Los desafíos del RGPD
El reglamento general de la protección de datos entra en vigor en mayo de 2018 y todavía genera muchas preguntas entre empresas y usuarios. Arrojamos luz sobre el particular.
¡Un pasito más y lo tienes!
Tan solo déjanos aquí tu correo electrónico y comenzará la descarga del archivo. ¡Así de fácil!
El consejo de ministros, a petición del ministro de Justicia, Rafael Catalá, ha aprobado el Proyecto de Ley Orgánica de Protección de Datos que adaptará nuestra legislación a las disposiciones del Reglamento UE 2016/679, introduciendo novedades y mejoras en la regulación de este derecho fundamental en nuestro país. Para adaptar correctamente nuestra legislación al Reglamento General de Protección de Datos será necesaria la creación de una nueva Ley Orgánica que sustituya a la ya existente, intentando que no se produzcan contradicciones.
El RGPD será de obligado cumplimiento para todas las empresas dentro del ámbito europeo que manejen información de cualquier tipo, así como para cualquier empresa que sencillamente realice negocios dentro de la Unión Europea. El objetivo es ofrecer más control a los ciudadanos sobre su información personal en el contexto de la era digital (smart cities, big data, redes sociales, geolocalización a través de dispositivos, etc…) al tiempo que se reducen cargas administrativas y se facilita la aplicación por parte de las empresas europeas.
Se atisban dos objetivos fundamentales: devolverle el poder a los ciudadanos al respecto de cómo sus datos personales son utilizados (mediante el ya famoso derecho al olvido) y también se pretende simplificar en gran parte el entorno regulador. Otros objetivos son apoyar el mercado único, armonizar las leyes de privacidad de datos en toda Europa, proteger y potenciar la privacidad de los datos de los ciudadanos de la UE y reformar la forma en que las organizaciones abordan la privacidad de los datos para los ciudadanos comunitarios dondequiera que trabajen en el mundo.
Hay que tener en cuenta un aspecto esencial, y es que el RGPD no habla realmente sobre tecnología. EL documento cuenta con más de 55.000 palabras. La palabra cookie aparece una vez, ordenador en tres ocasiones e internet en cuatro. Pese a que parezca escrito en el siglo XX, las nuevas normas se acercan, y afectarán a cualquier compañía que se apoye habitualmente en la analítica moderna o en operaciones de marketing.
Entonces, ¿cómo afrontar un marco legislativo mediante unas normas que parecen anticuadas? Aquí es donde entra en juego el hermano pequeño del RGPD, la regulación sobre privacidad de la Comisión Europea, que entrará también en vigor en mayo de 2018.
Diferencias respecto a la Ley de Protección de Datos de 1995
La AEPD (Asociación española de protección de datos) pasa a configurarse como autoridad administrativa independiente, y sus relaciones con el Gobierno se realizan a través del Ministerio de Justicia. Se establece la necesaria cooperación y coordinación con las correspondientes autoridades autonómicas de protección de datos.
El RGPD plantea bastantes conceptos y mecanismos muy parecidos a los ya establecidos por la Directiva 95/46, así como por las diferentes normas nacionales vigentes. Así, todas aquellas organizaciones que cumplen adecuadamente con la LOPD tienen mucho camino recorrido de cara a adaptarse al nuevo Reglamento. Los principios son los mismos y están respaldados por la filosofía de la UE de que el individuo conserva los derechos sobre los datos. Bajo el manto del GDPR los reguladores reconocen el poder que tienen las organizaciones como resultado de su capacidad para integrar múltiples fuentes de datos para construir una imagen del individuo. Como el perfil de un individuo es tan rico, la legislación busca asegurar que las empresas entiendan, comuniquen y manejen los datos de una manera que re-equilibre la relación.
Hay algunos aspectos cambiantes para los que las organizaciones deben estar preparados.
- Se instaura el punto centralizado. Permite a una empresa establecida en varios países de la UE tratar solo con una autoridad nacional de protección de datos (DPA), lo que facilitará convenientemente el proceso.
- Habrá que estar pendientes con los aspectos de la normativa que tengan que ver con los menores de edad, en lo referente a Internet y RRSS. Hasta ahora, se requiere el consentimiento de los padres para el uso de los datos personales de los menores de 13 años, aunque varía según el país. Habrá que estar muy atentos para ofrecer de forma proactiva sistemas que sirvan para comprobar la edad de los individuos, recopilar la información requerida a sus padres y plantear el aviso de privacidad en unos términos de lenguaje que ellos puedan perfectamente comprender.
