Principios y medidas de cumplimiento del nuevo reglamento europeo de protección de datos (RGPD)

Son muchas las dudas que suscita el Reglamento General de Protección de Datos (RGPD) que se empezará a aplicar en España en mayo. Incorpora nuevos principios, nuevas categorías de datos, figuras y roles innovadores, distintos procedimientos para obtener el consentimiento de los usuarios, códigos de conducta, análisis de seguridad y un montón de elementos más que asustan bastante.

No es de extrañar, entonces, que la sombra de este fantasma que se cierne sobre Europa haya hecho surgir el pánico entre empresas y profesionales, tanto del mundo online como offline.

Sin embargo, en Marketing Onlaw no tenemos miedo a nada (salvo al número ocho -David- y a los palillos chinos -Dani-), de modo que emprendimos la honorable misión de elaborar esta mega guía de RGPD.

Así, nos enfundamos nuestros yelmos y preparamos nuestros respectivos carcajs, dispuestos a enfrentarnos a cualquier peligro por vosotros. Sin embargo, una vez comenzamos lo que creíamos que sería una épica gesta, luchando contra dragones y otros monstruos, nos percatamos de que nuestro enemigo era más bien una quimera (o un lindo perrito de esos que no hacen más que pisarse sus grandes y monas orejitas).
dragones europeos - GIFMANIA

 

Los nuevos aspectos que incorpora la ley no son tan peligrosos como algunos de los últimos artículos, cuyo objetivo no es otro que el de infundir miedo, quieren hacer creer.

Sin embargo, pese a que no hay motivos para alarmarse (la precursora española de la ley -la actual LOPD-, es uno de los sistemas jurídicos más avanzados y ha servido de inspiración tanto al reglamento europeo como a otras normas-), sus preceptos deben cumplirse con escrupulosidad.

Esta mega guía desvelará todo lo que hay detrás de la nueva ley y os permitirá ver que no hay nada que temer, siempre que las cosas se hagan correctamente.

Los principios fundamentales

El 27 de abril de 2016 se publicó en el Diario Oficial de la Unión Europea el nuevo reglamento, cuyo objetivo es lograr cierta unidad entre los países miembros a la hora de garantizar los derechos en materia de privacidad y seguridad de los datos ante el avance de las tecnologías digitales.

Sin embargo, es necesario mencionar que la entrada en vigor del nuevo reglamento ha impulsado la creación de un anteproyecto de LOPD para adaptar la legislación española a este marco armonizado. Cuando se publique esta ley orgánica, también la comentaremos en el blog.

En cuanto a RGPD, se aplica a los datos personales de todas las personas físicas destinados a ser incluidos en un fichero. En este sentido, abarca también datos estadísticos y procedentes del análisis de datos masivos o big data.

Además, vigila con especial atención la circulación de esta información entre los diferentes responsables del tratamiento de estos datos dentro y fuera de la Unión Europea con la idea de facilitar el intercambio de forma segura.

En resumen, el ámbito objetivo del RGPD es:

  • Proteger a las personas físicas en el tratamiento de sus datos personales automatizados parcial y/o totalmente y no automatizados destinados a formar parte de un fichero
  • Establecer normas de libre circulación

Esto es así cuando tu empresa o entidad tiene establecimiento dentro la UE u ofreces servicios a interesados residentes en la UE.

En este último supuesto, si se duda sobre si una empresa o entidad entra dentro del ámbito de aplicación , habrá que observar elementos como el idioma de su sitio web, la moneda de la que hace uso a cambio de la prestación de bienes y/o servicios, si hace referencia a clientes residentes en la Unión Europea o el idioma del contrato.

Al final todo se reduce a que “el bacalao” se parta dentro de la UE y/o afecte o se ofrezcan servicios/productos a interesados dentro de dicho marco.

