Reglamento General de Protección de Datos (RGPD) · La ley -cuyo nombre oficial es UE 2016/679,...
24
REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS (RGPD) QUÉ ES, A QUIÉN AFECTA, QUÉ NOVEDADES OFRECE…
-
Upload
nguyenkien -
Category
Documents
-
view
219 -
download
0
Transcript of Reglamento General de Protección de Datos (RGPD) · La ley -cuyo nombre oficial es UE 2016/679,...
REGLAMENTO GENERAL DE PROTECCIÓN
DE DATOS (RGPD)
QUÉ ES, A QUIÉN AFECTA, QUÉ NOVEDADES OFRECE…
Introducción■ Gestionar una gran cantidad de datos siempre ha sido una tarea ardua y con ciertas dificultades. Desde la
Antigüedad, pasando por el reciente y cada vez más obsoleto uso del papel y, por último, llegando a las actuales
nuevas tecnologías con las que podemos tener bibliotecas enteras y bases de datos en la palma de nuestras
manos. Por si eso fuera poco, tener en nuestro poder ciertos datos sensibles entraña unos riesgos extra,
aunque siempre y cuando se respeten las leyes reguladoras no deberían representar ningún problema. Desde
hace unos años, dichas normas se han endurecido, en forma, por ejemplo, de la archiconocida Ley Orgánica de
Protección de Datos (LOPD). Aún así, no debemos olvidarnos de que el lienzo que representa nuestro país
queda incluido en una obra mucho mayor: la Unión Europea. De allí procede el nuevo Reglamento General de
Protección de Datos Europeo (GDPR, General Data Protection Regulation, RGPD según sus siglas en español),
aprobado el día 27 de abril de 2016. Su entrada en vigor se produjo el 25 de mayo del mismo año pero no será
hasta ahora, 2018, cuando será aplicado. ¿La fecha clave? 25 de mayo. El RGPD será el encargado, a partir de
entonces, de una regulación que sea capaz de garantizar unas medidas de protección mayores y adecuadas a
los nuevos tiempos en cuanto al tratamiento de datos personales de las personas físicas pertenecientes a la
Unión Europea.
■ Grupo Garatu ha querido confeccionar este documento con el fin de que informar a las empresas para que se
adapten de la mejor manera al nuevo marco legal, reseñando las novedades y diferencias con la antigua LOPD,
así como dar algunos consejos e indicaciones para que el cambio sea de la mejor manera posible. De esta
forma, os invitamos a efectuar un viaje en forma de lectura que esperamos resulte de gran utilidad para los
cambios que se encuentran a la vuelta de la esquina.
¿QUÉ ES EL REGLAMENTO GENERAL DE PROTECCIÓN
DE DATOS (RGPD)?
■ El Reglamento General de Protección de Datos (RGPD) es el nuevo reglamento de la UE relacionado con el procesamiento de datos personales
pertenecientes a personas físicas que viven en cualquiera de los Estados miembros de la UE. La ley -cuyo nombre oficial es UE 2016/679, de 27 de
Abril de 2016- ha derogado a la anterior Directiva 95/46/CE y será el que regule a partir de ahora la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de los mismos en los países pertenecientes a la alianza europea. Igualmente, en
algunos casos se complementará con algunas matizaciones nacionales. De esta manera, junto con la Directiva (UE) 2016/680 del Parlamento Europeo
y del Consejo, de 27 de abril de 2016 –que regulará el uso de los datos por parte de las autoridades- se configura en nuevo marco legal en los estados
de la UE.
■ El RGPD es un reglamento unificador
■ El Reglamento General de Protección de Datos (UE) 2016/679 es un reglamento, más que una directiva, a diferencia de su predecesora, la
Directiva de Protección de Datos de 1995 95/46/EC. Una regulación es un acto legislativo vinculante, el cual debe aplicarse en toda la UE.
