El control de tus datos vuelve a estar en tus manos.
El próximo mes de mayo comenzará a ser de aplicación el General Data Protection Regulation (GDPR), es decir, el nuevo Reglamento Europeo en materia de protección de datos.
Si tuviéramos que definirlo con una característica principal, diríamos que pretende devolver a los consumidores los derechos sobre sus bienes más íntimos: sus datos personales. Este nuevo Reglamento es una norma directamente aplicable, es decir, no requiere transposiciones ni adecuaciones, por lo que será la que prime por encima de legislaciones nacionales como nuestra Ley Orgánica de Protección de Datos (LOPD), aunque nuestra Ley está muy en sintonía con el nuevo Reglamento en el sentido de que todo tratamiento de datos necesita apoyarse en una base que lo legitime, por lo que todas aquellas empresas que cumplan con la norma española tendrán una muy buena posición de salida para cumplir también con la europea.
¿Qué nuevas implicaciones traerá el Reglamento Europeo?
Una de las novedades más importantes y la primera de la que os vamos a hablar, es el concepto de “privacidad por diseño y por defecto”. Se pretende conseguir que la materia en protección de datos nazca desde el mismísimo primer momento, es decir, desde el diseño del servicio y/o tratamiento. En el artículo 25 del Reglamento se dice que “teniendo en cuenta el estado de la técnica” debemos aplicar medidas técnicas y organizativas encaminadas a proporcionar de forma efectiva los principios de protección de datos. Esto puede suponer una revolución donde se deba rediseñar gran parte de la política de privacidad de los sistemas actuales TIC, de las aplicaciones, los acuerdos con proveedores técnicos…
El artículo 30 y los considerando 89 al 91 del Reglamento mencionan el paso de la antigua obligación de inscribir ficheros de la LOPD a la obligación de efectuar un análisis de riesgos para determinar el impacto que pueda tener el tratamiento sobre los derechos y libertades en relación a la protección de los datos personales. Es decir, el Reglamento considera que las antiguas medidas de notificar los ficheros a las autoridades de control no contribuyeron a mejorar la protección de datos personales y deben ser sustituidas por la obligación de realizar una evaluación del impacto cuando sea probable que el tratamiento entrañe un alto riesgo para los derechos y libertades de los interesados.
Quizá una de las novedades más curiosas es el paso del consentimiento tácito al explícito, es decir, deberemos dar el “sí quiero” expresado de manera clara y, por ejemplo en el caso de las cookies, vendrán reguladas por el Reglamento de e-privacy en el que se propone (aunque esto está por ver) abandonar los avisos informativos de las webs y obtener el consentimiento a través de la configuración de la privacidad del navegador. Con respecto a este reglamento e-privacy, es reseñable que la dirección IP pasa a considerarse un dato de carácter personal.
Antes de expresar activamente nuestra conformidad, las compañías que vayan a manejar nuestros datos personales nos deberán contar de manera pormenorizada para qué propósitos van a utilizarlos, quién es el encargado de explotar nuestros datos, de qué manera lo van a hacer y, además, nos deberán facilitar la vida mucho en materia de derechos si en algún momento decidiésemos revocar nuestro consentimiento. Todo ello explicado de manera muy clara y sucinta para que todos lo podamos comprender sin ningún problema.
Y es que en relación a este tipo de derechos ARCO, junto a los nuevos derechos de limitación del tratamiento y la portabilidad, se fundamenta la nueva normativa. Como se venía haciendo se obligará a las empresas a facilitarnos el ejercicio de nuestros derechos de acceso y rectificación. El derecho al borrado de los datos personales (una variante de los derechos de cancelación u oposición en el mundo digital) evoluciona en el derecho al olvido, que nos permite eliminar nuestros datos personales en función a una serie de supuestos, por ejemplo, que ya no fueran necesarios para el objetivo por el que fueron recabados o que fueran obtenidos de forma ilícita. Como vemos, este derecho al olvido se entiende como una manifestación de los derechos de oposición o cancelación en el entorno online. El derecho a la portabilidad es otra de las novedades, ya que ahora podremos exigir a las empresas que pasen nuestros datos a otras a través de un formato normalizado.
