GDPR: ¿Estamos seguros de saber lo que hay que hacer?
Mayo se ha convertido en un mes clave para las empresas españolas. En esa fecha entra en vigor el Reglamento Europeo de Protección de Datos de Carácter Personal conocido como GDPR por sus siglas inglesas, una directiva europea aprobada en abril del 2016 y que será válida en todos los países europeos.
Mayo se ha convertido en un mes clave para las empresas españolas. En esa fecha entra en vigor el Reglamento Europeo de Protección de Datos de Carácter Personal conocido como GDPR por sus siglas inglesas, una directiva europea aprobada en abril del 2016 y que será válida en todos los países europeos. Se trata de la reforma más importante en materia de protección de datos y que busca, entre otras cosas, garantizar la privacidad de todos los ciudadanos de la UE en su actividad online. Su aplicación afecta a todas las empresas, independientemente de su tamaño y sector de actividad.
Ámbito de la ley
El GDPR se ocupa de las tipologías y formas de tratamiento que pueden llevar a cabo las empresas de los datos personales de los ciudadanos que residen en la UE. Una de las novedades es que los redactores del reglamento han definido claramente, en su artículo cuatro el dato personal como toda información relativa a una persona física identificada o identificable, directamente o indirectamente, con un nombre, un número de identificación, datos de localización, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona natural.
Pilares de GDPR
Si hay un elemento diferenciador en este nuevo reglamento es que está basado fundamentalmente en el consentimiento del procesamiento de datos: cada sujeto de datos tendrá que autorizar de forma explícita el propósito de esta utilización de los datos. A la hora de ceder sus datos, el interesado tendrá que autorizar explícitamente en un formulario el consentimiento al uso de sus datos. A diferencia de las autorizaciones actuales, no valdrá tener una sola autorización de datos por parte de los sujetos para todos los tratamientos, sino que se tendrá que dar un consentimiento para cada propósito. Además, el consentimiento tendrá que ser realizado de forma explícita. No valdrá tener la autorización del consentimiento premarcado.
Pero los cambios no acaban ahí, y es que si hay una novedad con respecto a la legislación anterior son las sanciones previstas por los reguladores para las infracciones a la norma. Su objetivo es que las empresas no subestimen este reglamento y que actúen para cumplirlo. Estas sanciones recogen por ejemplo, en el caso de las faltas más graves, una multa del 4% del facturado global o 20 millones de euros, (de los dos, el importe más grave) mientras que en el resto de las faltas, la sanción prevista es del 2% del facturado global o 10 millones de euros, (de los dos, el importe más grave).
Más privacidad para el ciudadano
Si hasta ahora, muchas de las infracciones que a la protección de los datos de los ciudadanos se cometían no tenían ninguna repercusión o sanción por parte de las autoridades, el nuevo reglamento simplifica significativamente los pasos para que personas presentar reclamaciones contra las empresas y en particular, toda persona que haya sufrido un «perjuicio material o no material» como consecuencia de un incumplimiento del GDPR, tendrá derecho a percibir una indemnización. La inclusión de daño "no material" significa que los individuos podrán reclamar compensación por angustia y sentimientos heridos incluso cuando no puedan demostrar pérdidas financieras. Además según el artículo 80, será posible crear class action por parte de asociaciones de consumidores para demandar daños y prejuicios a las empresas, algo que también podrán hacer grupos de empleados creados para denunciar a las empresas.
Y la creación de una nueva figura, el Delegado de Privacidad, en todos aquellos organismos públicos y empresas que gestionen grandes cantidades de datos y el Privacy Impact Assesment (PIA) o estudio de riesgos, que toda empresa tiene que hacer para identificar posibles fallos o áreas de incumplimiento.
Hay además otros puntos que suponen un cambio y sobre todo un avance en cuanto a la protección de los datos de los ciudadanos. Entre ellos destacan, el derecho de ser informado, por el que las empresas tendrán que proporcionar un canal donde cada sujeto de datos podrá conocer de forma directa quién es delegado de tratamiento de datos y qué tipo de tratamiento se realizan por sus datos. El derecho de acceso, gracias al cual el interesado tendrá derecho a conocer, tanto el propósito para el que se procesarán los datos, como los intereses legítimos para el procesamiento, con qué fin, qué tipo de datos se manejan y quiénes son los destinatarios que están tratando los datos personales.
Y por último, dos derechos importantes, el de rectificación, por el que el interesado tendrá derecho a obtener, rápidamente del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan y el de borrado, gracias al cual podrá pedir la eliminación de sus datos personales de la base de datos de las empresas, así como retirar su consentimiento de tratamiento dado en precedencia.
Principio de rendición de cuentas
Es muy importante considerar que en el reglamento está previsto el principio de rendición de cuentas que requiere que la empresa demuestre que cumple con los principios que se han definido. Esto supone que las empresas tendrán que implementar medidas técnicas y organizativas apropiadas que aseguren y demuestren que cumple con la regulación, definir unos procesos internos bien documentados que indiquen que se están cumpliendo el reglamento y por supuesto, definir las políticas internas de protección de datos.
El nuevo reglamento de GDPR exige "al responsable del tratamiento, sin demora injustificada, y cuando sea posible, a más tardar 72 horas después de haber tenido conocimiento de ello, notificar la infracción a la autoridad de supervisión. Cuando el incumplimiento de los datos personales pueda dar lugar a un alto riesgo para los derechos y libertades de las personas, el responsable del tratamiento también debe notificar a las personas afectadas sin demora indebida.
Para no dejar nada sin regular, la nueva normativa GDPR contempla, en su artículo nueve los denominados “datos especiales”, que son todos aquellos que revelan el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical. Además de datos genéticos, biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. Los datos de esta categoría podrán ser tratados solo en una casuística muy limitada, donde el tratamiento de esta categoría sea para proteger intereses vitales o por razones de un interés público esencial.
Armonización
Si hay una palabra clave en esta nueva directiva, es sin duda Armonización. GDPR tiene el propósito de "armonizar las leyes de privacidad de datos en toda Europa" para proteger los derechos de las personas naturales.
Una de las dificultades que tendrán las empresas a la hora de enfrentarse a esta nueva directiva es que al estar basada en principio, no es universalmente aplicable, cada entidad debe identificar las obligaciones que tiene que cumplir dado su propio escenario específico. Por lo tanto, una adopción demasiado relajada puede conducir fácilmente a multas cuantiosas, Señalar por último, que en este
Para ayudar a las empresas a diseñar su implantación, el El ICO (Information Commisioner Officer), el ente de protección de datos de Reino Unido, ha establecido una hoja de ruta que es ampliamente adoptada y sugiere la mejor forma para que una empresa pueda abordar un proyecto de cumplimiento de GDPR.
El autor de este artículo es Fabio Cerioni, CTO y accionista de Techedge España & LATAM.
