Desde el 25 de mayo de 2018 se aplica el Reglamento general de protección de datos (GDPR, General Data Protection Regulation) en toda la Unión Europea. Esta ley uniforme transpone las leyes nacionales de protección de datos, como la Ley Orgánica de Protección de Datos (LOPD). Por lo tanto, se están produciendo tantos cambios para las empresas que recopilan datos personales. Por lo que tienen problemas con la preparación con respecto a una ley más estricta y la evaluación de la gestión de la información.
Para más información lea el siguiente artículo: GDPR, una ley más estricta que exige una revisión de la gestión de la información .
Una mayor garantía de los derechos de los implicados
El objetivo final de la nueva legislación es la protección de los derechos básicos de privacidad de los implicados. Esto significa que las empresas deben pensar sobre su uso general de los datos personales. ¿Cuál es la política? ¿De veras hay una política? ¿O todavía no se ha pensado en qué hacer con los datos personales recopilados? La nueva ley establece muy claramente los derechos que una empresa debe respetar en términos de política.
Con la nueva ley, el término “datos personales” se hace más amplio que bajo la LOPD. Los datos personales son, desde el 25 de mayo de 2018, todos aquellos datos que, de forma directa o indirecta, puedan identificar una persona física. De esta manera, por ejemplo, los colegios no tienen derecho a publicar en los tablones las listas de las notas con los números de los estudiantes. Este número se le puede derivar al estudiante.
Derecho de acceso
El derecho de acceso ya existía en la LOPD. Por lo tanto, nada cambia en esta área. Sigue siendo importante que los clientes no tengan que dar un motivo para su solicitud de acceso. Por otro lado, esto significa que no haya más restricciones en cuanto a este derecho. En algunos casos, la solicitud de acceso puede ser rechazada, pero debe haber una muy buena razón. Por ejemplo, este caso se puede dar cuando una persona acusada solicita datos de la policía en una investigación en curso.
Derecho al olvido
Bajo la nueva legislación europea, los derechos existentes de rectificación y cancelación se transforman en el derecho al olvido. En esta nueva forma, el derecho no está limitado a datos incorrectos o irrelevantes. Ahora, los clientes también tienen derecho a eliminar por completo de una vez todos sus datos. Ellos no tienen porqué dar ningún motivo para exigir ser eliminados del sistema.
Derecho a la portabilidad de datos
El derecho a la portabilidad de datos es nuevo para las empresas españolas. Antes de esta ley, no había leyes estrictas al respecto. Sin embargo, con el GDPR las empresas están obligadas a poner a disposición de los interesados datos de consumidores. Esta información también tiene que ser proporcionada en un formato utilizable.
La idea detrás de este derecho es que los clientes puedan usar sus datos para sus propios fines. En muchos casos, el derecho se usará para cambiar de proveedor de un servicio, por ejemplo, de telefonía o internet. En este caso, la información también se le puede dar directamente al nuevo proveedor, si es técnicamente posible. Sin embargo, los consumidores no están obligados a utilizar los datos inmediatamente. Ellos también pueden solicitar un archivo personal.
Maitane Valdecantos, socia de la firma de abogados Audens, nos explica de forma clara cómo se aplican las leyes de protección de datos cuando tratas con un proveedor de software:
Consejo: los consumidores pueden acercarse a las empresas con solicitudes de acceso, olvido y portabilidad de datos. En un sistema de gestión de documental, una empresa puede controlar en qué medida se han otorgado las solicitudes de los consumidores y por qué (no). Además, la información relevante se puede encontrar rápidamente en un gestor documental (DMS) bien estructurado.
Obligaciones y medidas específicas para las empresas con GDPR
Las empresas están relativamente libres en la forma de cumplir con los derechos anteriormente mencionados. Sin embargo, hay dos obligaciones específicas que las organizaciones deben cumplir con la nueva legislación: el mapeo del tratamiento de datos y el cumplimiento de responsabilidad. Las empresas deben ser capaces de demostrar en todo momento lo que se ha hecho con los datos recogidos y por qué. Esto también es una gran ventaja para las empresas mismas, ya que así es más fácil defenderse de las disputas si se tiene esta información.