La obligación de actuar respecto a lo establecido en el Reglamento , engloba, principalmente, a dos figuras: el responsable del tratamiento y el encargado del mismo.
Atunes - GIFMANIA
 

Nuevos derechos y figuras del RGPD

El reglamento mantiene los principios básicos de la anterior normativa, como el consentimiento para el uso de los datos o su adecuación al tratamiento que se prevea hacer de ellos (es decir, seguimos sin poder recabar información sobre la ideología política si estamos vendiendo zapatillas), pero añade algunos otros, como los que listamos a continuación:

Plazos de mantenimiento de los datos: los fines deben ser específicos y legítimos y deben determinarse en el momento de su recogida, pero solo podrán ser mantenidos durante el mínimo tiempo posible con respecto a los fines. El responsable del tratamiento deberá establecer plazos de supresión y revisiones periódicas. Por ejemplo, los datos de videovigilancia se pueden mantener por tres años, mientras que un registro de visitas solo durante un mes. Para el caso de las bases de datos de marketing, se podrán conservar mientras dure el tratamiento.

Responsabilidad proactiva: el reglamento impone la carga de la prueba al responsable del tratamiento, que deberá velar por su aplicación y poder acreditarla.

Transparencia: exige que la información relativa al tratamiento de los datos de las personas sea fácil de entender. Se refiere, principalmente, a la identidad del responsable del tratamiento (sea un profesional autónomo o una empresa), la finalidad y el uso que se dará a los datos, el derecho de los afectados a obtener información sobre los temas que les conciernan (incluido el modo de ejercer sus derechos) y riesgos y salvaguardas. También contempla que los responsables del tratamiento permitan a los interesados supervisar sus acciones.

Seguridad por diseño y por defecto: desde la fase de diseño, se debe analizar el impacto de la normativa para tomar técnicas (seudonimización, cifrado, controles de acceso…) y organizativas las medidas oportunas. El resultado de esto se recoge en el análisis de impacto. Para garantizar esta seguridad podrán utilizarse mecanismos certificatorios. Además, solo serán tratados los datos necesarios para cada uno de los fines.

Minimización de datos: a parte de lo mencionado anteriormente (datos adecuados a su uso, plazos de mantenimiento, etc.), se añade la limitación del número de personas que pueden acceder a los datos.

Derecho al olvido: a parte de los derechos de información y transparencia, que ya hemos comentado, y los conocidos derechos ARCO, se añades cuestiones como el derecho al olvido. Este derecho, no obstante, entra en conflicto, en ocasiones, con la libertad de prensa e información. El ejercicio de estos derechos será, por supuesto, gratuito.

Portabilidad de los datos: los interesados tendrán derecho también a transmitir sus datos a otro responsable sin obstáculos por parte del primero. Los datos de terceros o facilitados por terceros (esto es, si yo doy información sobre otra persona o esta lo hace sobre mí, están excluidos de estas consideraciones).

Delegado de Protección de Datos (Data Protection Officer – DPO): es una figura que puede ser contratada por el responsable para garantizar el cumplimiento de la norma y la constante adecuación a los principios del texto. Para algunas empresas, será necesario contratarlo, como veremos más adelante

Cómo asegurar el cumplimiento

El nuevo reglamento introduce una cuestión sorprendente. No es obligatorio inscribir los ficheros ante la autoridad de control.

Sí, señores y señoras, jóvenes y “jóvenas” … A partir de la fecha en que el RGPD entre en vigor (25 de mayo), ya no existirá la obligación de llevar a cabo la comunicación a la AEPD por un registro de la actividad en lo que a tratamiento de datos personales se refiere.
Cosas de Casa - GIFMANIA
Sin embargo, se deberá llevar un registro de las actividades en el que incluya información como el nombre y los datos de contacto del responsable y el DPO, los fines, las categorías de datos y de interesados, las categorías de los destinatarios de comunicaciones, las cesiones, las transferencias internacionales, los plazos de supresión de los datos y una descripción de las medidas de seguridad técnicas y organizativas.

