Actualidad|27/03/2018
¿Está preparada tu empresa para la nueva ley de protección de datos?
Antes de nada, una aclaración: el Reglamento General de Protección de Datos (RGPD) no entrará en vigor el 25 de mayo de 2018, ya lo está desde mayo de 2016, a los 20 días de su publicación en el Diario Oficial de la Unión Europea.
¿Y qué pasará el próximo 25 de mayo? Que comenzará a ser aplicable. Llegarán nuevos derechos, nuevos protocolos y, sí, también sanciones más elevadas que, en el peor de los casos, alcanzarán hasta el 4% de nuestra facturación anual o hasta 20 millones de euros, la mayor de las dos cifras.
Este reglamento es de aplicación directa -no necesita de normas para su trasposición o desarrollo-, aunque el Gobierno ha elaborado un Proyecto de Ley Orgánica de Protección de Datos que espera que entre en vigor para esa fecha y que servirá, además de para desarrollar el RGPD, para aclarar algunas de las dudas que ha generado este cambio de escenario.
¿Por qué supone un cambio de escenario? Principalmente porque introduce dos elementos: el principio de responsabilidad proactiva y por su enfoque del riesgo.
PRINCIPIO DE RESPONSABILIDAD PROACTIVA
Implica que, como responsables del tratamiento, deberemos cumplir las normas y, además, demostrar que las hemos cumplido, desde el mismo diseño del tratamiento de datos. Esto nos obliga a analizar qué datos vamos a manejar, con qué finalidades lo hacemos y qué tipo de operaciones de tratamiento realizamos. También deberemos asegurarnos de que las medidas para cumplir con el RGPD son las adecuadas en todo momento, lo que nos obligará a la revisión y actualización.
ENFOQUE DEL RIESGO
De cara a establecer las medidas de seguridad, se debe realizar un análisis del riesgo, que valore el nivel y el tipo de riesgo asumido en función de la naturaleza, el ámbito, el contexto y los fines del tratamiento, que son diferentes en cada empresa. Por tanto, las medidas que pueden servir para un gran bróker con matriz internacional no tienen por qué servir para una pequeña o mediana correduría con clientes nacionales.
EL CONSENTIMIENTO DEBE SER INEQUÍVOCO Y EXPLÍCITO
Junto a este cambio de escenario, hay otras modificaciones que influyen en la relación del día a día con nuestros clientes. Uno de ellos es que su consentimiento para que podamos tratar sus datos personales debe ser inequívoco y explícito y solamente para las cuestiones para las que nos facilite ese tratamiento. Esto significa, por ejemplo, que no podremos enviar un correo electrónico publicitario a un cliente que no nos haya dado explícitamente su consentimiento para recibir publicidad.
Tampoco son válidas las cesiones de datos si se han logrado a través de un formulario en el que la casilla ya esté premarcada o si aducimos que el cliente nos ha dado su autorización porque no nos contestó a un correo en el que avisábamos de la cesión. Y otra cuestión no menos importante: el afectado debe poder retirar su consentimiento en cualquier momento y de forma sencilla.
¿Eso significa que tenemos que volver a pedir el consentimiento a nuestra base de datos? No es necesario si en su momento seguimos todos los pasos legales, siempre que la forma en la que se nos dio el consentimiento se ajuste a las condiciones del RGPD.
DERECHOS ARCO, AL OLVIDO Y A LA PORTABILIDAD
El RGPD mantiene los conocidos como derechos ARCO (acceso, rectificación, cancelación y oposición) para los interesados, con algunos cambios, y establece dos nuevos: al olvido y a la portabilidad de los datos. La portabilidad implica que facilitemos al interesado copia de sus datos personales en un formato estructurado, de uso común y lectura mecánica mientras que el derecho al olvido (o derecho de supresión) está vinculado a la presencia de nuestros datos en Internet.
Sobre los derechos, un punto importante más: con carácter general debemos facilitar su ejercicio que, además, salvo en aquellas solicitudes infundadas o excesivas, debe ser gratuito.