Sin embargo, una directiva lo que hace es establecer un objetivo que todos los países de la UE deben lograr, correspondiendo a cada país
diseñar sus propias leyes sobre cómo alcanzar dichos fines.
Por lo tanto, la Directiva de Protección de Datos de 1995 95/46/EC tuvo como
consecuencia que cada estado miembro desarrollase sus propias leyes de protección de
datos de forma individual. Como resultado, las empresas y organizaciones que operan a lo
largo y ancho de diferentes países de la alianza europea se encontraron inmersas en todo
un gran laberinto legal formado por múltiples leyes. Afortunadamente, el RGPD reemplaza
esta complejidad con una sola ley unificada que simplifica significativamente la gestión
para las empresas.
■ ¿Es necesario el RGPD? ¿Por qué?
■ La Directiva 95/46/CE fue emitida hace más de veinte años. De mediados de los noventa nos separa ahora mismo todo un océano compuesto por los
enormes cambios tecnológicos, económicos y sociales, que nos han llevado hasta situación en la que vivimos hoy. Hemos pasado de los días en que los
ordenadores de sobremesa eran la norma, los teléfonos móviles hacían poco más que llamadas y la conexión a Internet era solamente para unos pocos,
requiriendo el uso de conexiones de acceso telefónico.
El crecimiento de Internet, las conexiones de banda ancha, los sofisticados dispositivos móviles y las redes sociales, por nombrar solo algunos, han
creado una explosión en la forma en que compartimos, almacenamos y procesamos datos personales. Llevamos nuestros datos en los smartphones,
los compartimos en múltiples plataformas y con innumerables entidades, y los almacenamos en ubicaciones como “la nube", de manera intangible e
invisible. Por ello, cada vez más empresas recopilan y procesan nuestros datos personales.
El volumen se ha disparado en los últimos años, y continúa creciendo a un ritmo increíble. Gran parte de esta información se procesa
electrónicamente, aunque aún se realicen gestiones manuales de datos.
Nuestra expectativa al brindar esta información a las empresas es que traten nuestros datos con respeto, sin usos no consentidos y/o ilícitos. Sin
embargo, según indican muchos casos, no todas las compañías gestionan nuestros datos personales de acuerdo con este pensamiento. Además,
otra presunción que se hace al brindar datos personales es que serán guardados bajo unas mínimas condiciones de seguridad.
Lamentablemente no siempre es el caso.
Con este crecimiento en el volumen de procesamiento de datos personales también se ha incrementado la explotación de los mismos para fines
fraudulentos, a pesar del aumento de dinero que, año tras años, se gasta en mecanismos para garantizar la seguridad. Aquí es donde entra en juego
la RGPD, al traer consigo una legislación reforzada con medidas más estrictas en la gestión de los datos personales y para implementar normativas
adaptadas a los tiempos actuales.
¿A QUIÉN AFECTA EL RGPD Y QUÉ SON
“DATOS PERSONALES”?
■ El reglamento, que se complementará con junto con la Directiva (UE) 2016/680
del Parlamento Europeo y del Consejo, de 27 de abril de 2016 para el caso de las
administraciones, afecta a todas aquellas o empresas o compañías que atesoren
datos personales de personas físicas de países miembros de la UE. Ello también
se aplica a empresas extranjeras, a pesar de que no gocen presencia física en el
territorio pero sí posean este tipo de información.
■ Respecto al concepto de personas físicas no se debe pasar por alto el detalle de
que no se refiere únicamente a los clientes; sino también a ex-clientes, empleados
y colaboradores, posibles candidatos a una vacante de los que se haya guardado
un CV, usuarios de productos y servicios adquiridos por un tercero, etc.
■ Dentro del RGPD es considerado dato personal y, por lo tanto objeto de su
regulación, toda aquella información relativa a personas cuya identidad pueda
averiguarse, de manera directa o indirecta, a través de alguno de dichos datos.
