Iniciando el camino para cumplir con la nueva Regulación Europea de Protección de Datos

EUGDPR

La aprobación el 14 de abril de 2016 de la nueva Regulación General de Protección de Datos, supone la unificación de la normativa en todos los estados miembros de la UE. Dicho reglamento ha generado mucha polémica durante todo el proceso de su tramitación, principalmente por los retos que supondrá su cumplimiento para las empresas, que dispondrán de un periodo de 2 años a partir de su entrada en vigor para adaptarse a este nuevo reglamento.

Vamos a hacer un breve resumen de las novedades más significativas de este nuevo reglamento que habrá que tener en cuenta de cara a trazar un análisis de “desnivel” (gap analysis) o un plan de adaptación al reglamento. Creemos que puede ser de utilidad para empresas de todo tamaño y sector.

Alcance

La primera consideración es que el reglamento aplica a cualquier organización establecida en la UE y que procese datos de personas físicas (individuos) por cuenta propia o en nombre de terceros (como encargado del tratamiento).  A todo este tipo de organizaciones se les recomienda que lleven a cabo un análisis de impacto de la regulación y definan un plan de cumplimiento del nuevo reglamento.

Para todas aquellas empresas que sin estar establecidas en un estado miembro de la UE, ofrecen sus servicios o monitorizan el comportamiento de individuos residentes en la UE, el primer punto a considerar es que están “obligados” a cumplir con este reglamento. Estas empresas deberían llevar a cabo también un análisis del impacto de la regulación y un plan de cumplimiento, incluida la valoración de si deben designar un representante en la UE.

Datos genéticos y biométricos

Si se procesan o se van a procesar datos genéticos o biométricos, ha de tenerse en cuenta que el nuevo reglamento considera este tipo de datos como especialmente sensibles y por tanto, las exigencias de los controles para preservar la su confidencialidad, integridad y disponibilidad son mayores. Se recomienda verificar que los requisitos para el tratamiento de datos sensibles se cumplen.

Consentimiento

El nuevo reglamento es mucho más restrictivo en los requisitos que debe cumplir el consentimiento otorgado por los interesados para el tratamiento de sus datos personales. Para ser válido, este consentimiento ha de ser inequívoco, libre y revocable y deberá otorgarse a partir de un acto afirmativo claro.

En aquellos casos en los que el tratamiento esté basado en el consentimiento, las organizaciones deben revisar los textos y los procedimientos asociados para determinar si se ajustan a los nuevos requisitos de calidad establecidos en el reglamento. Es importante tener en cuenta que en el nuevo reglamento el  silencio, las casillas ya marcadas o la inacción no constituyen consentimiento válido. Además, el consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

Menores

Si se ofertan servicios de la sociedad de la información directamente a menores, ha de tenerse en cuenta que si el interesado tiene menos de 16 años sólo se considerará lícito el tratamiento cuando el consentimiento lo haya dado el titular de la patria potestad o tutela del menor. El límite de edad a partir del cual una persona puede prestar el consentimiento por sí misma, varía en los distintos estados miembros, pero se establece que nunca podrá ser menor de los 13 años. En España, por ejemplo, el límite está fijado en 14 años, edad a partir de la cuál la persona puede dar el consentimiento por sí misma.

Notas informativas

El nuevo reglamento hace mayor énfasis en la transparencia de la información a proporcionar sobre los tratamientos de datos. Se recomienda a las organizaciones revisar los avisos informativos que se dan a los interesados para asegurarse de que son totalmente transparentes en cuanto a la finalidad del tratamiento, los datos que son recabados, cómo van a ser usados, los periodos de retención de los mismos y los distintos intervinientes en el procesamiento de los datos. Además, hay que asegurarse de que usan un lenguaje sencillo y fácil de entender. En este sentido, si la organización trabaja con otras empresas que recogen datos en su nombre, es necesario extender esta revisión a los procesos externalizados.

Legitimidad del Tratamiento

En cuanto a los fines para el tratamiento (como en la anterior directiva) éstos deben ser legítimos y la organización debe tener muy claro en que se basa esta legitimidad.

