Reglamento General de Protección de Datos

Todo lo que necesitas saber: entrada en vigor, cómo funciona, cómo te afecta, consentimiento expreso, seguridad y sanciones

Visitas: 51

El pasado 4 de Julio publicamos en este blog el artículo titulado La Externalización a La Nube: Clave para el cumplimiento del nuevo reglamento general de protección de datos, en el que hablaba sobre el Reglamento General de la Protección de Datos – RGPD - (en inglés GDPR). Han sido muchos los clientes que nos han transmitido su incertidumbre sobre este tema incluso han restado importancia o urgencia al mismo dado que han interpretado que dicho reglamento entra en funcionamiento en Mayo de 2018, y que llegada esa fecha ya veremos.

Comentar que si bien en este artículo nos basamos en el RGPD, existen otras normativas, como la Directiva sobre la seguridad de la red y los sistemas de información (Directiva NIS), que imponen nuevos requisitos de seguridad de la red y los sistemas de información a los operadores de servicios esenciales y proveedores de servicios digitales (DSP, por sus siglas en inglés) y que por su amplitud trataremos en próximos artículos. Volviendo al tema que nos atañe; primer error, el RGPD entró en vigor en mayo de 2016, por consiguiente, todas las organizaciones deben de tomar las medidas organizativas necesarias para su cumplimiento, y desde esa fecha hasta Mayo de 2018 tendrán tiempo para adaptarse al cumplimiento del nuevo reglamento, y será llegada esta fecha cuando se comenzará a aplicar sanciones a todas aquellas organizaciones que no cumplan o infrinjan el RGPD.

El nuevo reglamento europeo para la protección de datos es mucho más complejo de lo que algunos quieren ver y desde estas líneas vamos a tratar de aclarar un pedacito de todo lo que abarca. Debemos aclarar que el RGPD, surge porque cada vez más los ciudadanos somos conscientes de la importancia de nuestro derecho a la privacidad y por consiguiente los legisladores han visto la necesidad de dar un marco legal a cómo utilizar la información, como autorizamos a las entidades a utilizar esos datos, como controlamos que esos datos no sean usados de una manera que a nosotros no nos gustaría.

Si efectuamos una definición de “datos personales”, podemos referirnos a ellos como «Toda información relacionada con una persona física identificada o identificable» (el “interesado”).

Esto incluye identificadores online como direcciones IP e información recogida por cookies, si pueden vincularse con el interesado. Asimismo, incluye cualquier otra información que directa o indirectamente permita determinar la identidad de una persona, como por ejemplo elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social. No existe ninguna distinción entre los datos personales de un interesado que pudieran corresponder a distintos ámbitos (privado, público o laboral), estando todos ellos cubiertos por este reglamento.

El RGPD impacta tanto a organismos públicos como privados, empresas de todas las industrias. No cometamos el error de pensar que, porque nuestra organización no haga negocios directamente con individuos, estemos exentos. Este podría ser el caso de empresas B2B “Business to Business” A modo de ejemplo, si fuésemos “Media Trainer” en una empresa que se dedica al B2B cada vez que demos una conferencia tendremos que dar un consentimiento expreso a nuestra empresa para que pueda utilizar dicho material audiovisual, no es suficiente con la autorización que firmamos cuando empezamos a trabajar en dicha empresa, para emplear nuestra imagen en prensa, marketing, un evento etc… Ahora con el nuevo reglamento tenemos que dar nuestro consentimiento explícito cada vez que nuestra empresa quiere emplear nuestra imagen. Dicho cambio impacta sobre nosotros como individuos y sobre nuestra empresa. Otro aspecto importante del nuevo reglamento es el derecho a la portabilidad de datos.

Derecho a la portabilidad de datos

Al igual que ocurre con las operadoras de telefonía, a las que podemos pedir la portabilidad de nuestro número de teléfono de una compañía a otra, lo mismo ocurre con los datos, ahora puedes decirle a una plataforma de Internet que te quieres ir a la competencia, indicando que te den todos tus datos que te los llevas, o indicarle a la plataforma que transfiera todos tus datos a esa otra plataforma. Se entregarán los datos en crudo tal cual los aportaste, no los datos procesados. Por otro lado al dejar de ser cliente la empresa tiene la obligación de borrar tus datos, no pueden conservar información de alguien que ha dejado de ser cliente. Por consiguiente, tenemos que adecuar los sistemas para que este procedimiento sea poco más que apretar una tecla.