Por ejemplo, un nombre, la dirección de un domicilio, el número del documento
nacional de identidad, etc. También otros datos que hacen referencia a la
identidad de la persona en distintos ámbitos –como el físico, psíquico,
económico, cultural o social de dicha persona, como fotografías o números de
cuenta bancaria- es englobado dentro de la ley (Artículo 4, apartado 1, RGPD).
■ Solo hay un tipo de personas físicas sobre cuyos datos no es necesaria la
aplicación de la RGPD, las cuales son las personas fallecidas.
■ Además de todos factores enumerados, la RGPD hace hincapié en una categoría especial: los Datos
Personales Sensibles. Se trata de aquellos a los que, debido a que pueden entrar en conflicto con los
derechos y libertades fundamentales de las personas, han de ser gestionados más cuidadosamente y
dotarles de una mayor protección.
■ La nueva legislación es muy clara al respecto en cuanto al tratamiento de datos que puedan dar a conocer la
raza del interfecto, su orientación sexual, su orientación política o afiliación sindical, sus creencias religiosas
e, incluso, datos biométricos o del ADN que permitan identificar a la persona de manera exacta. Solamente
existen las siguientes excepciones para su tratamiento: que el interesado dé su consentimiento explícito; que
estos datos sean tratados por una organización sin ánimo de lucro; en caso de protección de sus intereses
vitales o que se trate de una información hecha pública de manera manifiesta.
■ Una vez definido lo que es un dato personal para la nueva regulación, hay que recordar cuándo será
necesario cambiar el tratamiento que se les da en las empresas. Es especialmente importante, destacar –y
diferenciar- la entrada en vigor y de aplicación del texto, para que a nadie “le pille el toro”.
■ El Reglamento General de Protección de Datos fue aprobado el 27 de abril de 2016, para entrar en vigor el
25 de mayo del mismo año. ¿Entonces, llevamos desde ese momento siendo regulados por este? No. ¿La
LOPD sigue aplicándose? Sí, y también las europeas como la 95/46/CE. Aunque pueda resultar un poco
confuso, la respuesta es sencilla: la Unión Europea ha decidido dejar dos años de margen para que los
estados y, en el caso que a nosotros nos interesa, las empresas que manejan datos, vayan estudiando los
cambios y adaptándose a ellos para que, llegada la fecha de su aplicación, todo esté a punto.
■ La Agencia Española de Protección de Datos resalta que la nueva normativa supone “una gestión distinta de
la que se viene empleando”. Entonces, ¿cuándo se producirá el cambio definitivo? El 25 de mayo de 2018.
En resumen,
tres máximas:
▪ Todas aquellas
empresas con datos
personales de
personas físicas de
países miembros de la
UE se verán afectadas.
▪ Algunos de los datos
tendrán la
consideración de
sensibles y tendrán que
gozar de una especial
protección.
▪ La fecha de aplicación
será partir del 25 de
mayo de 2018.
NOVEDADES DEL REGLAMENTO GENERAL
DE PROTECCIÓN DE DATOS
■ La regulación del tratamiento de datos no era una cuestión sobre la que hubiera un
vacío en el marco europeo, ni mucho menos. Las novedades vienen a completar las
anteriores directrices para crear procedimientos más seguros y unificadores. A partir
de ahí, pasamos a enumerar las principales.
■ Una de las modificaciones clave, además de la obvia unificación legal entre los países
de la UE, será la del consentimiento, el cual siempre ha sido un tema delicado. Al
respecto, la RGPD es muy clara y más dura que la LOPD: exige, en cualquier caso, una
demostración inequívoca mediante la cual el sujeto conceda dicho consentimiento a la
empresa para el tratamiento de sus datos (Artículo 4, apartado 11, RGPD). A pesar de
que la LOPD también exigía un consentimiento similar, este cambio implica que queda
fuera otro tipo de manifestación que sí contemplaba: la tácita. Dicha figura se podía
aplicar en el caso de datos que no fueran especialmente sensibles, tal y como detalla
la Agencia Española de Protección de Datos en su Informe Jurídico 0645/2009.