Cuando el procesamiento se basa en un interés legítimo del responsable del tratamiento, la organización debe estar en capacidad de demostrar documentalmente que ha evaluado y ponderado convenientemente en cada caso, el equilibrio entre este interés de la organización y los derechos de los interesados. Otras consideraciones importantes a tener en cuenta, son el grado en que estos sujetos interesados puedan esperar razonablemente que el tratamiento de sus datos vaya a ser llevado a cabo debido a ese interés legítimo de la organización y si este interés legítimo ha sido claramente explicado en la información dada a los sujetos interesados.

Responsabilidad Proactiva

El nuevo reglamento establece un principio de responsabilidad proactiva (accountability) que obliga a las organizaciones que procesan datos a demostrar que cumplen con el reglamento. En este sentido, es posible que algunas organizaciones tengan que revisar sus procesos y procedimientos e incluso establecer o modificar su marco de gestión y gobierno corporativo para poder cumplir con este objetivo. La organización debe encontrar formas efectivas de demostrar el cumplimiento; por ejemplo, mediante la adhesión a códigos de conducta sectoriales de tratamiento de datos y definiendo registros que permitan evidenciar frente a terceros las actividades de tratamiento realizadas así como el proceso de decisiones y análisis de riesgos seguido para decidir tratar datos.

Las organizaciones deberán dedicar recursos y asignar responsabilidades para asegurar el cumplimiento de las obligaciones del nuevo reglamento. En general, deberá asegurarse de lo siguiente:

  • Los roles y responsabilidades dentro de la organización están claramente definidos y asignados.
  • Si entra dentro de los casos previstos, deberá nombrar un Delegado de Protección de Datos (DPO). No olvidar en este caso incluir los datos de contacto del mismo en los avisos de información a los interesados.
  • Incluir líneas de reporte en relación con el cumplimiento del reglamento a nivel de los órganos máximos de gobierno de la organización.
  • Designar los interlocutores válidos con las autoridades locales de protección de datos.
  • Establecer, si aplica, un procedimiento y dotar de los recursos necesarios para que el DPO pueda atender a las consultas y cuestiones planteadas por los individuos y las autoridades locales de protección de datos
  • Que se ha establecido un programa sólido de cumplimiento, que incluye la monitorización periódica de la efectividad del marco de control incluyendo la auditoría periódica del mismo y la verificación del cumplimiento de las obligaciones reglamentarias por parte de los terceros encargados del tratamiento.
  • Que los diseños de los productos y servicios que se implementan lo hacen de acuerdo al principio de “privacidad por diseño”.
  • Que hay implantado (y que se mantiene en el tiempo) un marco de controles técnicos para garantizar la confidencialidad, integridad y disponibilidad de los datos de carácter personal.

El nuevo reglamento hace también explícitamente responsables a las empresas que actúan como encargados del tratamiento por cuenta de otras. Estos encargados del tratamiento deberán también evaluar e implementar los procedimientos necesarios para poder evidenciar de manera efectiva el cumplimiento de las medidas reglamentarias. Especialmente importante en el caso de estas organizaciones es documentar los distintos flujos de tratamiento de datos y llevar un registro interno de las diferentes actividades desarrolladas en la empresa que conlleven un tratamiento de datos.

Certificaciones y Sellos

En la medida en que estas opciones estén disponibles, las organizaciones deberán evaluar la conveniencia de adoptar códigos sectoriales de tratamiento u obtener sellos o certificaciones de seguridad emitidas por terceros de confianza, de cara a evidenciar el cumplimiento de los controles requeridos en el reglamento. Estas herramientas ayudarán además a las empresas que procesan datos por cuenta de terceros a aumentar su competitividad.

