RGPD: no le tengas miedo

RGPD: no le tengas miedo

Apuntes para el entender el RGPD y no tenerle más miedo de la cuenta

Son muchas las empresas y profesionales que en las últimas semanas andan buscando a toda prisa una solución para cumplir con el RGPD. Todos sabemos que las prisas son malas consejeras, pero parece que es inevitable que no dejemos las cosas para ultima hora: estudiar para un examen el último día, pagar los impuestos diez minutos antes de que finalice el plazo, etc. Así que no veo porqué el cumplimiento del RGPD tendría que ser diferente.

Como seguramente, estimado lector, estará siendo bombardeado por mensajes apocalípticos al respecto del RGPD y su cumplimiento, voy a intentar poner un poco de luz sobre el tema. Vamos a ello.

Partamos de una premisa: hay que cumplir con el RGPD. No es algo opcional. Pero se trata de cumplir con una obligación legal más, como las muchas que tienen las empresas. La particularidad de esta norma es que hace referencia al activo más importante de las empresas: las personas y sus datos. A nadie se le puede escapar que una empresa depende al 100% de sus clientes y colaboradores y sin una adecuada gestión de la información de los mismos, difícilmente la empresa puede llegar a buen puerto.

Teniendo esta primera premisa clara, continuemos.

¿Quién está obligado a cumplir con el RGPD?

Pues fundamentalmente todas aquellas entidades (empresas, profesionales, asociaciones, cofradías, clubs de cualquier tipo, etc), que gestionen información de usuarios que se encuentren en la UE. Es decir, se amplia la aplicación de la norma y no se restringe a los ciudadanos europeos, sino a cualquier que se esté en la UE.

¿Cuales son las principales novedades del RGPD?

Realmente hablar de novedades del RGPD me parece un sinsentido, pues la norma lleva con nosotros casi dos años ya, pero como es la moda, a ella me sumo. Así de poca personalidad tengo.

Realmente nuevo, nuevo.. lo que se dice nuevo al 100% no tiene mucho, pero si que da una vuelta de tuerca, aclara, cambia de nombre o matiza cosas que ya aparecían en el anterior marco normativo. Vamos a darle un vistazo a lo más importante:

  • El consentimiento: La piedra angular del tratamiento de los datos. Se elimina el consentimiento tácito que, si bien no era valido, si que se venía practicando con la anterior normativa. Conceptos como “si me envías este mensaje, estás aceptado los términos y condiciones”, “He leído y acepto los términos” (sin enlazar a dichos términos) y otras variantes por el estilo dejan de ser validas. A partir de ahora el consentimiento tiene que ser expreso y explícito, un “acto afirmativo” como dice el reglamento. Tiene que ser una declaración de intenciones del usuario, por la que consiente en el tratamiento de sus datos. Un “Si, quiero” en toda regla.

    • La información. El consentimiento que hemos visto en el punto anterior, tiene que venir dado por una adecuada información, donde queda claramente definido y sin ambigüedades la finalidad de los datos que se recogen, cuales son los derechos del usuario o la identificación de los actores en el tratamiento de esos datos. Se tiene que tender a textos más claros y concretos, donde sean fácilmente identificables todos los parámetros que el usuario tiene que tener claros a la hora de prestar el consentimiento. Curiosamente, esta obligación está haciendo que ahora los términos y condiciones sean más extensos, pues hay que explicar más cosas.

    • La responsabilidad activa. Concepto por el cual, las empresas tienen que formar parte activa y principal en la protección de la información de sus usuarios. Es decir, que ahora la responsabilidad de certificar que las cosas se están haciendo bien, es de las empresas. Se tienen que establecer cuales son las medidas de seguridad y control más eficientes para cada caso y llevarlas a cabo. Y por tanto, cada entidad podrá determinar de que manera protege la información, basándose en las buenas prácticas de la industria y siempre que se adecuen a lo que dice la norma.

      Aquí quisiera hacer un inciso: el otro día en una charla con empresarios de una asociación empresarial, me comentaban que estaban siendo asediados por comerciales que les llamaban para explicarles que el nuevo RGPD “obliga a las empresas a hacer un curso de formación para los empleados”. Supongo que serán las mismas empresas que hasta ahora se han lucrado con la famosa “LOPD a coste 0”. Habría que aclarar una cosa: si una empresa determina que entre las medidas de seguridad que va a implantar, está la formación de sus empleado, pues está claro que tendrán que hacer algún tipo de formación. La formación, en todo caso, respecto a las obligaciones y derechos es algo que todas las empresas deberían cumplir, pero en ningún caso se obliga a las empresas a contratar un determinado curso. Eso hay que tenerlo muy claro.

    • Privacidad desde el diseño y por defecto. Mediante este concepto las empresas y profesionales deberán plantearse la privacidad y seguridad de la información que tratan desde el mismo momento de la concepción de un nuevo modelo de negocio, un nuevo proyecto, una nueva empresa, etc. No tiene mucho sentido montar una estructura para soportar un nuevo departamento de una empresa (por ejemplo) y dotarle, a posteriori, de las medidas de seguridad necesarias. Hay que crear el departamento pensado en privacidad.