Especial atención han de tener las empresas con todos aquellos datos recabados
hasta ahora a través del consentimiento tácito ya que, a partir de mayo de 2018, no
tendrán potestad para su tratamiento. Ello significa que han de volver a revisar
como obtuvieron y obtener consentimientos inequívocos que sustituyan a los
tácitos.
Otras maneras de proceder habituales por parte de las entidades, como casillas
marcadas por defecto en contratos o el silencio del interesado tomado como
asentimiento, también dejan de tener validez, según su el artículo 32 de la RGPD. Y,
en el caso de los datos sensibles, el consentimiento tendrá que ser, además de
inequívoco, explícito.
UNA DE LAS MODIFICACIONES CLAVE:
EL CONSENTIMIENTO. UNA DEMOSTRACIÓN
INEQUÍVOCA MEDIANTE LA CUAL EL SUJETO
CONCEDA DICHO CONSENTIMIENTO A LA EMPRESA
PARA EL TRATAMIENTO DE SUS DATOS
Artículo 4, apartado 11, RGPD
■ Al respecto de los datos personales de menores de edad también se han introducido cambios. Hasta
ahora, la LOPD establecía, con algunas excepciones, poder recabar datos personales de mayores de 14
años sin necesidad de obtener el consentimiento paterno. Cambia la edad de consentimiento en el caso
de los menores, que pasa de los 14 a los 16 años. De esta manera no será posible que los menores de
16 años cedan sus datos sin el consentimiento paterno o del tutor legal, aunque este caso es
susceptible de que una ley a nivel español marque el límite una edad inferior.
Si se diera dicha circunstancia, este nunca se encontrará por debajo de los 13 años.
A tener en cuenta:
▪ Es necesario evaluar las
bases legales utilizadas
para los tratamientos
actuales y revisar si
siguen siendo válidas
bajo el RGPD.
▪ Revisar las políticas de
privacidad.
▪ Asegurar que el
consentimiento ha sido
dado de acuerdo con los
nuevos requisitos y que
el responsable de
tratamiento puede
demostrarlo.
■ El deber de información sobre su recogida es otro de los puntos sensibles. A las obligaciones de informar
sobre los ficheros que alojarán la información, la identidad del responsable del tratamiento, la finalidad de la
recogida o la puesta en conocimiento de los derechos de acceso, rectificación, cancelación y oposición,
contempladas por la LOPD, se añaden otras nuevas. Cuestiones como cuánto tiempo se conservarán sus
datos o a qué autoridades dirigirse en caso de que surja algún problema habrán de ser comunicadas.
■ Por otro lado, si una entidad obtiene los datos de alguien parte de un tercero (Artículo 4, apartado 10, RGPD),
se reduce a un mes el periodo que tiene para informar al interesado de su posesión y procedencia
(anteriormente eran tres).
■ En cuanto a los derechos de los interesados (Artículo 4, apartado 1, RGPD), clientes o personas que figuran en
nuestras bases de datos, el RGPD no cambia la legislación actual sino que la amplía. A los ya conocidos de
acceso, rectificación, oposición y cancelación se unen algunos más, así como la obligación del responsable del
tratamiento de permitir el ejercicio de los mismos de manera telemática. medios necesarios para su
eliminación.
A tener en
cuenta:
▪ Revisión de los
procedimientos de
acceso de los
interesados.
▪ Considerar las
implicaciones del
derecho al olvido para
los sistemas de las
tecnologías de la
información.
▪ Considerar formas de
automatizar respuestas
ante solicitudes
individuales.
Especialmente relevante es el ejercicio del derecho de supresión o
“derecho al olvido”, por sus implicaciones tecnológicas.