El derecho de limitación del tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que le correspondieran. Sobre el de portabilidad debemos mencionar que es una forma avanzada del derecho de acceso por el cual la copia que se proporciona al interesado se da en un formato estructurado, de uso común y de lectura mecánica.
Con respecto a las nuevas obligaciones para las organizaciones podemos destacar dos: el principio de responsabilidad proactiva y el enfoque del riesgo.
La primera hace referencia a las medidas técnicas y organizativas que una empresa tiene para demostrar que su tratamiento de datos personales cumple con el Reglamento. Es decir, llevar la proactividad como bandera.
La segunda va más enfocada a adaptarse a las características intrínsecas de las organizaciones y su nivel de riesgo con el tratamiento de datos personales. En definitiva, se trata de aplicar medidas de control teniendo en cuenta la naturaleza de los datos, el número de interesados afectados, la cantidad y variedad de tratamientos que una misma organización lleve a cabo, su ámbito, el contexto, los fines del tratamiento y, sobre todo, el riesgo inherente a éste para salvaguardar los derechos y libertades de las personas.
Se desprende de todo lo anterior que las empresas deben ser diligentes en la salvaguarda de sus datos, deben implementar procesos normalizados para la obtención del consentimiento explícito y tener desarrollado un plan de acción que les permita aplicar correctamente el GDPR, desde las primeras fases de análisis de la situación inicial hasta el método que usarán para el tratamiento y custodia de los datos personales que manejen.
Os dejamos con una infografía que hemos creado para dar a conocer los nueve pasos fundamentales que se deben dar para cumplir con el Nuevo Reglamento.
Como vemos en la infografía se trata de un proceso de adaptación y revisión continua para asegurar el correcto tratamiento de los datos personales que manejas:
Lo primero que debemos comenzar a hacer es concienciar. Conseguir el compromiso de los trabajadores e incorporar la cultura del respeto por los datos personales. Hazles entender que el principal activo de toda empresa son sus datos, la información. Conocerlos en profundidad será vital para obtener un buen cumplimiento con el GDPR, así que pregúntate qué datos personales tienes, dónde los tienes y quién tiene acceso a ellos. Revisa después tus normas de privacidad y asegúrate de que se expresan de manera clara y adecuada para que todas las personas las puedan comprender.
Comunica sus derechos a los interesados para que los entiendan fácilmente, incluidos el derecho al olvido, la limitación del tratamiento y la portabilidad de los datos, sé proactivo e implanta los procedimientos necesarios para dar respuesta a estos derechos.
Evalúa tu procedimiento actual y garantiza que puedes proporcionar la información que se te solicita dentro de los nuevos plazos.
Las políticas en el proceso de recopilar datos personales y evaluar el impacto que éstos pueden tener en caso de riesgo, como hemos visto anteriormente, tienen un peso importante. Así que revisa tus políticas legales y procedimientos para asegurar que cumples con las nuevas obligaciones en el tratamiento y la seguridad de los datos personales en todas sus etapas, desde la obtención a su eliminación. Desde este punto podrás iniciar la evaluación de impacto de las áreas de negocio en las que el riesgo en el tratamiento de los datos sea alto.
Replantea tu modo de conseguir y registrar el consentimiento asegurándote de que sea explícito y claro. Ten especial atención con los menores de edad, corrobora su edad y consigue el consentimiento de sus padres o tutores legales.
El cómo localizar y comunicar las brechas de seguridad implica diseñar muy a conciencia las políticas que seguirás en materia de protección de datos. Asegúrate de contar con un proceso diseñado para detectar e informar a las personas de manera oportuna en caso de que se produzca una brecha de seguridad, y aprovecha el GDPR para aportar valor a tu negocio con el buen hacer en materia de protección de datos personales.
Por último, en ocasiones, será necesario que cuentes con un Delegado de Protección de Datos (DPO). Infórmate de si es tu caso. Esta figura será la responsable de garantizar el cumplimiento del nuevo Reglamento, informará y asesorará, supervisará las peticiones sobre los datos personales de los afectados y se encargará de aplicar el protocolo de seguridad diseñado.
Mayo está muy cerca, ¿ya has comenzado con la adecuación al GDPR? Si lo necesitas, nosotros te podemos ayudar.