Las obligaciones también se traducen bajo la nueva ley en medidas concretas que las empresas deben tomar. Además de algunas obligaciones universales, también hay medidas que sólo son aplicables para algunos casos o para ciertas empresas. Estas obligaciones extra son generalmente para empresas más grandes, empresas con un alto riesgo de filtración de datos o para actividades de tratamiento donde los datos personales se utilizan con fines promocionales.
Informar bien a los consumidores sobre lo que sucede con sus datos
Es obligatorio para todas las empresas ser transparente con los clientes. Una descripción clara de la declaración de privacidad es el primer paso. Esto debería describir qué se guarda, cómo se procesa y por qué. Este detalle fallaba en la LOPD.
Partes obligatorias en una declaración de privacidad desde mayo de 2018:
- Indicación de la base legal que permita a la empresa llevar a cabo el tratamiento de datos.
- Especificación sobre por cuánto tiempo se guardarán los datos.
- Señalización sobre un posible intercambio con países fuera de la UE.
- Explicación sobre el derecho de queja de los involucrados en la Autoridad de Control.
- Explicación sobre una posible toma de decisiones automatizada y elaboración de perfil.
Informar a la Autoridad de Control sobre las actividades de tratamiento
La transparencia sobre el tratamiento de datos también implica que una empresa está obligada a entregar un informe de pérdida de datos cuando lo requiere la autoridad de control. Además, las empresas medianas y grandes también tienen que llevar un registro de las actividades de tratamiento cuando así lo solicite la autoridad de control. Este registro es obligatorio para empresas con 250 empleados o más, pero también puede ayudar a empresas más pequeñas a defenderse en el caso de que haya alguna disputa.
Para las mismas empresas, el registro de las actividades de tratamiento también es una buena medida de control. En los registros se hace visible si ciertos datos se quedan más tiempo de lo permitido legalmente en el archivo digital . De esta manera, una empresa puede actuar rápidamente y evitar (más) multas.
Para el tratamiento de datos es importante saber que una empresa no renuncia a su responsabilidad cuando hace uso de un procesador externo. Por ejemplo, una empresa contrata a una agencia de marketing para que configurar una campaña sobre un producto o servicio. Para ello, la empresa le proporciona datos personales a la agencia de marketing. En este caso, es la compañía que ha contratado los servicios de la agencia de marketing la responsable del tratamiento (y no la agencia). Por lo tanto, es la empresa la responsable final de mantener claros los registros de tratamiento.
Pedir permiso explícitamente para el tratamiento de los datos
En algunos casos, debe pedirse permiso explícito para el uso de datos personales. Por ejemplo, esto puede pasar cuando un movimiento juvenil quiere publicar fotos en su página web. Bajo la nueva ley europea, una empresa u organización también debe mantenerla prueba de este permiso. Estas pruebas pueden almacenarse y archivarse de manera automática en el sistema de gestión documental. Esto los hace fácilmente consultables en caso de una queja o disputa.
Empresas con un alto riesgo de privacidad
Todas las empresas europeas tienen que cumplir con la nueva legislación, pero hay diferencias de obligaciones dependiendo del riesgo que ellas conllevan. Las obligaciones aumentan de acuerdo con la escala o la forma en que una empresa realiza el tratamiento de datos. Por lo tanto, el cumplimiento de la evaluación de impacto de la protección de datos (o Data Protection Impact Assessment, DPIA) es obligatoria para las empresas cuyo tratamiento de datos presenta un alto riesgo para los implicados. Un DPIA es una investigación sobre los posibles efectos y riesgos del tratamiento de datos. Esta investigación puede realizarla la misma empresa o subcontratar a un tercero para que la haga.
Apoyo adicional de delegados autorizados
Algunas organizaciones también están obligadas a designar un delegado para la protección de datos. A menudo, son las mismas compañías las que tienen que llevar a cabo una evaluación de impacto de protección de datos. La escala y la manera en la que se recopilan los datos también son decisivos para la elección del delegado .