Permitirá la supresión sin dilación indebida en el caso de que los datos ya
no sean necesarios, se retire el consentimiento, se oponga al tratamiento,
o que sus datos hayan sido tratados ilícitamente, entre otros.
■ La referencia tecnológica que se engloba en el “derecho al olvido”, se refiere a los casos en
los que se hayan hecho públicos a través de la Red y cumplan alguno de los puntos
anteriores, poniendo la organización los medios necesarios para su eliminación.
■ El derecho a la transparencia también figura entre las novedades. Este indica que las
informaciones y comunicaciones respecto al tratamiento de datos se ejerzan de una manera
explícita y fácil de entender por los interesados, además de ser de fácil acceso.
De esta manera, no ha de quedar ninguna duda de la recogida de datos personales, así
como de cuestiones como su fin, el plazo establecido para su tratamiento o quién es el
destinatario. También han de ser explicados debidamente los riesgos, normas y derechos
que se pueden ejercer respecto a los datos personales, así como las vías mediante las
que los interesados pueden hacer valer sus derechos respecto a estos.
■ También se ha introducido el llamado derecho de limitación, mediante el cual el interesado
puede pedir la limitación del tratamiento de sus datos al responsable de su tratamiento en
el contexto de ciertos supuestos, como la inexactitud de datos (permite impugnarlos durante
un plazo de tiempo hasta su verificación por parte del responsable); ilicitud de uso de datos
(si el interesado no quiere suprimirlos, limita su uso); para la defensa de reclamaciones o
que el interesado se oponga al tratamiento. En la práctica, el ejercicio de este derecho se
resume en que el responsable del tratamiento podrá conservar los datos pero no utilizarlos.
■ Por último, pero no menos importante, está el derecho a la portabilidad. Tal y como indica la Agencia
Española de Protección de Datos, implica que el interesado podrá solicitar recuperar esos datos en un
formato que le permita su traslado a otro responsable.
A tener en cuenta:
▪ Evaluar los métodos de
cumplimiento de las
solicitudes de
portabilidad de datos y
de limitación.
▪ Asegurar la claridad en la
comunicación con los
interesados y poner
todas las facilidades a su
disposición para que
ejerzan sus derechos.
■ La nueva norma también introduce la evaluación de impacto del tratamiento
de los datos personales (EIPD). La medida, que no se contemplaba en la LOPD,
consiste en que las organizaciones deben evaluar, como dice su enunciado, el
impacto en los tratamientos de datos en aquellos casos que puedan implicar
un alto riesgo para los derechos y libertades de las personas físicas. Dicho
estudio debe hacerse antes de iniciar el tratamiento y ha de evaluarse el
origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. La
principal meta es reducir los riesgos para la protección de los datos personales
y para otros derechos que puedan verse afectados como consecuencia del
tratamiento de los datos de carácter personal.
■ Una EIPD consta, básicamente, de seis fases:
1. Descripción y análisis de la necesidad de la EIPD;
2. Descripción y documentación;
3. Identificación de los riesgos;
4. Evaluación de los riesgos;
5. Gestión y medidas de los riesgos;
6. Revisión e implantación de las medidas.
■ Respecto a la figura del responsable de seguridad -que cita la LOPD y que cuya
designación es obligatoria en caso de tratamiento de ficheros de nivel
medio/alto para coordinar la implementación de las medidas de seguridad
pertinente-, se verá complementada por una nueva. Será el delegado de
protección de datos (DPO).
Este cargo asume competencias inéditas, principalmente en cuestiones
de coordinación y control del cumplimiento de RGPD.
Deberá, principalmente, actuar en sinergia con el responsable del
tratamiento de datos, informándole y asesorándole de las obligaciones
que debe efectuar para cumplir con el RGPD.
Ha de existir un registro en papel de las comunicaciones entre ambos.
Además, deberá supervisar la aplicación de dichas normas de
tratamiento.
