudadano en su artículo 8, apartado 1. Por ello, y para tratar de eliminar las posibles disparidades de trato en los Estados Miembros de la Unión Europea, es por lo que se ha elaborado el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos). Este Reglamento entra en vigor el 25 de mayo de 2018, momento desde el que se convierte en instrumento de aplicación directa a cualquier empresa que preste sus servicios en los Estados Miembros de la Unión Europea.
Notas sobre el Reglamento general de protección de datos
El Reglamento general de protección de datos, incluye en su redacción algunas mejoras muy importantes en los derechos de los usuarios que, aunque ahora vamos a mencionar someramente, luego desgranaremos más en profundidad en los siguientes apartados. Una de estas novedades es el, ya referenciado, consentimiento expreso, claro y directo del propietario de los datos con respecto al tratamiento, pues anteriormente estaba admitido el consentimiento tácito que queda ahora desterrado.
Además, también se introduce el derecho al olvido, que permite la solicitud de cancelación de nuestros datos personales siempre vinculado a ciertos requisitos o exigencias. Otra de las principales medidas que se van a implementar es la de la figura del Delegado de Protección de Datos, que será el encargado directo del tratamiento de datos y del cumplimiento por parte de la empresa de todos los deberes relativos a ello, e incluso se encargará de dar soluciones a las posibles reclamaciones de usuarios que puedan sentirse perjudicados. Estas reclamaciones incluso podrían llegar a devengar una indemnización por los daños y perjuicios que se causaren al titular de los datos en el caso de un tratamiento ilícito de los mismos; o sanciones millonarias para la empresa incumplidora del Reglamento, 20.000.000 de euros como máximo o, una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
¿Cuáles son las obligaciones de las empresas?
Dentro de los datos que se encuentran protegidos, y que por tanto no pueden ser cedidos a terceros sin el expreso consentimiento del titular de los mismos, no sólo se encuentran el nombre, apellidos o número de identificación fiscal, como datos básicos de la persona. También están protegidos, con más razón aún si cabe, los datos que son de especial sensibilidad, que en lo relativo a la prestación de servicios de psicología son los referidos a la salud, tanto psíquica como física, del usuario o paciente. Es decir, las empresas prestadoras del servicio están obligadas a actuar de conformidad al Reglamento general de protección de datos, así como a la Directiva 2011/24/UE del Parlamento Europeo y del Consejo, debiendo incluir como tratamiento de datos personales cualquier información sobre la persona física que se vaya a recoger con ocasión de su inscripción a efectos de asistencia sanitaria, o de la propia prestación de tal asistencia.
El consentimiento para todo ello debe de darse de forma expresa y clara, siendo válido el otorgamiento del mismo a través de la propia aplicación en la que se presta el servicio, marcando la casilla de conformidad habilitada al efecto. Una vez prestado el consentimiento, el tratamiento por parte de las empresas debe de ser lícito y leal. Debe de informarse, siempre y en todo caso, de los datos que se están recogiendo, utilizando, consultando o tratando. El lenguaje a utilizar será sencillo y claro, de forma que pueda ser correctamente entendido por cualquier persona. Además, la empresa también debe de ofrecer al usuario una serie de datos sobre ella misma y su funcionamiento en este aspecto, a saber, la identidad del responsable del tratamiento de los datos, los fines para los que son recogidos y aquellos que se recabarán. Por supuesto, también se debe de informar del lapso temporal durante el que se va a seguir realizando el tratamiento de los datos y el momento en el que pasarán a ser destruidos.
Es decir, los datos deben ser tratados de manera lícita, leal y transparente en relación con el interesado. Sin embargo, aun cuando el Reglamento dispone que sólo podrán utilizarse para los fines para los que se otorgó el consentimiento, establece la excepción cuando el uso de los mismos sea para fines de archivo en interés público, investigación científica e histórica o fines estadísticos, en cuyo caso deberán de tomarse las medidas y garantías oportunas para garantizar la aportación de la mínima cantidad de datos que puedan identificar al individuo, por ejemplo a través de la pseudonimización de los datos aportados.