Organizaciones que están obligadas a presentar un delegado:
- Autoridades y organizaciones públicas.
- Organizaciones que se dedican a la investigación (por ejemplo, vigilancia por cámara y establecimiento de perfil).
- Organizaciones que recopilan datos personales especiales (raza, salud, religión, etc.).
El trabajo de un delegado interno para la protección de datos consiste en comprobar en todo momento que el tratamiento de los datos de una organización cumple con la ley. El nombramiento de este delegado también puede ser considerado por empresas que no están estrictamente obligadas a tenerlo. De hecho, es una forma de que las empresas protejan aún más contra posibles violaciones. Además, la autoridad de control puede pedirle que justifique su elección a aquellas empresas que hayan decidido no presentar ningún delegado.
Consejo: A veces, es difícil para las empresas saber qué medidas adicionales deben tomar para la nueva ley. En caso de duda, se puede recurrir a la Agencia Española de Protección de Datos (AGPD) para consultar dudas y comprobar sus obligaciones específicas.
Reducir: la recopilación innecesaria de datos
Cuantos menos datos se compilen, menos riesgos correrá una empresa de violar la GDPR. Por lo que es muy importante que las organizaciones piensen qué información piden a los consumidores. La recopilación y tratamiento de datos innecesarios puede derivar en multas entre los mil y los 20 millones de euros.
Evitar la recopilación innecesaria de datos puede asegurarse técnicamente mediante una estrategia de privacidad por defecto. Así, la empresa puede asegurar a los usuarios que pueden garantizar su privacidad sin mucho esfuerzo adicional. De esta forma, por ejemplo, una aplicación móvil no recibe la ubicación del usuario por defecto, y se les pregunta activamente a los clientes si desean mantenerse informados sobre las promociones por correo o correo electrónico.
Las medidas para reducir la cantidad de datos recopilados innecesariamente se pueden tomar en diferentes momentos. Lo ideal sería establecerlas inmediatamente durante el desarrollo de los productos o servicios. A esto se le llama, privacidad por diseño. Las empresas que ya llevan activas (unos) años, deberán centrarse en el análisis exhaustivo de la compilación de datos con la llegada de la GDPR. Es probable que las páginas web, los formularios de contacto y las aplicaciones deban ajustarse para cumplir con la privacidad por defecto.
Por lo tanto, bajo la nueva ley no sólo se debe procurar que no haya datos recopilados de forma innecesaria, sino también verificar todos los datos que ya hayan sido almacenados . El caso idóneo sería tener un sistema de gestión documental donde se guarde todas las actividades de tratamiento. Sin embargo, en algunas empresas también circulan ciertos datos personales de una forma u otra. Se deberá investigar un número de cuenta que se envió por correo al departamento de contabilidad, un ordenador de trabajo antiguo que se encuentre en el almacén que todavía contenga carteras de clientes, entre muchos otros proveedores de información. Esto se puede hacer de forma manual, pero también existen softwares que están especialmente destinados a detectar datos personales.
El control se queda en manos de la Autoridad de Control nacional
A pesar del carácter europeo de la GDPR, el control se lleva a cabo por organismos nacionales. Para España, la autoridad de control está dividida por comunidades autónomas. Estas organizaciones recibirá las quejas de los consumidores de su comunidad. Si después de una investigación la queja es declarada admisible, la autoridad de control también está autorizada para emitir multas.
Para las empresas con sucursales en varios países, están sujetas a la jurisdicción del país donde tiene lugar la administración central. A menudo, este es también el país donde se encuentra la sede central. Por ejemplo, si una empresa española con sede en España realiza su administración central en Alemania, la empresa deberá obedecer la GDPR, pero no la autoridad de control de España. La organización debe justificar sus actividades ante un supervisor de la autoridad de control alemana. En caso de duda sobre los supervisores en una situación específica, una empresa siempre puede contactar a la autoridad de control.