■ El DPO también se encargará de la documentación, comunicación y notificación respecto a la violación
de datos personales y de ejercer como enlace con la autoridad de control. Su presencia no será
obligatoria siempre –con un matiz- excepto en el caso de tres supuestos:
– Si El tratamiento lo lleva a cabo una autoridad u organismo público, excepto los tribunales que
actúen en ejercicio de su función;
– Si las actividades principales del responsable requieran una observación habitual y sistemática
de datos a gran escala; y que en dicho tratamiento a gran escala se gestionen datos
pertenecientes a categorías especiales o concernientes a cuestiones penales o condenas.
– Y es que “el matiz” consiste en que la definición de “gran escala” no queda muy clara por lo
que, aunque en teoría solo e exigible en esos supuestos, en la práctica se hace necesario en
casi todas las empresas debido a su ambigüedad.
A tener en cuenta:
▪ Los delegados deben
asegurarse de que se
cumplen con los
requisitos del RGPD.
▪ Determinar si el
nombramiento de un
DPO es obligatorio, y en
caso contrario,
considerar la
designación voluntaria
del mismo.
■ La comunicación de fallos de seguridad a la autoridad de protección de datos ha sido convenientemente
regulada, lo cual solventa un punto no contemplado en la LOPD. Esta nueva obligación supone que el
responsable del tratamiento ha de notificar a la Agencia Española de Protección de Datos todos aquellos
fallos de seguridad que se produzcan en su empresa, en un plazo de 72 horas. Para ello, ha de disponer
de un sistema efectivo para realizar este reporte a la AEPD o para comunicar el fallo a los afectados si
existiera algún riesgo para sus derechos. El informe deberá incluir una descripción de la naturaleza del
incidente e impacto; el número de interesados afectados y el número de registros; nombre y datos de
contacto del delegado de protección de datos; descripción de las posibles consecuencias del incidente; y
descripción de las medidas adoptadas o propuestas para solventarlo.
■ Y para prevenir estos fallos, también se establecen una serie de medidas en cuanto al registro y la
seguridad, que también suponen no un cambio sino algo inédito respecto a la LOPD. De esta forma,
aquellas organizaciones que manejen datos sensibles o de riesgo para la privacidad de los interesados,
tendrán que disponer de un registro que recoja información de distintas actividades cómo los
tratamientos de datos efectuados, su finalidad, datos personales tratados, destinatarios de estos,
medidas de seguridad aplicadas... Es decir, todas aquellas actividades realizadas bajo su
responsabilidad.
■ Abordando el tema de las medidas de seguridad, la RGPD concreta que se aplicarán “teniendo en
cuenta: estado de la técnica, costes de aplicación, naturaleza, alcance, contexto y fines del tratamiento,
así como los riesgos para los derechos y libertades de las personas físicas”. La nueva legislación habla
de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al
riesgo. En este caso, la LOPD es más específica, estableciendo niveles en los ficheros -básico, medio,
alto- y entrando en detalle de qué medidas de seguridad ha de aplicar el responsable de tratamiento en
función de éstos.
A tener en cuenta:
▪ Implementar
procedimientos para
identificar los incidentes de
seguridad, para dar
respuesta a los mismos y
realizar las necesarias
notificaciones.
▪ Evaluar y aplicar la
seguridad y realizar
regularmente pruebas.
▪ Comprobar la probabilidad
de los riesgos cibernéticos.
▪ Asignar la responsabilidad y
establecer un presupuesto
para el cumplimiento de la
protección de datos.
Actualización de estos para
garantizar el cumplimiento,
y desarrollar nuevos
procesos cuando sea
necesario.
■ Por último pero no menos importante, no hay que olvidar el régimen sancionador, que se endurece muy
notablemente. El máximo de 600.000 euros de multa por cada dato mal tratado que contempla la LOPD
se incrementa hasta cantidades que podrían ascender a los 20 millones de euros o el 4% del volumen
total de negocio del ejercicio anterior en el caso de la RGPD.