NOTIFICACIÓN DE UNA VIOLACIÓN DE LA SEGURIDAD DE LOS DATOS
En el caso de una violación de la seguridad de los datos personales (también conocida como incidente o brecha de seguridad), informaremos a la autoridad de protección de datos competente, sin dilación y a ser posible dentro de las 72 horas siguientes al momento en el que tengamos conocimiento de este siniestro. El RGPD considera como tal “la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. En ese caso, debemos informar, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados. Si estuvieran en riesgo gravemente los derechos o libertades de los afectados (por ejemplo, si un hacker ha accedido a los datos personales de clientes o proveedores) además estamos obligados a informar a estos.
¿NECESITAS UN DELEGADO DE PROTECCIÓN DE DATOS?
Las organizaciones y empresas que, según el RGPD, están obligadas a nombrar un delegado de protección de datos (DPD) son:
Hay dudas sobre si las corredurías, en función del volumen de datos tratados (especialmente los grandes brókeres y las que tienen grandes colectivos como clientes) y de los datos sensibles (cuestionarios de salud, por ejemplo), podrían estar incluidas en los dos últimos puntos. Solamente después de la oportuna evaluación de riesgos podremos establecer la necesidad de contar con esta figura, que tiene como principales funciones la información y asesoramiento, pero también la supervisión de que se cumple la ley en materia de protección de datos, cooperando con la autoridad de control. El delegado de protección de datos debe gozar de tal autonomía en su trabajo que el reglamento garantiza que las empresas no pueden impedir o influir en sus decisiones.
HERRAMIENTAS
Aunque hemos intentando despejar algunas de las principales novedades y cambios, somos conscientes de que son muchas más las dudas y los retos que tenemos por delante en nuestras empresas. Por eso recomendamos estar al tanto de las novedades de la Agencia Española de Protección de Datos y particularmente de su canal del responsable de ficheros.
Ahí encontrarás la útil Guía del Reglamento General de Protección de Datos para responsables de tratamiento y la herramienta online Facilita_RGPD, que de forma ágil nos genera diversos documentos adaptados a la realidad de nuestra empresa, las cláusulas informativas que debemos incluir en los formularios de recogida de datos personales, las cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento y un anexo con medidas de seguridad orientativas consideradas mínimas.
¿Y qué pasará el próximo 25 de mayo? Que comenzará a ser aplicable. Llegarán nuevos derechos, nuevos protocolos y, sí, también sanciones más elevadas que, en el peor de los casos, alcanzarán hasta el 4% de nuestra facturación anual o hasta 20 millones de euros, la mayor de las dos cifras.
Este reglamento es de aplicación directa -no necesita de normas para su trasposición o desarrollo-, aunque el Gobierno ha elaborado un Proyecto de Ley Orgánica de Protección de Datos que espera que entre en vigor para esa fecha y que servirá, además de para desarrollar el RGPD, para aclarar algunas de las dudas que ha generado este cambio de escenario.
¿Por qué supone un cambio de escenario? Principalmente porque introduce dos elementos: el principio de responsabilidad proactiva y por su enfoque del riesgo.
PRINCIPIO DE RESPONSABILIDAD PROACTIVA
Implica que, como responsables del tratamiento, deberemos cumplir las normas y, además, demostrar que las hemos cumplido, desde el mismo diseño del tratamiento de datos. Esto nos obliga a analizar qué datos vamos a manejar, con qué finalidades lo hacemos y qué tipo de operaciones de tratamiento realizamos. También deberemos asegurarnos de que las medidas para cumplir con el RGPD son las adecuadas en todo momento, lo que nos obligará a la revisión y actualización.
ENFOQUE DEL RIESGO
De cara a establecer las medidas de seguridad, se debe realizar un análisis del riesgo, que valore el nivel y el tipo de riesgo asumido en función de la naturaleza, el ámbito, el contexto y los fines del tratamiento, que son diferentes en cada empresa. Por tanto, las medidas que pueden servir para un gran bróker con matriz internacional no tienen por qué servir para una pequeña o mediana correduría con clientes nacionales.