Consentimiento expreso

Un aspecto clave del reglamento reside en requerir el consentimiento de la persona cuyos datos son tratados. Las personas tienen derecho a retirar su consentimiento en cualquier momento. Las empresas deben tener la capacidad de mostrar cómo y cuándo han obtenido el consentimiento. Adicionalmente, los datos obtenidos deben tener una finalidad específica, explícita y legítima. Cuando una empresa obtiene datos de una persona, estos son algunos de los aspectos de los que se debe informar claramente al interesado:

  • Los detalles de contacto e identidad de la organización que solicita los datos.
  • La finalidad del tratamiento de los datos y la base jurídica de dicho tratamiento.
  • Si los datos se transferirán a un tercer país y la existencia o ausencia de las garantías adecuadas.
  • El período durante el cual se conservarán los datos.
  • El derecho del interesado a acceder, rectificar, y suprimir sus datos personales, a limitar y oponerse al tratamiento de los mismos, y el derecho a la portabilidad de sus datos.
  • El derecho del interesado a retirar el consentimiento en cualquier momento.
  • El derecho del interesado a presentar una reclamación ante una autoridad de control.

Por lo tanto, todos los datos de que dispongamos mediante un consentimiento tácito, no serán legales a efectos de este reglamento, más nos vale pedir el consentimiento expreso o el 25 de mayo de 2018 tendremos que eliminarlos.

¿De qué manera podemos dar un consentimiento expreso?

El consentimiento expreo incluye toda manifestación de voluntad, libre, específica, informada e inequívoca, por la que el interesado acepta el tratamiento de datos personales que le concierne. Este puede ser:

Mediante:

  • Declaración expresa.
  • Acción afirmativa.

Cómo:

  • Declaración por escrito, inclusive por medios electrónica.
  • Declaración verbal.

Esto podría incluir:

  • Marcar una casilla en un formulario web (nosotros mismos, no puede estar remarcada).
  • Escoger parámetros técnicos “Cookies”. 
  • Cualquier otra declaración o conducta que indique claramente que el interesado acepta, la propuesta de tratamiento de sus datos personales.

Por tanto, no deben constituir consentimiento:

  • El silencio.
  • Las casillas ya marcadas.
  • La inacción.

Cuando el tratamiento tenga varios fines debe darse el consentimiento para todos ellos, ya no vale un consentimiento genérico, debe de ser para cada fin, para cada uso. Si el consentimiento tiene que ser por medios electrónicos, la solicitud tiene que ser clara, concisa y no interrumpir o perturbar el uso del servicio para el que se presta (cookies). Todo tratamiento de datos iniciado partir del 25 de mayo de 2016 tiene un plazo de 2 años para ajustarse al nuevo reglamento.

Lo más importante del reglamento es que tiene que haber una actitud proactiva en la protección de datos, al mismo tiempo que se pide el consentimiento expreso y se informa tiene que quedar registrado y documentado que queda dado el consentimiento expreso, para que luego sea apretar una tecla y enseñarlo y no empezar a investigar si tenemos el consentimiento expreso de esa persona o no. Tiene que quedar registrado en el sistema todos los pasos empezando por el consentimiento expreso del titular, para ello tendremos que adaptar nuestros sistemas informáticos.

La adecuación al reglamento, es la adecuación de nuestros sistemas tecnológicos al reglamento, de las medidas técnicas y organizativas para cumplirlo. El reglamento exige que los interesados dispongan de acceso completo a la información sobre cómo se procesan sus datos. Dicha información deberá presentarse de forma clara y comprensible. Los interesados pueden realizar solicitudes, que deberán ejecutarse “sin dilación y a más tardar en el plazo de un mes desde la recepción de la solicitud”. En caso de que las solicitudes de acceso a los datos sean manifiestamente infundadas o excesivas, las empresas podrán cobrar un canon razonable por proporcionar la información. Por otro lado, los interesados tienen derecho a obtener la supresión de sus datos personales (derecho al olvido), si los mismos ya no son de utilidad para los fines por los que fueron recogidos, y deben eliminarse.

Notificaciones y Comunicaciones

Las empresas deberán notificar las violaciones de seguridad que ocasionen la destrucción, pérdida, o la alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos. En caso de una violación de seguridad, las empresas deberán notificarla a la autoridad supervisora competente sin dilación indebida y, de ser posible, en las 72 horas posteriores a que se haya tenido constancia de ella, a menos que sea improbable que constituya un riesgo para los derechos y las libertades de los interesados.

Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento lo comunicará al interesado de forma inmediata.

¿Y cómo impacta en las organizaciones?

En resumen las organizaciones van a tener que cambiar los procesos de negocio para poder adaptarse, prestando atención a asuntos como: La designación de un DOP “delegado de protección de datos”, la autoría, la calidad, el ciclo de vida de esos datos, trazabilidad de los datos, temas relacionados con la seguridad y confidencialidad. Por consiguiente, no debemos ver el RGPD solo como un problema, sino también como una oportunidad para diferenciarnos de la competencia y oportunidad porque el objetivo de la RGPD no es solo proteger los datos sino también permitir la libre circulación de los datos.

En la segunda parte de este artículo veremos una Hoja de Ruta para ponernos en marcha.

Autor

Imagen de José Francisco Gómez Gosálbez

Ingeniero Senior Área Business Platform