El nuevo reglamento de la UE sobre gestión y protección de datos (RGPD, UE 2016/679) entrará en vigor el próximo 25 de Mayo de 2018, con un buen número de novedades que afectan claramente a la manera en la que debemos actuar con relación a la información digital de la que disponemos.
La gestión y protección de datos genera siempre en las empresas una cierta incomodidad por la dificultad intrínseca que conlleva controlar cuestiones como la información, por su propia naturaleza y dinámica cambiantes, su gran volumen hoy en día, y el compromiso con el uso ético y conforme a la ley de los datos, cuando este, necesariamente se ha de delegar en colaboradores. Así mismo, el daño que una desatención, una práctica equivocada o mal entendida pueden ocasionar a las personas, los clientes o a la propia empresa, son también factores de preocupación. Este reglamento establece normas que precisamente favorecen el control y su sistemática, y al mismo tiempo, da poder a los interesados sobre su información privada a nivel tecnológico.
Con el nuevo reglamento, quedará derogada la Directiva 95/46/CE de 1995, y se encuentra en este momento pendiente de aprobación en el parlamento la nueva Ley Orgánica de Protección de Datos que deberá sustituir a la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) 15/1999, así como al Real Decreto 1720/2007 que la desarrolla. Así mismo la nueva ley se adaptará a los requerimientos del nuevo Reglamento que, a pesar de ser una única norma para toda la Unión Europea y de aplicación inmediata, una vez entre en vigor, debe ser interpretada a nivel nacional. La Agencia Española de Protección de Datos (AEPD), nuestra autoridad de control competente, deberá pronunciarse sobre ello, ya que en muchos artículos se deja la puerta abierta a los Estados Miembros para que regulen ciertos aspectos.
Precisamente ahora, que las empresas estamos empezando a entender con más claridad el valor de tener suscriptores en nuestras páginas web, el papel que pueden desarrollar las redes sociales para nuestro negocio o la importancia de transmitir información conforme a los perfiles de clientes que identificamos, llega una ley que nos obliga a parar por un momento y analizar si estamos actuando correctamente. Puede parecer un lastre, pero en realidad se trata de un asfaltado de la carretera por la que todos debemos pasar, unas veces de conductores, otras de peatones, de ciclistas…
A continuación, señalamos cinco (5) aspectos con cuestiones a chequear sobre la manera en que estamos gestionando nuestros datos y con referencia al nuevo reglamento, que nos permitirán poner semáforos rojos o verdes sobre nuestro enfoque actual:
1. Sobre la Información que recogemos
1.1 ¿Estamos recogiendo de nuestros clientes la información que estrictamente necesitamos?
Una buena práctica de gestión es limitar el volumen a gestionar. Si tenemos más información de la necesaria corremos el riesgo de no saber qué hacer con ella, algo que contradice los propios principios de la gestión. Si lo tenemos, debemos saber por qué y para qué, y si no lo sabemos es mejor destruirlo porque en caso de que se violara su seguridad seremos responsables. Además, así limitaremos el impacto con relación a la protección de los datos de que disponemos.
1.2 ¿Solicitamos permiso a nuestros clientes para obtener sus datos y les explicamos cómo los vamos a usar?
¡Internet no es una fuente accesible al público! Esto significa que no está autorizado el tratamiento de cualquier información sobre personas aparecida en internet sin su consentimiento expreso.
El consentimiento del interesado, se entiende como la manifestación de la voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consiente el tratamiento de datos personales que le conciernen. En caso de menores, en España por el momento hasta los 14 años, el tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela, y solo en la medida precisa en que se dio o autorizó.
A efectos comerciales no se nos permite el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física, salvo que hubiera un consentimiento explícito para el tratamiento de dichos datos personales por parte del interesado.
1.3 ¿Establecemos medios y canales sencillos e inmediatos para que un cliente pueda revocar su consentimiento a que guardemos sus datos?
Las personas tienen el derecho de revocar su consentimiento al tratamiento de datos de carácter personal con fines de mercadotecnia en cualquier momento, y nuestra obligación es poner los medios para que lo puedan hacer y actuar con inmediatez. Además, el reglamento establece que las personas tenemos el derecho al olvido por lo que, si se nos solicita, estamos obligados a realizar la rectificación y/o la supresión de cualquier dato que pudiera quedar fruto de aquel consentimiento inicial.
Las líneas de “UNSUSCRIBE” de nuestras páginas web deben estar activas y estamos obligados a actuar con inmediatez.
1.4. ¿Tenemos actualizada nuestra política de privacidad?
La política de privacidad es nuestra declaración de compromiso con las personas y en cumplimiento de la ley relativa a la gestión y protección de datos, así como una declaración clara y transparente sobre qué se va a obtener y cuáles son los fines de la información facilitada por el cliente o usuario. Es importante que nos la revise una persona cualificada en derecho y protección de datos ya que la mayor parte de las reclamaciones suelen ir por esta vía.
2. Sobre la seguridad y control en el almacenamiento de la información
2.1 ¿Tenemos una idea clara y completa de todos los datos sobre personas que recogemos y procesamos?
Tener una idea clara y completa de todos los datos sobre personas que recogemos es esencial para determinar los riesgos para las personas con relación a la información que disponemos de ellas. En este sentido, El Reglamento va más allá obligando a que cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realice, antes del mismo, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. El alcance y contenido de la evaluación quedan recogidos en el Reglamento y se deberá recabar asesoramiento de un Delegado de Protección de Datos, si ha sido nombrado.