- Otro de los requisitos fundamentales que plantea la nueva normativa establece que las compañías deben informar sobre cualquier violación de datos en un periodo de, como máximo, 72 horas. De hecho, el RGPD redefine el concepto, entendiéndolo como “una violación de la seguridad que lleva a la destrucción, pérdida, alteración, revelación no autorizada de, o el acceso a, información personal transmitida, almacenada o procesada ya sea de forma accidental o ilegal”.
- En este contexto surge también la evaluación del impacto de privacidad, PIA en sus siglas en inglés, que está basada en identificar pero también minimizar los riesgos de incumplimiento de alguna norma. Estos PIA serán un requisito formal de obligado cumplimiento siempre que haya en perspectiva cualquier actividad de procesamiento considerada “de alto riesgo”.
- Con objeto de poder evitar situaciones discriminatorias, se mantiene la prohibición de almacenar datos de especial protección, como ideología, afiliación sindical, religión, orientación sexual, origen racial o étnico y creencias. En estas categorías, el solo consentimiento del interesado no basta para dar viabilidad al tratamiento.
- Otro aspecto reseñable tiene que ver con que las empresas tendrán que ser mucho más transparentes para con el sujeto, como la base legal en la que se procesan los datos, el tiempo que los datos permanecen retenidos o mostrarles el modo de mostrar su disconformidad mediante una queja a una autoridad nacional competente.
- Igualmente, si la compañía está en posesión de datos incorrectos que han sido compartidos con otras organizaciones, el RGPD urge a que informes a esa tercera, de cara a que puedan también corregir de sus registros esa información errónea.
- Con respecto a los datos de personas fallecidas, se tendrá en cuenta el tratamiento de los datos correspondientes sobre la base de la solicitud de sus herederos, excluyéndose la figura del consentimiento tácito que se sustituye por una acción afirmativa y expresa por parte del afectado.
¿Por qué es necesaria esta nueva ley?
La actual directiva no está en consonancia con la evolución de la tecnología y la realidad en los mercados.
Pese a que la directiva 95/46 de la que hablamos ya tuvo alguna modificación añadida mediante 2007, lo cierto es que vernos sumidos en esta época dorada del Big Data y el uso comercial de los datos de la ciudadanía hacía necesario corregir y preservar el derecho a la intimidad de la población, en grave riesgo debido a las prácticas abusivas de algunas empresas y corporaciones.
Las obligaciones formales que imponía la LOPD desaparecerán para ser sustituidas por obligaciones de cumplimiento real y efectivo que, además, tendrán la obligación de ser demostrables. El consentimiento del usuario tendrá que ser explícito, una acción positiva. Los consentimientos ya recabados con anterioridad posiblemente tendrán que ser renovados
Nuevos derechos contemplados
- Los procedimientos y las formas para ello deben ser visibles, accesibles y sencillas.
- El ejercicio de los derechos será gratuito para el interesado, excepto en los casos en que se formulen solicitudes manifiestamente infundadas o excesivas.
- Se reconoce el derecho a obtener una copia de los datos y a acceder en cualquier momento, hasta el máximo detalle, en un formato estructurado, de uso común y lectura mecánica.
Para el usuario, el reglamento introduce nuevos elementos, fundamentalmente el derecho al olvido y el derecho a la portabilidad, pero también otros como el derecho al acceso, rectificación, supresión, derecho a la limitación del tratamiento, así como a la oposición, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.
El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de los resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.
El derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá transferir los datos directamente al nuevo responsable designado por el interesado.
La limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. Se puede solicitar la limitación dentro de un amplio abanico de supuestos.
Por su parte, según el derecho de acceso, se reconoce el derecho del usuario a obtener una copia de los datos personales objeto del tratamiento, cuando con la anterior legislación se debían facilitar todos los datos de base del afectado, pero no copias o documentos (salvo la historia clínica)
Los movimientos empresariales ante el cambio
La normativa fue aprobada en 2016 y se ha dotado de dos años a las empresas para que lleven a cabo la preparación tecnológica y estructural de cara a la implementación de RGPD, que entrará en vigor ya de forma efectiva en mayo de 2018. Es evidente que muchas empresas se encuentran trabajando activamente en ello y probablemente a bastantes otras les pueda coger el toro. Solo el tiempo lo dirá. Lo que también es cierto es que la Regulación de la privacidad cuenta con más de 800 enmiendas sobre la mesa, lo que puede ralentizar su puesta de largo, con lo que las empresas pueden ganar algo de tiempo. Según los expertos, una empresa puede modificar los principales parámetros de cara a estar operativa e implementarlos en un periodo máximo de seis meses.