Evaluaciones de Impacto en la Privacidad

En aquellos casos en los que sea probable que las operaciones de tratamiento entrañen un alto riesgo para los derechos y libertades de las personas físicas, las organizaciones deben llevar a cabo una evaluación de impacto relativa a la protección de datos. El resultado de la evaluación debe tenerse en cuenta cuando se decidan las medidas adecuadas que deban tomarse con el fin de demostrar que el tratamiento de los datos personales es conforme con el presente Reglamento. Si en la organización se llevan o se van a llevar a cabo operaciones de tratamiento de datos de alto riesgo, se deberá implementar un programa de gestión del riesgo basado en evaluaciones de impacto. Si una evaluación de impacto relativa a la protección de datos muestra que las operaciones de tratamiento entrañan un alto riesgo que el responsable no puede mitigar con medidas adecuadas en términos de tecnología disponible y costes de aplicación, debe consultarse a la autoridad de control antes del tratamiento

Derechos de los interesados

El nuevo reglamento enfatiza aún más los derechos de los interesados, añadiendo a los ya reconocidos en la anterior directiva los nuevos derechos de limitación de acceso, derecho al olvido y el derecho a solicitar la portabilidad de los datos entre distintos proveedores. Además, se hace mayor énfasis y se da más orientación sobre el ejercicio del derecho de acceso. Dado el nuevo régimen de sanciones, se hace necesario que las organizaciones se aseguren por la vía de una formación adecuada, de que sus canales de atención al cliente son capaces de reconocer y canalizar adecuadamente este tipo de solicitudes (acceso, supresión-olvido, rectificación, oposición y portabilidad). También se recomienda valorar el desarrollo de portales donde además de proveer información a los interesados, se les facilite el ejercicio de sus derechos.

En relación con el derecho de portabilidad, las organizaciones deberán evaluar y, si aplica, desarrollar mecanismos que permitan exportar los datos de los interesados a un formato que pueda ser fácilmente legible por los sistemas de por otras organizaciones. Es importante estar atentos a posibles futuras estandarizaciones e este sentido. Además, en caso de que nuestra organización use los servicios de terceros para procesar los propios datos, deberemos evaluar y coordinar con ellos la manera de poder cumplir con este requisito de portabilidad.

El nuevo derecho de limitación de acceso hace necesario que las organizaciones revisen la capacidad que tienen sus sistemas de información para poder cumplir con este “mandato” de los interesados. En caso de ser necesario deberán acometerse modificaciones de los sistemas para poder cumplir con este requisito. El derecho de limitación implica que los datos de la persona solo podrán ser objeto de tratamiento, con excepción de su conservación, con el consentimiento del interesado o para la formulación, el ejercicio o la defensa de reclamaciones.

Cuando una organización haya hecho públicos datos personales a otras organizaciones, en el caso de que el interesado ejerza su derecho de supresión de datos, la organización no solo deberá cumplir sin dilación con el mandato del interesado en lo que se refiere a su ámbito organizativo, sino que deberá aplicar medidas razonables para hacer extensivo este mandato a otras organizaciones que estén tratando estos datos y conseguir que estos terceros supriman los datos. Las organizaciones deberán revisar este requisito y definir procedimientos y métodos para tramitar este tipo de solicitudes de manera extendida. En caso de que se considere que esto es imposible o que implica un esfuerzo desproporcionado, deberán documentarse las razones y se recomienda que se solicite consejo al respecto a las propias autoridades locales de protección de datos.

Perfilado y decisiones automatizadas

Si su organización toma decisiones totalmente automatizadas basadas en perfiles de los individuos las cuales pueden producir efectos jurídicos en ellos o afectarles, como con la denegación automática de una solicitud de crédito, la organización deberá verificar si la base legítima de tratamiento entra dentro de las categorías contempladas en el nuevo reglamento. De acuerdo al texto del reglamento, las decisiones basadas en este tipo de tratamientos, incluida la elaboración de perfiles, están permitidas si están legalmente autorizadas, en los casos es que sea necesario para la realización o perfeccionamiento de un contrato entre el interesado y la organización o en los casos en los que el interesado haya dado su consentimiento explícito. En cualquier caso, hay que asegurarse de proporcionar información específica y clara al interesado sobre el proceso y las consecuencias que pueden derivarse del mismo, facilitándole el derecho a obtener intervención humana, a expresar su punto de vista, a recibir una explicación de la decisión y a impugnar la decisión.

Las organizaciones deberán tener en cuenta además que el perfilado de los individuos basado en datos sensibles está en principio prohibido, salvo que haya un consentimiento explícito del individuo y que este tipo de tratamientos nunca deben ser aplicados a menores de edad.

Notificación de brechas de Seguridad

El nuevo reglamento establece la obligatoriedad para los responsables y encargados del tratamiento de notificar cualquier brecha significativa en la seguridad de los datos personales. En el caso de los responsables, éstos deberán notificar sin dilación y, en la medida de lo posible en un plazo máximo de 72 horas, este tipo de violaciones de la seguridad a las autoridades locales de protección de datos a menos que el responsable pueda demostrar la improbabilidad de que la violación de la seguridad de los datos personales entrañe un riesgo para los derechos y las libertades de las personas físicas. En caso contrario, el responsable del tratamiento deberá comunicárselo a los interesados para que éstos puedan tomar las precauciones necesarias. La comunicación debe describir la naturaleza de la violación de la seguridad de los datos personales y las recomendaciones para que la persona física afectada mitigue los potenciales efectos adversos resultantes de la violación. En cuanto a los encargados del tratamiento por cuenta de terceros, éstos deberán notificar a los responsables de modo inmediato cualquier violación de la seguridad. Las organizaciones deberán revisar y redefinir sus procedimientos de gestión de incidentes de seguridad para asegurar que se cumplen los requisitos del reglamento. Por otro lado, las organizaciones deben evaluar el uso de criptografía y otros controles técnicos de seguridad de la información para minimizar el impacto de posibles brechas de seguridad. Además, es conveniente siempre que sea factible tratar de minimizar el uso de datos de carácter personal con el uso de técnicas de anonimización de datos.

Sanciones

Aunque las sanciones administrativas no son obligatorias y en muchas ocasiones un simple apercibimiento o “reprimenda” puedan ser las consecuencias de un incumplimiento considerado leve, hay que tener en cuenta que las autoridades de protección de datos pueden imponer sanciones que pueden alcanzar los 20 millones de euros o el 4% de la facturación general anual de la organización en los casos en donde así lo consideren. Las sanciones son aplicables tanto a los responsables como a empresas encargadas del tratamiento. Además, es necesario tener en cuenta que el nuevo reglamento recoge el derecho de los individuos de presentar denuncias a través de asociaciones de usuarios y reconoce la posibilidad de exigir daños y perjuicios, así como indemnizaciones derivadas del tratamiento ilícito de los datos personales. Por todo ello, se recomienda a las organizaciones que lleven a cabo análisis para identificar las principales áreas de incumplimiento en los tratamientos de datos que se llevan a cabo y que se estime la exposición al riesgo en cada una de ellas, en relación con clientes, empleados y socios encargados del tratamiento. La idea es que se implementen planes para corregir las deficiencias y reducir la probabilidad de sanciones; sin embargo, también deben revisarse las cláusulas de responsabilidad en los contratos con terceros y las coberturas de pólizas de seguro aplicables.

Transferencias de Datos

En cuanto a la transferencia de datos personales fuera del Espacio Económico Europeo, el nuevo reglamento no supone grandes cambios con respecto a la directiva anterior. La recomendación es que las organizaciones hagan una revisión de sus flujos transfronterizos de datos y de los contratos asociados para verificar que la base legal y los controles siguen siendo válidos; por ejemplo, la existencia de normas corporativas vinculantes en el caso de transferencias de datos en el seno de grupos multinacionales o cláusulas tipo y consentimiento explícito en otros casos. Si alguno de las transferencias identificadas se basa en el antiguo acuerdo Safe Harbour, habrá que replantearse totalmente estos flujos, ya que como se sabe no es válido desde hace unos meses.

Epílogo

Esperemos que este breve análisis sea de utilidad para afrontar el futuro que plantea la nueva regulación Europea. Un fuerte abrazo y muchas gracias

Deja un comentario