La seguridad y la protección de la información y los datos personales ha sido siempre uno de los grandes quebraderos de cabeza de empresas y gobiernos, ya sea por que tuvieran que tratar con este problema o por la necesidad de legislar sobre esta materia. En este sentido, desde 1999 tenemos en España la LOPD, una ley que fue revisada y desarrollada en 2007. Sin embargo, la importancia de esta materia obligó a la Comisión Europea a proponer e impulsar en el año 2012 un Reglamento General de Protección de Datos (GDPR por sus siglas en inglés), cuya negociación se extendió hasta el pasado año 2016. Con motivo de la celebración del Día Europeo de la protección de datos el próximo 28 de enero, quisiera escribir este post hablando sobre este nuevo Reglamento General de Protección de Datos.
El GDPR fue aprobado en el abril pasado y su entrada en vigor en nuestro país comenzó en mayo, sin embargo y debido a la necesidad de adaptación de las empresas para adecuarse a sus preceptos, su aplicación no comenzará hasta el 25 de mayo de 2018. Con este margen de dos años se pretende dar un plazo lo suficientemente extenso, como para que las empresas conozcan y se preparen ante esta nueva normativa. Pero ¿cuáles son las novedades más importantes de este reglamento?
No afecta sólo a responsables establecidos en la Unión Europea.
Este reglamento se aplica a todos los responsables que se dirijan y traten datos de ciudadanos de la Unión, independientemente de si están establecidos en alguno de los países de la Unión Europea o no. En este sentido, las organizaciones no establecidas en territorio de la Unión y que ofrecen productos y servicios en dicho territorio, deberán nombrar un representante (en la Unión Europea) que actuará como contacto con las Autoridades de supervisión y con los ciudadanos. Por lo tanto, sería el destinatario de las acciones de supervisión de estas autoridades, además de que sus datos de contacto deberán ser proporcionados a los interesados entre la información relativa a los tratamientos de sus datos personales. Esta revisión de la aplicación pretende dar mayor seguridad a los ciudadanos europeos, ya que en la actualidad, sólo se aplicaba a empresas radicadas en la UE.
Derecho al olvido y derecho a la portabilidad
El nuevo reglamento introduce elementos de control de los ciudadanos sobre sus datos personales como el derecho al olvido y el derecho a la portabilidad. El primero fue reconocido por primera vez por una sentencia del Tribunal de Justicia en 2014 y es el derecho de los ciudadanos de solicitar la supresión de sus datos, así como también permite solicitar el bloqueo, en los buscadores, de las búsquedas que conduzcan a información que le puedan afectar. Por otro lado, el segundo implica que los ciudadanos que hayan proporcionado datos a un responsable, que los esté tratando de modo automatizado, puedan solicitar la recuperación de dichos datos para poder trasmitirlos a otro responsable.
Tratamiento de datos personales de menores
El GDPR recoge que la edad mínima de los menores para prestar por sí mismo sus datos es de 16 años, aunque permite que cada Estado miembro rebaje y establezca la suya propia, siendo el límite los 13 años. Por ejemplo, en España este límite continúa en los 14 años. Hay que mencionar que el consentimiento debe ser verificable, y por lo tanto el aviso de privacidad debe estar escrito de forma que los menores puedan entenderlo.
Responsabilidad activa
El Reglamento General de Protección de Datos está basado en la responsabilidad activa, que no es otra cosa que la prevención por parte de las organizaciones que tratan los datos. En este sentido, dichas organizaciones están obligadas a tomar medidas de seguridad para estar preparadas a cumplir con los principios, derechos y garantías establecidas por el GDPR. Este cambio de filosofía entiende que es insuficiente actuar una vez ocurrida una infracción, ya que los daños a los interesados ya se habrían causado. Estas medidas de seguridad supondrán por lo tanto una protección de datos desde el diseño. Por otro lado, se exigen que se realicen evaluaciones de impacto, sobre todo en los casos en los lo que se vayan a tratar datos sensibles. Esta evaluación se deberá realizar antes de iniciar el tratamiento de los datos personales. También se exigirá notificar las violaciones de la seguridad de los datos a la Autoridad competente, quedando en manos de la empresa por lo tanto el acusarse a sí misma de una brecha de seguridad. Además se exige de forma obligatoria a los organismos públicos y a las empresas que traten datos personales a gran escala, el nombramiento de un Delegado de Protección de datos (DPO) cuya labor será encargarse de garantizar el cumplimiento del Reglamento, notificar las ya mencionadas violaciones de seguridad y tramitar las autorizaciones necesarias. El DPO podrá ser un trabajador en plantilla o un trabajador externo. A su vez se amplía la obligación de informar a usuarios y clientes, además de que se obliga a que el consentimiento del usuario sea explícito y verificable mediante una declaración de los interesados o una acción positiva. Por último se deberá realizar el mantenimiento de un registro de tratamientos, los datos se protegerán por defecto y se promocionará una serie de códigos de conducta y esquemas de certificación.
Las empresas tienen que adaptarse a una nueva forma de trabajar
Los responsables de este nuevo Reglamento aseguran que la carga de trabajo de las empresas no aumentará en lo que respecta al cumplimiento de esta nueva normativa, ya que simplemente se actualizan los procesos actuales o se formalizan medidas ampliamente llevadas a cabo por las empresas. EL GDPR pretende que la aplicación y la obligación de llevar a cabo estas medidas, dependa de diferentes factores (contexto de cada una de las empresas), lo que resulta en que todas las organizaciones que tratan datos deberán realizar un análisis de riesgo en sus tratamientos para determinar qué medidas tienen que aplicar y cómo tienen que hacerlo. Lo que sí que supondrá la aplicación del nuevo Reglamento es la revisión de los avisos de privacidad actuales, ya que se deberá incluir información que actualmente no era obligatoria, como la base legal para el tratamiento de los datos, los periodos de retención, o la información de la posibilidad de reclamar a las Autoridades de protección de datos si se considera que existe un problema en dicho tratamiento. Al igual que pasaba en el caso de los menores, esta información proporcionada debe estar en un lenguaje claro y conciso.
Sistema de ventanilla única
Este sistema pretende que los responsables que realicen tratamientos de datos de ciudadanos de varios Estados de la Unión tengan una única Autoridad de protección de datos como interlocutora. A su vez, implica que cada Autoridad de datos europea pueda cooperar con Autoridades de otros países en el caso de que exista una situación con carácter transfronterizo. Estos casos, si existiesen discrepancias insalvables, podrían elevarse al Comité Europeo de Protección de Datos, que resolvería las discrepancias mediante una decisión vinculante. Este sistema no afectará a las empresas cuyo desarrollo del tratamiento de datos se limite a un único Estado.
Como podemos observar, las novedades son extensas y de gran calado, por lo que las empresas deberían de aprovechar de forma activa el plazo de 2 años que las Autoridades Europeas han fijado para su aplicación.