Históricamente, las grandes multas sobre privacidad se han producido para castigar violaciones flagrantes. Si las empresas pueden demostrar que están tomando esto en serio y que pretenden seguir mejorando, sus esfuerzos se tendrán en cuenta.Sus sistemas y procesos deben ser constantemente evaluados para posibles fallos y los negocios deben tener un plan de acción listo.
¿Cómo va a afectar este cambio legislativo?
Las empresas de telecomunicaciones tienen acceso a infinidad de datos personales que son usados de forma mercantil para incrementar su cartera de negocio o ampliar los servicios entre los clientes actuales.
El RGPD plantea un nuevo paradigma para las empresas en el gobierno y uso de la información, que va a requerir nuevos roles dentro de la compañía y una infraestructura tecnológica que refuerce la seguridad de los datos. En cuanto a esta seguridad, por ejemplo, el Reglamento incluye medidas como la obligación de implantar sistemas de cifrado y de doble factor de autenticación, incluso sobre los datos considerados de nivel básico, si el riesgo así lo exige.
Tendrán que tener en cuenta dos factores fundamentales. Uno es el principio de responsabilidad proactiva. El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
El segundo factor es el enfoque de riesgo. El RGPD señala que las medidas dirigidas a garantizar su cumplimiento deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas. De acuerdo con este enfoque, algunas de las medidas que el RGPD establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten. La aplicación de las medidas previstas por el RGPD debe adaptarse, por tanto, a las características de las organizaciones.
Aspectos a tener en cuenta en un futuro
Uno de los elementos más preocupantes tendrá que ver con la imposibilidad del tratamiento de datos que ya se han recogido de manera legal con la actual legislación, mediante el consentimiento del individuo. Algunas organizaciones se quejan de que la nueva ley debería recoger formas que, con las consiguientes garantías, permitan continuar tratando datos basados en el consentimiento tras ser recabados de forma lícita, algo que en la normativa vigente es perfectamente legítimo. De no ser así, se puede dar un incumplimiento masivo por parte de las empresas que derivará en consecuencias económicas de mucha cuantía, poniendo en riesgo la viabilidad del sector económico digital y en especial la publicidad.
Además, hay que tener en cuenta el llamado Registro de actividades de tratamiento.
Las organizaciones de 250 trabajadores o más deberán mantener un registro de operaciones de tratamiento en el que se contenga la información que establece el RGPD y recoja cuestiones como:Nombre y datos de contacto del responsable o corresponsable y del delegado de protección de datos si existiese, las finalidades del tratamiento, la descripción de categorías de interesados y categorías de datos personales tratados, así como las transferencias internacionales de datos.
Estrategias comerciales
Desde ahora las empresas dejarán de tener absoluta impunidad de cara al uso de los datos de sus clientes o usuarios, habrán de ser más cuidadosos de cara al tratamiento de estos datos, se les requerirá una transparencia que antes no existía y estarán obligados a ceder ante los derechos adquiridos de los usuarios. Esto afectará no al negocio del intercambio de información que propone el modelo de big data, pero sí al volumen de información que puedan requerir al ciudadano. Y sobre todo, ayudará al usuario a reclamar sus derechos en el caso de estar disconforme.
Las empresas deben prepararse convenientemente. En primer lugar, toca estudiar qué es probable que suceda y comprender cómo afecta sus análisis y herramientas de marketing. Eso significa un montón de cuestiones legales y releer un puñado de términos y condiciones. Pero compensa.
En segundo lugar, las empresas deberán reclamar a sus analistas y proveedores de soluciones de marketing que confirmen el cumplimiento de todas las normativas europeas actuales y futuras. No será posible solucionar todo esto ahora, ya que las regulaciones finales no han sido acordadas, pero en algún momento las reglas serán aclaradas, y sus contratos deben reflejar eso para evitar quebraderos de cabeza.
En tercer lugar, será esencial tener un sesgo de datos personales, para diferenciar los personales de los datos de terceros, que la Comisión trata reiteradamente de restringir.
Transparencia en el mercado
Es uno de los puntos en los que más hincapié se ha hecho a la hora de dar luz verde a la normativa. Transparencia de las organizaciones y mayor gestión de sus propios datos por parte de los usuarios. De cara a fomentar este aspecto, se deberán evitar las fórmulas especialmente farragosas y que incorporan remisiones a los textos legales. Igualmente las cláusulas informativas deberán explicar el contenido al que inmediatamente se refieren de forma clara y accesible para los interesados, con independencia de sus conocimientos en la materia.Se establece una lista exhaustiva de la información que debe proporcionarse a los interesados (más amplia que la que actualmente contiene la LOPD) y que añade: base jurídica del tratamiento, intención de realizar transferencias internacionales ,datos del Delegado de Protección de Datos (si lo hubiere) y la elaboración de perfiles. Finalmente, la información a los interesados deberá facilitarse por escrito, incluidos los medios electrónicos cuando sea apropiado.