■ Sin embargo, las sanciones no son las únicas consecuencias del incumpliendo del reglamento a partir
de su entrada en vigor el 25 de mayo 2018. Estar preparado cuanto antes ha de ser la prioridad, que no
debe de verse como una mera obligación sino que también puede ser enfocado desde el punto de vista
de las ventajas que ofrece, proporcionando un incremento en el control de los datos, una protección y
seguridad mayores e, incluso, puede hacer resaltar a nuestra empresa por un tratamiento impoluto de
los datos manejados.
■ Por el contrario, las empresas que no se adapten pueden enfrentarse, como decíamos, a problemas tan
graves como las sanciones.
■ Las pérdidas económicas también pueden producirse, por ejemplo, por incidentes de seguridad. Éstas
quizá conllevarían a una suspensión de los servicios a los clientes, que desamparados, acudirían a la
competencia en el mejor de los casos; en el peor, estarían las acciones legales. También, se puede
provocar un daño en la reputación de la empresa, que lleve a dicha pérdida de clientes actuales y/o
futuros. Sin embargo, cumpliendo la ley, además de poder evitarse los contratiempos enumerados, el
escenario puede cambiar al otro extremo, ganando clientes, confianza y reputación. Por ello se ha de
reiterar, una vez más, el cambio legislativo como una oportunidad de mejora.
A tener en cuenta:
▪ Evaluar la posible
exposición a
responsabilidades con
los clientes o
proveedores.
▪ Seguimiento de los
desarrollos legislativos
nacionales que ya que
podrían crear nuevas
sanciones.
▪ Estar preparado cuanto
antes ha de ser la
prioridad
LA ADAPTACIÓN DE LA EMPRESA A LA
NORMATIVA. ¿POR DÓNDE EMPEZAR?
■ Las empresas necesitan adaptarse a la RGPD de la manera más eficiente posible, y
para ello han de empezar por ubicar en que tesitura están de cumplir la legislación con
sus actuales medios.
■ Un buen comienzo podría ser que las empresas sean plenamente conscientes de los
tratamientos de datos que están llevando a cabo, empezando por cuáles son los datos
personales que tratan. Para ello pueden documentar todo el flujo de información y
buscar fallos: desde la recogida de los mismos hasta su almacenamiento y
procesamiento. La ubicación de las bases de datos donde se guarda la información y,
sobre todo, quién tiene acceso a ella, incluyendo terceras empresas y colaboradores es
de vital importancia.
■ Cuando se realicen transferencias de información han de documentarse todos los
actores que intervengan. ¿Controlar la seguridad? Crucial.
■ En cuanto a los derechos de las personas físicas, hay que establecer los cauces más
ágiles y adecuados para permitir el ejercicio de los mismos mediante la identificación,
modificación, borrado o transferencia de sus datos personales. La transparencia ha de
ser una prioridad, y con ella las maneras de informar sobre las políticas de privacidad y
cómo se guarda y hace uso en el tratamiento de los datos.
■ Con la comprensión de las lagunas en el cumplimiento con el reglamento, las empresas
estarán en una buena posición para evaluar el riesgo en su tratamiento de datos
personales y desarrollar planes de remediación priorizados.
■ Desconocimiento y adaptación:
algunas pautas
■ Todos los cambios conllevan, en un principio, un desconocimiento
de lo que está por venir. En el caso del RGPD se manifiesta en el
que las empresas pueden tener sobre las obligaciones, el
impacto en sus organizaciones y los riesgos económicos,
reputaciones e incluso de la propia actividad empresarial. Una
vez las empresas sean conscientes, el proceso de adecuación
requiere de un gran esfuerzo de concienciación, formación y
análisis e implantación de nuevas prácticas y tecnología tendrán
el cambio encarrilado para lo que viene después: la adaptación
en sí misma, con la ayuda de las tecnologías para aplicar las
nuevas prácticas.