Por ende, las empresas responderán de los datos tratados de manera tal que sean capaces de garantizar una seguridad adecuada de los mismos, incluyendo su protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental. Todo ello, mediante la obligación de una correcta aplicación de las pertinentes medidas técnicas u organizativas para garantizar la integridad y confidencialidad de los mismos, siendo capaces de demostrar que se está ejerciendo esa responsabilidad proactiva de los derechos de los usuarios.
Por último, al tratarse de una categoría especial de datos personales la mayoría de los que se tratarán en el desarrollo de la terapia psicológica, como datos genéticos, biométricos, relativos a la salud o incluso relativos a la vida sexual o la orientación sexual del usuario, existe una excepción para ello. En general, y para la gran mayoría de empresas, su tratamiento está prohibido, siendo que sólo podrá realizarse si se cumple alguna de las excepciones establecidas por el propio Reglamento, en el caso que nos ocupa, cuando el tratamiento de estos datos sea necesario para el diagnóstico médico, la prestación de asistencia o tratamiento de tipo sanitario o social.
Y el usuario, ¿qué derechos tiene?
Los derechos que el Reglamento concede a los titulares de los datos tratados son muy extensos, ya que se quiere conferir una protección lo más amplia posible y sea cuál sea la situación en la que suceda el tratamiento. Por ello, vamos a exponer aquí los aplicables a los usuarios de los servicios de terapia en línea.
– Derecho a la información, acceso, rectificación y supresión de los datos personales recogidos por la empresa. El interesado tiene derecho a que la empresa responsable le confirme si se están tratando sus datos personales, y a recibir toda la información con respecto a ese tratamiento. También a que se le facilite una copia de los datos personales que son objeto del tratamiento, y en caso de que estos fueran inexactos o incompletos, a que se rectifiquen y/o completen. Por último, también podrá el interesado solicitar la supresión de sus datos, lo que se ha calificado como derecho al olvido.
– Para que se pueda solicitar el derecho al olvido de los datos personales debe de concurrir, al menos uno, de estos requisitos, a saber, los datos personales ya no son necesarios para los fines para los que se recogieron; el interesado ha retirado el consentimiento para el tratamiento de los datos relativos a su salud; el interesado se opone al tratamiento de los datos por parte de la empresa; o los datos personales han sido tratados ilícitamente.
– Derecho a la limitación del tratamiento de los datos siempre que el interesado lo solicite por alguna de las causas establecidas en el Reglamento: si se ha impugnado la exactitud de los datos personales, durante el tiempo que dure la verificación de este extremo; si se ha producido un tratamiento ilícito de los datos; si el responsable ya no necesita los datos, pero el interesado sí los necesita para formular, ejercer o defender una posible reclamación; o cuando el interesado se ha opuesto al tratamiento de sus datos, mientras que se dilucida si corresponde aceptar tal oposición.
– En el caso de los datos especialmente sensibles que se hayan recogido en el transcurso de la aplicación de las terapias en línea, o con ocasión de la solicitud de la información previa, el interesado tiene derecho a que esos datos le sean transferidos en un formato estructurado, de uso común y lectura mecánica, para poder transmitirlos a otro responsable de tratamiento de datos.
– Recibir cualquier comunicación relativa a sus datos personales de forma clara, concisa y perfectamente inteligible, así como tener un acceso fácil a estas comunicaciones.
– Ejercido cualquier derecho sobre sus datos personales, la empresa debe informar al interesado del estado de su solicitud en el plazo máximo de un mes desde la recepción de la misma. En el caso de extrema complejidad, o un número elevado de peticiones, el plazo para atender la solicitud podrá ampliarse hasta los dos meses, pero siempre informando de estas circunstancias al interesado en el plazo de un mes desde la recepción de la solicitud.
– En el caso de que el responsable del tratamiento de los datos decidiera no aceptar la actuación solicitada por el titular de los datos, deberá de informarle de los motivos por los que se deniega la misma en el plazo más breve posible, y como máximo un mes desde la recepción. Además, el interesado debe de ser informado sobre la posibilidad de presentar la pertinente reclamación ante la correspondiente autoridad de control o ante el órgano judicial.
– El titular de los datos tiene derecho a la gratuidad del trámite de información, así como a cualquier otro sobre sus datos personales, como la rectificación o incluso la cancelación. Sin embargo, en ocasiones, las empresas podrían llegar a cobrar un pequeño canon por este trámite en los casos en los que se trate de solicitudes objetivamente infundadas o excesivas, sobre todo las de carácter repetitivo. Este canon debe de ser razonable conforme a los costes administrativos que se afronten para dar curso a la solicitud. En cualquier caso, otra opción que puede ser planteada al titular es la de la negación a realizar cualquier actuación con respecto a la solicitud. En ambos casos será el responsable del tratamiento el que soporte la carga de demostrar que la solicitud es infundada o excesiva si el titular decidiese tomar acciones legales.
– La persona de la que se recoja cualquier dato personal tiene derecho a recibir cierta información de parte de la empresa que la recoge, entre esta nos encontramos con, los datos de identidad y contacto del responsable del tratamiento, los del delegado de protección de datos, los fines con los que se recogen y la base jurídica que fundamenta la recogida, los destinatarios de los datos recogidos y si van a ser transferidos a un tercer país o a una organización internacional. Además, se le informará del lapso de tiempo durante el que se tratarán los datos, la existencia del derecho de acceso, rectificación o supresión, el derecho a la retirada del consentimiento para el tratamiento de los datos especialmente sensibles de los que hablábamos más arriba, que deberán de dejar de tratarse inmediatamente, o el derecho a presentar una reclamación ante el órgano de control.
– En el caso de que la comunicación de los datos personales se haga en virtud de una relación legal o contractual, se debe de informar sobre si el interesado está obligado a facilitar los datos solicitados, así como de las consecuencias que tendrá en el contrato el no hacerlo.
– Para los casos en los que el responsable del tratamiento llegara a modificar, a posteriori, los fines para los que se recogieron los datos en un inicio, el usuario tiene derecho a ser informado de esta circunstancia y podrá no otorgar permiso para ese nuevo fin.
– Finalmente, como ya avanzábamos más arriba, en el caso de que, por una infracción del Reglamento, el usuario sufriera algún daño o perjuicio, tendrá derecho a una indemnización acorde a los daños o perjuicios sufridos.
Como contrapeso de todos estos derechos, el interesado tiene un único deber, y es el de acreditar plenamente su identidad ante el responsable del tratamiento de los datos personales, que puede solicitarle que le facilite la información adicional que sea necesaria para dicha verificación. Si bien no podemos obviar que realmente esto es un derecho de los propios interesados, pues su finalidad es precisamente la de garantizar ante todo la confidencialidad e integridad de los datos personales.
¿En qué ayuda Divan a no saltarse la normativa relativa a la protección de datos?
La aplicación ofrecida por el portal está diseñada para ayudar tanto a las empresas que ofrecen sus servicios, como a los usuarios de estos, a tomar unas adecuadas medidas de protección de datos personales. En la misma se incluye la posibilidad de otorgamiento del consentimiento expreso que el usuario debe otorgar para que la empresa pueda realizar el tratamiento de sus datos. Y por supuesto, cuenta con todas las medidas de seguridad y encriptación necesarias, dirigidas a que los datos obtenidos sean canalizados de forma segura hasta la empresa destinataria, sin filtraciones que puedan poner en peligro la confidencialidad de estos. Todo esto de acuerdo a la normativa legal aplicable al tratamiento de datos personales y datos especialmente protegidos de la que ya hemos hablado más arriba.