EL CONSENTIMIENTO DEBE SER INEQUÍVOCO Y EXPLÍCITO
Junto a este cambio de escenario, hay otras modificaciones que influyen en la relación del día a día con nuestros clientes. Uno de ellos es que su consentimiento para que podamos tratar sus datos personales debe ser inequívoco y explícito y solamente para las cuestiones para las que nos facilite ese tratamiento. Esto significa, por ejemplo, que no podremos enviar un correo electrónico publicitario a un cliente que no nos haya dado explícitamente su consentimiento para recibir publicidad.
Tampoco son válidas las cesiones de datos si se han logrado a través de un formulario en el que la casilla ya esté premarcada o si aducimos que el cliente nos ha dado su autorización porque no nos contestó a un correo en el que avisábamos de la cesión. Y otra cuestión no menos importante: el afectado debe poder retirar su consentimiento en cualquier momento y de forma sencilla.
¿Eso significa que tenemos que volver a pedir el consentimiento a nuestra base de datos? No es necesario si en su momento seguimos todos los pasos legales, siempre que la forma en la que se nos dio el consentimiento se ajuste a las condiciones del RGPD.
DERECHOS ARCO, AL OLVIDO Y A LA PORTABILIDAD
El RGPD mantiene los conocidos como derechos ARCO (acceso, rectificación, cancelación y oposición) para los interesados, con algunos cambios, y establece dos nuevos: al olvido y a la portabilidad de los datos. La portabilidad implica que facilitemos al interesado copia de sus datos personales en un formato estructurado, de uso común y lectura mecánica mientras que el derecho al olvido (o derecho de supresión) está vinculado a la presencia de nuestros datos en Internet.
Sobre los derechos, un punto importante más: con carácter general debemos facilitar su ejercicio que, además, salvo en aquellas solicitudes infundadas o excesivas, debe ser gratuito.
NOTIFICACIÓN DE UNA VIOLACIÓN DE LA SEGURIDAD DE LOS DATOS
En el caso de una violación de la seguridad de los datos personales (también conocida como incidente o brecha de seguridad), informaremos a la autoridad de protección de datos competente, sin dilación y a ser posible dentro de las 72 horas siguientes al momento en el que tengamos conocimiento de este siniestro. El RGPD considera como tal “la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. En ese caso, debemos informar, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados. Si estuvieran en riesgo gravemente los derechos o libertades de los afectados (por ejemplo, si un hacker ha accedido a los datos personales de clientes o proveedores) además estamos obligados a informar a estos.
¿NECESITAS UN DELEGADO DE PROTECCIÓN DE DATOS?
Las organizaciones y empresas que, según el RGPD, están obligadas a nombrar un delegado de protección de datos (DPD) son:
- las autoridades y organismos públicos (salvo tribunales de justicia),
- las que entre sus actividades principales “requieran una observación habitual y sistemática de interesados a gran escala”, o
- las que realizan el tratamiento a gran escala de datos sensibles (datos de salud, genéticos y biométricos, raza, afiliación política o sindica…) o penales.
Hay dudas sobre si las corredurías, en función del volumen de datos tratados (especialmente los grandes brókeres y las que tienen grandes colectivos como clientes) y de los datos sensibles (cuestionarios de salud, por ejemplo), podrían estar incluidas en los dos últimos puntos. Solamente después de la oportuna evaluación de riesgos podremos establecer la necesidad de contar con esta figura, que tiene como principales funciones la información y asesoramiento, pero también la supervisión de que se cumple la ley en materia de protección de datos, cooperando con la autoridad de control. El delegado de protección de datos debe gozar de tal autonomía en su trabajo que el reglamento garantiza que las empresas no pueden impedir o influir en sus decisiones.
HERRAMIENTAS
Aunque hemos intentando despejar algunas de las principales novedades y cambios, somos conscientes de que son muchas más las dudas y los retos que tenemos por delante en nuestras empresas. Por eso recomendamos estar al tanto de las novedades de la Agencia Española de Protección de Datos y particularmente de su canal del responsable de ficheros.
Ahí encontrarás la útil Guía del Reglamento General de Protección de Datos para responsables de tratamiento y la herramienta online Facilita_RGPD, que de forma ágil nos genera diversos documentos adaptados a la realidad de nuestra empresa, las cláusulas informativas que debemos incluir en los formularios de recogida de datos personales, las cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento y un anexo con medidas de seguridad orientativas consideradas mínimas.