Infografía: RGPD, las nuevas exigencias de protección de datos

Este mes de mayo entra en vigor el Reglamento General de Protección de Datos (RGPD). Se considera la regulación más contundente y protectora que ha existido hasta el momento en esta materia. A las actuales exigencias de la Ley Orgánica de Protección de Datos (LOPD), añade conceptos como la responsabilidad proactiva y el enfoque desde el riesgo, e introduce novedades como que datos en principio anónimos, como pueden ser las cookies, sean considerados como datos de carácter personal. Las obligaciones no son iguales para todos, pero todas las empresas deben estar en condiciones de demostrar que han hecho lo necesario para proteger los datos de los usuarios. Como siempre, las grandes empresas se enfrentan a mayor complejidad y también cuentan con más recursos para el cumplimiento; también las pymes deben incluir este aspecto legal en su plan de digitalización.

El RGPD (o GDPR por sus siglas en inglés) es una regulación de la Unión Europea de la que resulta novedoso incluso el tipo de norma que la sustenta. Anteriormente se había usado la figura de la Directiva, que requiere una trasposición a las regulaciones de los estados miembros a través de una ley. En esta ocasión se ha utilizado el Reglamento, que es aplicable directamente a las empresas de toda la Unión Europea. El RGPD se aprobó en 2016 y, tras dos años de período transitorio, entra en vigor el próximo 25 de mayo de 2018. Una de las cosas que promete es la aplicación de graves sanciones, que pueden llegar al 4% de la facturación mundial de la empresa infractora. Si aún no te has puesto al día, ¡no hay tiempo que perder! Aquí te dejo algunas pautas de cómo prepararse.

Responsabilidad proactiva y enfoque del riesgo en el RGPD

La responsabilidad proactiva es el principio en el que se basa el nuevo RGPD e implica que las empresas deben realizar un análisis de los procesos de tratamiento de datos que llevan a cabo y valorar los riesgos que pueden llegar a afectar a los usuarios cuyos datos personales tratan. Valorar los riesgos significa considerar las posibles amenazas que se ciernen sobre los datos, estimar la probabilidad de sufrir un daño y evaluar el impacto que ello supondría sobre los intereses de las personas. Del resultado de dicho análisis se deben establecer los medios de protección necesarios. Además de elementos de seguridad, el reglamento reclama que se tomen medidas preventivas como la minimización de los datos, el uso durante el plazo estrictamente necesario y la seudonimización siempre que sea posible. Seudonimizar un dato significa romper la relación que existe con la identidad del titular del mismo; eso sí, de manera irreversible. Los datos seudonimizados siguen siendo datos personales, pero eximen del cumplimiento de algunas obligaciones, como los derechos de acceso, rectificación o cancelación.

Consentimiento y causa justificada

La nueva regulación sobre protección de datos es especialmente exigente a la hora de recabar los datos de los usuarios. Ya no vale un consentimiento tácito, sino que debe ser libre, específico, informado e inequívoco, por lo que ya no sirve la simple inacción del usuario. Para obtener el consentimiento se pueden usar casillas, siempre que no vengan previamente marcadas. Además, el consentimiento tiene que ser una afirmación explícita en casos especiales, como cuando se elaboran perfiles a partir de los datos. El consentimiento es una de las causas justificadas –o base jurídica- para la obtención de los datos. Estas causas ya aparecían en la anterior ley, pero conviene repasarlas porque es probable que ahora se exija una observación más estricta. Se trata de la existencia de un contrato (o la previsión de que va a haberlo, o sea, un precontrato), el cumplimiento de una obligación legal, el interés público o un interés legítimo.

El caso del interés legítimo puede resultar controvertido o difícil de interpretar (como ocurre, al parecer, con muchas otras partes del reglamento). Un dictamen anterior del Grupo Europeo de Protección de Datos ayuda a entender este concepto con una lista no exhaustiva que incluye la libertad de expresión e información, el marketing directo, las campañas políticas o con fines benéficos, los fines científicos o de investigación, la prevención del fraude o la seguridad del propio usuario. Pero siempre debe existir un equilibrio con los derechos individuales de los interesados. Es importante que se documente y quede registrada toda acción relativa al tratamiento de los datos, así como las finalidades con las que se han recogido los datos y cómo se ha informado al usuario.