2.2 ¿Mantenemos los datos de los clientes en cifrado y utilizamos la seudonimización?
Para la seguridad, y evitar que el tratamiento infrinja lo dispuesto en el Reglamento, el responsable o el encargado deben evaluar los riesgos inherentes al tratamiento y aplicar medidas para mitigarlos. Deben garantizar un nivel de seguridad adecuado, incluida la confidencialidad, teniendo en cuenta el estado de la técnica y el coste de su aplicación con respecto a los riesgos y la naturaleza de los datos personales que deban protegerse. Al evaluar el riesgo en relación con la seguridad de los datos, se deben tener en cuenta los riesgos que se derivan del tratamiento de los datos personales, como la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos, susceptibles en particular de ocasionar daños y perjuicios físicos, materiales o inmateriales.
El cifrado o la seudonimización son algunas de las medidas que garantizan que el tratamiento se está realizando sin violación de los datos de las personas, cuando el tratamiento que se realiza para otro fin distinto de aquel para el que se recogieron los datos personales no esté basado en el consentimiento de los interesados.
3. Sobre los responsable de la protección de datos en mi empresa
3.1 ¿Están informados y formados el responsable y encargado de tratamiento de datos sobre el nuevo reglamento y las buenas prácticas en gestión y proceso de datos?
El nuevo Reglamento define dos figuras nuevas dentro de la empresa como son el «responsable del tratamiento» y el «encargado del tratamiento»:
«responsable del tratamiento» o «responsable»: es la persona física o jurídica que, teniendo en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como los riesgos de diversa probabilidad y gravedad para los derechos y libertades de las personas físicas, aplicará medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
«encargado del tratamiento» o «encargado»: es la persona física o jurídica, que trata datos personales por cuenta del responsable del tratamiento;
Bien se opte por la definición de una persona física o jurídica como responsable y encargado del tratamiento de datos, será preciso que determinemos las personas, funciones y procesos internos que nos asegurarán el cumplimiento con el reglamento. Es importante señalar que la adhesión a códigos de conducta aprobados, o a un mecanismo de certificación aprobado, podrán ser utilizados como elementos para demostrar el cumplimiento de las obligaciones por parte del responsable del tratamiento y por consiguiente de la empresa.
En este punto, es importante señalar que en caso de violación de la protección de datos, es la empresa la que deberá aportar pruebas de que ha actuado conforme al reglamento y las buenas prácticas. En otras palabras, los responsables deberán demostrar la carga de la prueba.
3.2 ¿Sabemos si por nuestra actividad requerimos nombrar un Delegado de Protección de Datos?
El nuevo reglamento incorpora la figura del Delegado de Protección de Datos, nombrado por el responsable y encargado del tratamiento de datos, siempre que las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala. Este Delegado será designado atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos y a su capacidad para desempeñar las funciones según recoge el propio reglamento.
3.3 ¿De qué manera nos hemos informado o hemos formado a nuestros colaboradores sobre la protección de datos y prácticas de actuación?
Uno de los espacios de oportunidad más relevantes que nos ofrece la transformación digital consiste en disponer de información acerca de nuestros clientes, a los que, sin vulnerar su privacidad, podremos atender mejor y proponer nuevos productos con beneficios para las personas y la economía en su conjunto. Dada la importancia y criticidad de la protección de datos para que la obtención de información sea sostenible, es preciso que cuidemos de que nuestras prácticas son acertadas, por lo que sugerimos que las empresas se asesoren con profesionales solventes e introduzcan procesos y buenas prácticas que aseguren un tratamiento conforme al reglamento y el cuidado de la ciberseguridad. Es recomendable también difundir estas cuestiones en todo el ámbito de la empresa ya que afecta a todos.
En este punto, es conveniente señalar que el Reglamento también establece sanciones que pueden llegar a ser de hasta 20 millones de euros o el 4% de la facturación global.
4. Sobre un plan de contingencia y notificación
4.1 ¿Contamos con un plan de notificación en caso de filtración de datos?
La evaluación del impacto nos conducirá a la realización de un plan de contingencia que mitigue la posibilidad y los riesgos de la violación de los datos de las personas. Además, es preciso establecer planes de actuación conforme a los que actuar en caso de que detectemos que los datos que gestionamos han sido violados. El Reglamento indica que, en caso de violación de la seguridad de los datos personales, el responsable del tratamiento debe notificar a la autoridad de control (Agencia Española de Protección de Datos, AEPD) y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tuviera lugar en el plazo de 72 horas, deberá ir acompañada de una indicación de los motivos de la dilación.
5. Sobre nuestros proveedores
5.1 ¿Estamos seguros de que nuestros proveedores cumplen con el RGPD?
La información sobre personas que transmitimos a nuestros proveedores debe ser igualmente gestionada con arreglo al Reglamento. En primer lugar, deberemos evitar o limitar en la medida de lo posible la entrega de información personal a terceros, y siempre habiendo informado y solicitado previamente a las personas del uso que se hará de los datos que de ellas disponemos, así como nuestro compromiso de cumplimiento con el Reglamento. De manera concreta, esta cuestión puede referirse a la información que debemos transmitir a nuestros proveedores en el ámbito de nuestras operaciones comerciales, pero es especialmente crítico cuando cedemos a nuestros proveedores información para el marketing o la realización de campañas comerciales. Para evitar riesgos, deberemos recurrir a la seudonimización o cifrado y, en cualquier caso, asegurarnos de que sus procesos atienden a las buenas prácticas, son conformes al Reglamento, y sus políticas de ciberseguridad están actualizadas, son sistemáticas y consistentes.