■ Igualmente, todo este esfuerzo corre el riesgo de acabar por no
servir de nada si existen decisiones no acertadas. Para ello, el
cumplimiento del RGPD puede basarse en dos máximas: un buen
gobierno de la información en sinergia con la máxima seguridad.
Ambas premisas garantizan un óptimo control de los datos que se
recogen, almacenan y tratan dentro de la empresa a todos sus
niveles. A partir de esta base, pueden hay tres puntos clave:
preparación, protección y visibilidad.
■ Preparación:
■ La actitud proactiva por parte de las empresas es muy importante. Así, lo más primordial es estar preparados en todos los sentidos: para la detección de
cualquier incidente de seguridad con el fin de neutralizarlo lo antes posible o el bloqueo del atacante en el caso de que logre entrar en los sistemas; para
tener los procedimientos legales a punto; para ser capaces de atender las peticiones de sus clientes; es decir, para todo. Se basa en uno de los consejos de
la Agencia Española de Protección de datos: la prevención, de la que deriva la preparación.
■ Protección:
■ Centrándonos más en la seguridad, es absurdo desaprovechar la tecnología avanzada que tenemos a nuestra disposición. La inteligencia humana y
computacional, junto con el machine learning son la mejor solución. Con ellos podemos automatizar la detección de amenazas y de respuestas. Las
empresas están saturadas con el volumen de eventos y alertas generados por los sistemas, pero una vez que existe una falla, una gran cantidad de
información puede ser robada en segundos. Las soluciones de seguridad deben identificar rápidamente un ataque en curso, tomar medidas para evitar
daños y aliviar la carga del equipo, generando reducción de costes, automatizando totalmente lo que les ocupaba el tiempo durante días.
■ Visibilidad:
■ Hay que tener los datos en bajo control y no en un servidor “cogiendo polvo”; también necesitan mantenimiento. Los datos crecen, cambian y se mueven.
Adecuarse a la nueva norma es solo el principio. Una vez que todo esté como debe, es imprescindible mantener un control constante sobre los mismos. Es
exactamente como ordenar nuestra casa para recibir una visita, pero cuando se va todo vuelve a su caos habitual. No podemos permitirlo.
¿Algún consejo?
■ Revisión de los métodos utilizados hasta ahora: Encontrar contradicciones con
la nueva normativa y subsanarlas en cuanto sea posible, sin prisa pero sin
pausa. Prestar mucha atención a los datos recabados mediante
consentimientos tácitos y, especialmente, los que impliquen a menores de 16
años.
■ Trabajar en el deber de la información: Se traduce en proveer todas las
facilidades para que los interesados puedan ejercer sus derechos sobre los
datos de la manera más ágil posible. La transparencia y los medios
tecnológicos se postulan como factores decisivos, así como el establecimiento
de unas bases legales claras en el momento de la recogida de datos.
■ Ser previsores en cuanto a las evaluaciones de impacto: Evaluar los riesgos
en el tratamiento de datos de manera adecuada, más aún en un principio,
hasta que el protocolo esté interiorizado y asimilado. Para ello, será
especialmente útil una de las guías que la Agencia Española de Protección de
datos ha dedicado a este menester.
■ Activar los nuevos protocolos de registro y de seguridad: Se recomienda que
se pongan en marcha cuanto antes, a pesar de no ser todavía obligatorios,
basándose en las premisas de previsión y adaptación progresiva.
■ Designar ya mismo un Delegado de Protección de Datos: En caso de que sea
necesario en la organización su instauración facilitaría mucho los procesos de
cara a mayo de 2018.
Desde su entrada en vigor, la Agencia Española
de Protección de Datos ha elaborado una serie
de decálogos y guías para orientar a las
organizaciones y empresas en su correcta
adaptación a la normativa. Las cuestiones sobre
las que hacen mayor hincapié son la previsión y
la adaptación progresiva, pero también existen
algunas más concretas que se pueden resumir
en los siguientes puntos:
