Novedades sobre protección de datos

Durante el 25 y 26 de abril se celebran en el Centro de Formación de la Seguridad Social (Pozuelo de Alarcón) las Jornadas de Informática de la Seguridad Social, coordinadas por la Gerencia de Informática de la Seguridad Social (GISS).

En esta convocatoria el tema principal es la incorporación del nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europa a la normativa nacional, derogando la antigua Directiva 95/46/CE . Al tratarse de un Reglamento de la Unión posee aplicabilidad directa en los estados miembros, no necesitando transposición al cuerpo legal nacional. No obstante, en España las Cortes ya están trabajando en una nueva Ley Orgánica que sustituirá a la antigua Ley Orgánica de protección de datos del año 1999 para adaptarla plenamente al nuevo Reglamento.

Ante la inminente aplicación del Reglamento el próximo 25 de mayo, la GISS organizó una Mesa Redonda donde participaron expertos en la materia de todas las Entidades Gestoras y los Servicios Comunes que conforman la Seguridad Social, además un representante del Gabinete del Secretario de Estado de la Seguridad Social. Durante el coloquio cada experto analizó los principales retos que tendrá que afrontar la Seguridad Social, enfocado desde cada uno de sus puntos de vista.

Principales novedades del Reglamento

Entre las principales novedades que plantea la nueva normativa y que puedan afectar al trabajo diario de la Seguridad Social destaca el campo de las Obligaciones en el tratamiento de los datos. En ellas, el nuevo reglamento separa las figuras del Responsable del tratamiento, el cual deberá diseñar las medidas técnicas y organizativas adecuadas, garantizando que son las idóneas y además poder demostrar que el tratamiento sobre la naturaleza de los datos y su finalidad es el correcto, (responsabilidad proactiva); y por otro lado, el Encargado del tratamiento, que aplicará con las suficientes garantías las medidas fijadas previamente por el responsable. Desaparece la actual obligación de inscribir ficheros y la clasificación de los niveles de seguridad, dejando al criterio del responsable la adopción de las medidas adecuadas que garanticen el tratamiento según la normativa.

Este nuevo concepto de responsabilidad proactiva  supone un cambio de filosofía además de un cambio técnico, obligando a realizar todo un proceso de anticipación para valorar qué tipo de medidas de tratamiento debemos aplicar y cómo debemos hacerlo, realizando un análisis de riesgo en función de la naturaleza de los datos personales que manejamos. En concreto, se trata de realizar un estudio de las medidas desde el diseño, procurando que sean las adecuadas,  y por defecto, al procesar solamente los datos imprescindibles, limitando su acceso y su conservación.  Además se realizará una evaluación del impacto sobre los riesgos específicos para los derechos y libertades de los interesados que se puedan ver vulnerados, junto con las posibles violaciones de seguridad ante las que se establece un protocolo de actuación.

Por otro lado, el Reglamento incide en la licitud del tratamiento a aplicar con la identificación obligatoria de la base jurídica, siempre adaptada al tipo de tratamiento y las características de las organizaciones. Como novedad, se incluye que el consentimiento del interesado debe ser inequívoco o mediante una clara acción afirmativa, no permitiendo el consentimiento tácito o por omisión que si contempla la todavía vigente ley de protección de datos. Avanza el ámbito de los derechos del interesado ampliando el antiguo concepto de “derechos ARCO” de la antigua ley por una versión más completa y actual de derechos, ofreciendo algunos nuevos como son el derecho de supresión o “derecho al olvido”, derecho a la limitación del tratamiento o derecho a la portabilidad de los datos, entre otros. Todo ello para adaptar la normativa al mundo digital, concretamente al tratamiento de datos en las redes sociales e internet.

Nuevas herramientas

Una de las principales novedades del Reglamento es la figura del Delegado de Protección de Datos. Este cargo, que es obligatorio cuando el tratamiento sea llevado a cabo por un organismo público, en el ámbito de la Seguridad Social ha recaído en la Directora del Servicio Jurídico, María Nieves Ciruelos,  la cual estará asistida por una Comisión de apoyo al Delegado de Protección de Datos. En su intervención, la Delegada de Protección de Datos recordó que “la función del Delegado es informar, asesorar y supervisar” siempre bajo la tutela de la Agencia Española de Protección de Datos.

En la Mesa Redonda fue unánime la idea de colaboración y unidad entre todas las organizaciones que componen la Seguridad Social, para adaptar la nueva normativa al entorno concreto del sector y poder acometer de la manera más eficaz posible los futuros retos que se plantean. De un lado, está la ingente cantidad de datos personales y sensibles que maneja la Seguridad Social, que dificulta cumplir las obligaciones y el aumento de los derechos de los ciudadanos, y de otro lado, el avance continuo en la administración electrónica y la adaptación de los procesos a los medios electrónicos para facilitar soluciones ante los nuevos retos.

En previsión, el Gerente de Informática de la Seguridad Social, Jorge Rincón, anunció que el Ministerio de Empleo y Seguridad Social está trabajando en una nueva herramienta de tratamiento de datos que garantice la adaptación a la nueva normativa del enorme volumen de datos propios que maneja la Seguridad Social. Otra de las ideas más repetidas fue “se impone el cambio de los ficheros LOPD de datos al concepto más actual de tratamiento de datos RPDP, además de una gestión más eficaz y transparente”, .