    • Viejos y nuevos derechos. A los famosos derechos de acceso, rectificación, cancelación y oposición, se unen ahora los derechos de limitación de tratamiento, olvido y portablidad. El ejercicio de derechos será ahora más sencillo y también gratuito (salvo que se advierta que existe un abuso de este derecho) y se dispondrá de un mes de plazo para responder a todos ellos. Con los nuevos derechos, se ponen al día los derechos de los usuarios ya que se recogen conceptos como la supresión y cancelación en medios online, el tiempo en que las empresas pueden mantener la información del usuario y la posibilidad de cambiar de proveedor de servicios sin que el usuario tenga que dar todos sus datos de nuevo.

    • Control de proveedores. Se mantienen y amplían las obligaciones de las empresas respecto al control de los terceros que pueden acceder a la información de sus clientes y usuarios. No solamente hay que actualizar el contenido del contrato de encargado de tratamiento, sino que además, se deberán establecer medidas para controlar y garantizar la seguridad del tratamiento de los datos de terceros por parte de estos proveedores.

    • Eliminación de la obligatoriedad del registro de ficheros ante la Agencia Española de Protección de Datos. Creo personalmente que este es un error importante del RGPD, ya que si bien el registro de ficheros muchas veces se ha empleado de forma frívola, solamente como escaparate, si que servía de alguna manera de garantía para los usuarios, pues así podían saber si una empresa cumplía o no con la normativa (al menos en su aspecto más formal). Esta obligatoriedad de registro, se ha sustituido por la creación de un registro interno de tratamiento de datos, donde se especifica que tipo de información se recoge, quien es/son sus responsables y que medidas de seguridad se llevan a cabo.

    • Análisis de riesgos y evaluación de impacto. Son nuevas herramientas que aparecen para la gestión de la información y los datos. Se tratan de determinar de forma exhaustiva que riesgos corren los datos que gestionamos y cuales serían las medidas correctoras a aplicar.

¿Se mantienen los niveles de seguridad de los datos?

En realidad se simplifica la clasificación de tipos de datos que hasta ahora existía: bajo, medio o alto y a partir de ahora se dividen en dos tipos de datos: identificativos y especiales. Los primeros incluyen los básicos de nombre, dni, dirección, etc.. que encontramos en cualquier tipo de tratamiento de datos en cualquier tipo de entidad y los nombrados como especiales, serían los que incluirían datos de salud, sanciones, creencias, vida sexual, biométricos, etc.

¿Tiene mi empresa que tener un Delegado de Protección de Datos?

Empecemos por lo primero: ¿qué es un delegado de protección de datos?. El RGPD indica que el DPD (me niego a usar la versión inglesa) es aquella persona física o jurídica que tendrá como función el

“a) informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben en virtud del presente Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros;

b) supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes;

c) ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación de conformidad con el artículo 35;

d) cooperar con la autoridad de control;

e) actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto. “

Casi nada. A pesar del revuelo que hubo en su momento con la creación de esta figura, creo y esto es una opinión personal, no es más que la normalización de las tareas que los consultores hemos venido haciendo hasta ahora o, al menos los que nos dedicamos a esto de forma sería y profesional. No supone ningún cambio concreto en las funciones de un buen consultor, salvo el cambio de denominación y la necesidad de un nombramiento.

Visto esto. Habría que ver si una empresa concreta requiere de la presencia de un DPD o no. En principio, según el propio reglamento sería obligatorio para las entidades públicas y las empresas que traten grandes volúmenes de datos ( habría que determinar que es un gran volumen de datos). Hay que indicar que el borrador de la nueva Ley de Protección de Datos (todavía en trámite de enmiendas, también el legislador se suma a la moda de ir justo con los plazos), aumenta la tipificación de las entidades que deberían contar con un DPD. Veremos como queda la cosa, pero lo que puedo asegurar es que una peluquería o una carpintería metálica no necesitarán un DPD,

¿Se mantienen las sanciones?

Cambia la norma y cambia el régimen sancionador, más personalizado y concreto a cada empresa que cometa una infracción. Y sí, los números que se han publicado por ahí son ciertos, hasta 20 millones de € o el 4% de la facturación. De todas formas, hay que “liarla muy gorda” para llegar a esos extremos. Lo que no quita para que seamos prudentes y observadores de la norma y no caigamos en errores que nos lleven a cometer una infracción.

Como hemos visto, el RGPD presenta algunas novedades interesantes respecto a la custodia de la información y su gestión, pero realmente no son tantas si hemos cumplido anteriormente con la LOPD (claaaaro, cumplimos con la LOPD desde hace muchos años).

Bromas al margen, no hablamos de una revolución en la gestión de la información, pero si de una evolución en la forma en que hacemos las cosas.

Así que lo mejor que se puede hacer es hacer las cosa paso a paso y sobre todo, no entrar en pánico, pues las prisas y el miedo, son malas consejeras. Y también es importante no hacer caso a los profetas del apocalipsis que vienen anunciando el fin de los tiempos.

Por último recuerda una cosa: cada vez que alguien dice o escribe “la RGPD”, Dios mata a un gatito.

Photo by Scientific Quilter on Foter.com / CC BY

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.