GDPR: mayor responsabilidad para garantizar la privacidad de los datos personales

El 25 de mayo de 2018 comenzará a ser aplicable el Reglamento General de Protección de Datos, una norma aprobada por el Parlamento y la Comisión Europea en abril de 2016, con el objetivo de regular el tratamiento y protección de datos en todo el ámbito de la Unión Europea. El RGPD aspira a un doble propósito: ofrecer más control a los ciudadanos sobre su información personal en el contexto de la era digital, y establecer pautas claras para las empresas a la hora de salvaguardar la privacidad de los datos.

Esta nueva normativa afectará a los responsables de recopilar y tratar datos de ciudadanos europeos independientemente de dónde radique su negocio, sea dentro o fuera de la Unión Europea, incluso si la organización no cuenta con presencia física en el territorio de la UE.

El reglamento refuerza la concienciación global sobre la privacidad de las personas, establece el ejercicio de una responsabilidad proactiva por parte de las empresas y garantiza en toda la UE unos estándares de protección elevados y adaptados al entorno digital.

Papel activo de las empresas

Una de las grandes novedades introducidas por el RGPD tiene que ver con el rol de las empresas en la gestión de los datos personales: las organizaciones deberán ejercer una responsabilidad activa y continuada en la evaluación de los riesgos y la adopción de soluciones técnicas y organizativas que garanticen el cumplimiento de las medidas encaminadas a proteger los derechos de las personas.

Ganar la confianza de los clientes para obtener y hacer uso de sus datos es uno de los mayores desafíos a los que se enfrentan las empresas hoy en día. Por ese motivo, la transparencia y el respeto a la privacidad se convierten en elementos diferenciales.

Actualmente, todas las estrategias de marketing dependen y se fundamentan en los datos del consumidor. Tecnologías como el Big Data y el machine learning, posibilitan analizar la información de los consumidores a partir de múltiples variables, con datos reales y precisos, y llegar al cliente de una forma más eficaz.

El Data Driven Marketing es una tendencia cada vez más relevante: genera conocimiento a partir de los datos de las personas y, combinando fuentes de datos internas (datos identificativos y sociodemográficos, compras a través de tarjetas de fidelización, búsquedas en websites, etc.) con fuentes externas (conversaciones en redes sociales, sensores, localización de teléfonos móviles, etc.) permite:

• Establecer pautas de consumo.
• Predecir el comportamiento del consumidor.
• Personalizar las ofertas en base a sus gustos, intereses y necesidades.
• Determinar qué contenidos aumentan la relevancia del mensaje para el cliente y potencian la involucración con la marca.
• Mejorar la experiencia del cliente a través de todos los canales por los que interactúa.
• Optimizar y ajustar las campañas en tiempo real para mejorar su eficiencia.

En este contexto, los principios éticos y legales que deben regular la explotación de la información no deben entenderse como barreras al progreso, sino como garantías de un uso apropiado, transparente y contrastable de los datos que generen vínculos directos entre la empresa y su cliente, y eviten usos ilícitos de la información más sensible.

Las grandes novedades del RGPD

Estos son los principales aspectos que las organizaciones deberán tener en cuenta para adecuarse a la nueva normativa.

Ampliación del concepto de dato personal

• Se amplía el concepto de datos personales a nuevas fuentes de información, incluidas las cookies y las direcciones IP.
• Como indica la IAB, el reglamento no reemplaza a la normativa sobre cookies (directiva sobre comunicaciones comerciales y privacidad), y por tanto sigue siendo necesario el consentimiento informado para el uso de cookies.
• Asimismo, se incluyen dentro de la categorización de datos especialmente sensibles, los datos genéticos y los datos biométricos, del mismo modo que los datos de salud, afiliación sindical, vida sexual, religión y política.

Deber de información

Con carácter previo a la recogida de datos personales, a día de hoy ya se está informando sobre:

• Existencia de un fichero de datos de carácter personal, finalidad de la recogida de datos y destinatarios de la información.
• Carácter obligatorio o facultativo de las respuestas a las preguntas planteadas.
• Consecuencia de la obtención de los datos o de la negativa a suministrarlos.
• Posibilidad del ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
• Identidad y dirección del responsable del tratamiento.

Con el RGPD se añaden nuevos elementos:

• La base jurídica del tratamiento.
• El tiempo máximo que se mantendrán los datos.
• La identificación, si procede, del Delegado de Protección de datos.
• La posible existencia de transferencias internacionales de datos.
• El derecho a presentar una reclamación.
• La existencia o no de decisiones automatizadas.

La Agencia Española de Protección de Datos ha publicado una Guía para el cumplimento del deber de informar, en la que asesora sobre el cumplimiento de esta obligación.

Derecho al olvido y a la portabilidad de datos

Los derechos A.R.C.O. se actualizan en la nueva norma como derechos de transparencia, información, acceso, rectificación, limitación del tratamiento y oposición, a los que se añaden los nuevos:

• Supresión o derecho al olvido, para pedir que los datos personales sean suprimidos en determinadas circunstancias. Por ejemplo, si el interesado dio su consentimiento para el tratamiento de sus datos siendo menor, sin plena consciencia de los riesgos que ello implica.
• Portabilidad de datos, para la recuperación de los datos en un formato que permita su traslado a otro responsable, o bien la transferencia de los datos directamente al nuevo responsable cuando sea técnicamente posible.