Igualmente se ofrecerá mayor flexibilidad al usuario para que pueda escoger el grado de privacidad que ofrece su propio perfil. Las cookies pueden ser una herramienta legítima y útil, por ejemplo, a la hora de medir el tráfico de una web, y la regulación prevé que se le debe ofrecer a los usuarios un paquete de opciones de privacidad , que vaya desde el control absoluto (nunca aceptar cookies) a puntos más intermedios, como rechazar cookies de terceros, hasta el siempre aceptar cookies.
Sanciones para las compañías
Si las entidades no cumplen esta nueva normativa se pueden ver envueltos en multas que supongan o bien el 4% de su facturación global o bien 20 millones de euros, la cuantía más elevada. Eso, contando además con el añadido de la pérdida de confianza por parte de los usuarios afectados, que no es un dato tangible y cuantificable pero conlleva una situación muy negativa. Igualmente, se define una certificación del cumplimiento del código de conducta por parte de la empresa, que otorgará la agencia de protección de datos u organismos de certificación acreditados. Las certificaciones serán voluntarias y tendrán una validez de tres años.
La figura del DPO
Se trata del Delegado de Protección de Datos. Es una figura necesaria dentro de la nueva legislación. una persona responsable de la protección de la información, que será el encargado (ya sea consultor externo o propio empleado) de monitorizar el cumplimiento de la GDPR, informando de tus obligaciones y sobre cuándo y cómo debería llevarse a cabo una evaluación del impacto de la privacidad, así como ser el punto de contacto para las solicitudes de las autoridades nacionales de protección de datos y particulares. Su existencia será obligatoria en : Autoridades y organismos públicos , responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala, así como responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles. Para las grandes empresas será un puesto indispensable, mientras que la tendencia en medianas y pequeñas empresas es que acabe siendo un perfil de trabajador especialista con carácter subcontratado
¿Y las llamadas comerciales de los operadores y el bombardeo de ofertas?
Técnicamente esta práctica (en ocasiones bastante incómoda) no acabará por sí misma, se trata de un modo de promoción que las empresas pueden continuar utilizando, si bien es cierto que, en el caso de que el cliente emita cualquier tipo de queja ante su existencia, los mecanismos a la hora de evitar que eso vuelva a pasar serán mucho más sencillos de realizar y a la vez contundentes de cara a defender los intereses del usuario.
Principales novedades
El derecho a la portabilidad y el derecho al olvido, además del derecho de acceso y la limitación de tratamiento anteriormente citados son las principales novedades de cara al usuario. Con respecto al derecho al olvido, hasta ahora no se había tenido en cuenta a pesar de su existencia, lo que era un vacío bastante flagrante en el argumentario. En efecto, el concepto tenía base legal y trataba de llevarse a cabo, pero la realidad distaba mucho de esa utopía. Bajo este nuevo reglamento se fortalece mucho su instauración, facilitando a los usuarios las herramientas pertinentes para salvaguardarlo.
Mayor libertad para el usuario
Entre otros retos, el RGPD supone la obligación de informar al usuario con un mayor detalle del que hasta ahora exigía la actual LOPD, como el plazo durante el que se conservarán los datos recabados, de si estos estarán alojados fuera de la Unión Europea o de si su cesión va ligada a la recepción de comunicaciones comerciales. Esta transparencia unida a la posibilidad del cliente de poder acogerse al derecho al olvido, a la portabilidad, al derecho de acceso y a la limitación de tratamiento provoca que tengan mucho más poder del que le otorgaban anteriores normativas, y con ello estarán más capacitados a la hora de reclamar sus nuevos derechos mediante herramientas más potentes y un control más férreo por parte de las propias instituciones de cara al cumplimiento de la normativa.
El usuario, pues, tendrá una mayor capacidad de decisión. Se le ofrecerá mayor flexibilidad al usuario para que pueda escoger el grado de privacidad que ofrece su propio perfil. Las cookies pueden ser una herramienta legítima y útil, por ejemplo, a la hora de medir el tráfico de una web, y la regulación prevé que se le debe ofrecer a los usuarios un paquete de opciones de privacidad , que vaya desde el control absoluto (nunca aceptar cookies) a puntos más intermedios, como rechazar cookies de terceros, hasta el siempre aceptar cookies.
*Fuente: Guía RGPD de la Agencia Española de la Protección de Datos.