Consejos para informar sobre la protección de datos

Precisamente la norma es especialmente profusa en lo que se refiere al deber de informar. Con la normativa actual, existe la obligación de informar sobre la existencia de un fichero o tratamiento, su finalidad y destinatarios, la obligatoriedad o no de responder y sus consecuencias, los derechos de acceso, rectificación, cancelación y oposición, y la identidad y datos de contacto del responsable del tratamiento. Con la entrada en vigor del nuevo reglamento, además, será obligatorio informar sobre la legitimación para el tratamiento de los datos, el plazo y criterios de conservación de la información, las decisiones automatizadas o la elaboración de perfiles a partir de los datos y el derecho a presentar una reclamación a la Agencia Española de Protección de Datos (AEPD), además de otros añadidos, si se da el caso, como la transferencia a países fuera de la Unión Europea (UE) y los datos del Delegado de Protección de Datos, el cual es necesario designar cuando el tratamiento requiera “una observación habitual y sistemática de interesados a gran escala”.

Para poder cumplir con la mayor exigencia de información que introduce el RGPD y, a la vez, con la concisión a la hora de presentarla, la AEPD recomienda un modelo de información por capas o niveles. En el mismo momento en que se recojan los datos, se presenta la información básica de forma resumida. Esta primera capa se aconseja que se presente en forma de tabla, de forma análoga a como se presenta la información nutricional alimentaria. Debe estar claramente identificada con un título del tipo “Información básica sobre protección de datos”. Además, debe quedar dentro del “campo de visión” del interesado, de manera adaptada al medio utilizado en la recogida de la información. Por ejemplo, si se trata de un formulario de solicitud de soporte en papel, podría situarse junto a la firma, o al lado del botón “enviar” si es un formulario electrónico.  En un segundo nivel, se presentaría información adicional de forma más extensa, en un medio más adecuado para su comprensión, que puede ser una hoja adicional, en el caso del papel, o una página web dedicada a protección de datos a la que se enlaza electrónicamente.

Apartados obligatorios en la información sobre RGPD

Por su amplia aplicación práctica, creo que merece la pena detenernos brevemente en los distintos epígrafes dispuestos por el RGPD a los que debe responder la información sobre protección de datos, tanto en el nivel básico como en el adicional. En primer lugar, hay que identificar al “responsable” del tratamiento, que es quien toma las decisiones sobre la finalidad y destino de los datos, a diferencia del “encargado”, que es quien ejecuta el tratamiento y puede tratarse de una entidad diferente. En segundo lugar, debemos especificar cuál es la finalidad del tratamiento de datos. Al respecto, una de las novedades del nuevo reglamento es que debemos obtener el consentimiento para cada finalidad específica y, otra, es que hay que informar expresamente en el caso de elaboración de perfiles u otras decisiones automatizadas. Lo tercero que debemos declarar es la legitimación o base jurídica del tratamiento, de la que ya hemos hablado.

La información que debemos ofrecer al usuario en el momento de obtener sus datos tiene que contener, en cuarto lugar, quiénes serán los destinatarios de los datos, en caso de que haya previsión de ceder los datos, por ejemplo, a otras empresas del grupo y, muy particularmente, si se van a realizar transferencias fuera de la UE, ya que la regulación es más estricta. Lo penúltimo son los derechos que puede ejercer el interesado, como el de acceso o supresión, más el novedoso derecho de “portabilidad” de los datos, incluso si se trata de llevárselos a una empresa de la competencia. Por último, hay que informar del origen de los datos cuando estos no proceden del interesado sino de, por ejemplo, una fuente de acceso público.

La protección de datos, una demanda del consumidor

Es necesario el cumplimiento de la nueva normativa de protección de datos por las sanciones a las que se enfrenta la empresa. Pero no solo eso. También es conveniente que nos esmeremos en una gestión y vigilancia proactiva de los datos, porque es una de las principales demandas del consumidor y del ciudadano de la era digital, especialmente cuando nos movemos con productos o servicios en Internet. La forma de preparar a la empresa para este cumplimiento es muy importante y podemos convertirla en algo positivo si la enmarcamos en un contexto de concienciación y cultura digital. Se trata de generar confianza desde dentro de la empresa hacia fuera. Con este objetivo, es recomendable que impliquemos a todos los departamentos de la empresa –a través de un grupo de trabajo- y realicemos un análisis de los procesos y de los riesgos en los que la empresa incurre y que puedan llegar a afectar a nuestros clientes y usuarios. El nuevo RGPD no es una norma sencilla y deja muchas zonas en penumbra o cuestiones dudosas. Conviene revisar las distintas guías que la AEPD ha ido publicando en su web y que promete ir actualizando, porque es un terreno dinámico que irá cambiando con la realidad del mercado y la respuesta que vayan dando las empresas.