Consentimiento inequívoco y explícito

El nuevo reglamento establece varios supuestos para tratar los datos personales:

• La legitimación a través de un contrato.
• Para la satisfacción de un interés vital del interesado.
• Con el consentimiento inequívoco de la persona.
• Cuando exista un interés legítimo para el tratamiento (como podrían ser la prevención de fraude, el marketing directo), aunque no hay una definición clara en este sentido.

Las cláusulas de información, las políticas de privacidad o los términos y condiciones donde se recojan informaciones relativas al tratamiento de los datos personales deberán ser claras, concisas y exponer de una manera sencilla los términos en los que se hará uso de la información personal. Además sólo podrán recogerse y tratarse los datos estrictamente necesarios para los fines perseguidos.

A menos que el interesado dé su consentimiento explícito bajo una declaración o acción afirmativa (declaración por escrito o por medios electrónicos, declaración verbal, marcando una casilla en una web, etc.), no se podrá contactar con él, ni elaborar perfiles comerciales, ni realizarse tratamiento alguno de sus datos.

Este es uno de los aspectos del nuevo reglamento que causará mayor impacto, dado que ya no existirá la posibilidad de que el consentimiento sea tácito (silencio, casillas ya marcadas, inacción del afectado, etc.); el responsable del tratamiento deberá aplicar las medidas para probar que el consentimiento se dio en la forma adecuada.

Encargados del tratamiento

Los contratos entre los responsables y los encargados del tratamiento deben constar por escrito, y detallar las instrucciones relacionadas con las medidas de seguridad, el régimen de subcontratación, la confidencialidad y el destino de los datos tras finalizar la prestación del servicio.

La Agencia Española de Protección de Datos ha publicado una guía que recoge las Directrices para la elaboración de contratos entre responsables y encargados del tratamiento.

Medidas de seguridad y análisis de riesgos

El RGPD delega en las empresas la responsabilidad de identificar las medidas de seguridad que aplicarán en el tratamiento de datos que llevan a cabo, así como la demostración de que esas medidas cumplen con el reglamento y son verdaderamente eficaces.

En el caso de que se produzcan violaciones de seguridad, los responsables deberán ponerlo en conocimiento de la autoridad nacional de supervisión (en España, la Agencia Española de Protección de Datos, AGPD) en un plazo de 72 horas; y a los afectados cuando exista algún riesgo para sus derechos.

El RGPD también presupone una actividad continua en el análisis de las vulnerabilidades de seguridad, con el objetivo de seleccionar e implementar las soluciones más avanzadas para impedir o bloquear ataques informáticos.

La empresa deberá contar con un registro de las actividades de tratamiento, y siempre que sea probable que las operaciones de tratamiento (especialmente cuando se utilicen nuevas tecnologías) entrañen un alto riesgo para los derechos y libertades de las personas físicas se impone la obligación de realizar evaluaciones de impacto en protección de datos (EIPD). Las EIPDs deben ser realizadas antes de poder iniciar el tratamiento de los datos personales y valorarán el origen, la naturaleza, la particularidad y la gravedad de los riesgos para con los datos. Dicha evaluación determinará las medidas de seguridad que se deberán aplicar para demostrar que dicho tratamiento es acorde con el Reglamento.

Delegado de Protección de Datos

El reglamento introduce una nueva figura, la del Delegado de Protección de Datos (DPO – Data Protection Officer), que será obligatoria para organismos públicos y empresas cuyas actividades principales conlleven la “observación habitual y sistemática de interesados a gran escala”, o el “tratamiento a gran escala de categorías especiales de datos”.

El DPO será el encargado de garantizar el cumplimiento del reglamento, aplicar las medidas de seguridad adecuadas en función del riesgo derivado en cada caso del tratamiento de datos, notificar las violaciones de seguridad y tramitar las autorizaciones que sean necesarias.

Será elegido por el responsable del tratamiento, atendiendo a sus cualidades profesionales y conocimientos normativos y prácticos especializados, y podrá formar parte de la plantilla de la compañía o ser un trabajador externo.

Privacidad desde el diseño

La nueva regulación también supone que en el diseño de productos o servicios relacionados con la obtención de datos personales se garantice la privacidad de los mismos desde los estadios iniciales del desarrollo del proyecto.

Técnicas como la seudoanonimización, el cifrado o la protección por defecto en perfiles para que los datos personales no sean accesibles a otros sin la intervención del interesado, son ejemplos de técnicas privacy-oriented a tener en cuenta en las especificaciones de los productos o servicios.

Ventanilla única

La normativa establece una única autoridad para resolver los conflictos transfronterizos, en los casos en que se vean implicadas varias autoridades nacionales de supervisión. Así, las empresas con filiales en varios estados miembros sólo tendrán que tratar con la autoridad de protección de datos del país europeo en el que tengan su sede principal.

Sanciones

Las sanciones afectarán tanto a los responsables como a los encargados de salvaguardar los datos. Las cuantías se definen en función del incumplimiento: las multas en el nivel 1 de incumplimiento podrán alcanzar hasta los 10 millones de euros o el 2% del volumen de negocios total anual del ejercicio financiero anterior, y en el nivel 2, hasta 20 millones de euros o el 4%.

En conclusión, el Reglamento General de Protección de Datos eleva a un nuevo estadio la gestión de los datos personales en las empresas, sobre las que recae una responsabilidad activa y permanente tanto en la evaluación de los riesgos como en la adopción de medidas que garanticen los derechos de privacidad de las personas.

La entrada GDPR: mayor responsabilidad para garantizar la privacidad de los datos personales aparece primero en Good Rebels.