¿Esto es bueno o malo? Pues según se mire, ya que implica mayor autonomía pero también mayor responsabilidad. Aunque la actualización real de los datos personales, si se realiza correctamente el registro, va a ser más real mediante registro, de lo que lo era mediante fichero inscrito en la AEPD.

LA AEPD seguirá actuando a instancia de parte es decir, por denuncia de un tercero, pero también puede actuar de oficio. Así que más vale que pongamos a cubierto las posaderas legales de nuestra empresa, entidad o negocio, ya que las posibilidades de que nos descubran sino hacemos las cosas conforme a legislación, pueden verse incrementadas.

Además, desaparece el concepto de “documento de seguridad”, que evoluciona hacia una política general de protección de datos y una política de seguridad de la información.

La primera desarrolla el marco de acción de la empresa en el ámbito de la protección de datos e incluye los principios que regirán el tratamiento, la información a facilitar, el consentimiento de los interesados, los derechos ARCO, el tatamiento por parte de terceros, las brechas de seguridad y las funciones del DPO en caso de haberlo.

Por su parte, la política de seguridad de la información será un documento más técnico que describa las medidas a aplicar en el tratamiento de los datos personales. Incluirá conceptos como: inventario de activos, controles de acceso físico y lógico, autenticación, contraseñas, antivirus y firewall, seguridad wifi, cloud computing, clasificación de la información, outsourcing, etc.

Por último, señalar que cualquier tratamiento de datos por cuenta del responsable del tratamiento involucra una relación contractual con el encargado del tratamiento. Es decir, que la contratación de una consultoría, gestoría, de un call center, de servicios de telefonía, etc., deberá incluir cuestiones como: el objeto, la duración, la finalidad, el tipo de datos y las obligaciones y derechos.

Además, si las actividades se realizan fuera de la Unión, es posible contratar un representante en algún país comunitario.

Diferencias en la información legal y el consentimiento

El reglamento establece algunas diferencias al respecto de la obtención del consentimiento y aumenta la información que es obligatorio facilitar tanto si los datos se obtienen del propio interesado como por otros medios.

Consentimiento: es la manifestación de la voluntad libre y específica mediante una declaración o acción de que el interesado acepta el tratamiento de sus datos. El responsable del tratamiento, o el DPO, deben poder demostrar que el usuario ha prestado este consentimiento. Además, debe ser libre, informado, específico e inequívoco, para lo que se requiere una declaración de los interesados o una acción positiva que indique el acuerdo. En ningún caso podrá deducirse del silencio, de la inacción o asumir una aceptación tácita.

Así pues, ni consentimiento a medias ni “doy por hecho que consientes”, ni “te la intento meter doblada para que consientas.

Solo es lícito en los siguientes supuestos:

  • Consentimiento explícito para fines específicos. Evita la generalidad a la hora de prestar el consentimiento, ya no hablamos de prestar consentimiento para el tratamiento de tus datos personales, sino de DAR TU CONSENTIMIENTO PARA el tratamiento de tus datos personales POR un/unos fin/es específicos. No es un todo vale, si no, un vale pero por lo que me has indicado.
  • Cumplimiento del Previo deber de información al interesado, antes del inicio del tratamiento, la “línea de salida” para el tratamiento de datos será marcada sí o sí por el interesado.
  • Libre, sin estar sujeto a coacciones ni posibles consecuencias negativas al no facilitarlo.

Como prueba de consentimiento figuran los logs de aceptación de las políticas en las páginas webs, grabaciones de las llamadas, etc.

Cuando se planee ceder los datos a terceros, los interesados deberán ser informados de modo inequívoco de los fines con los que se usarán. En caso contrario, el consentimiento será nulo.

Como vemos, el consentimiento debe ser libre, inequívoco, específico y, por último, informado, lo que nos lleva al siguiente punto: la provisión de información.

Es necesario añadir la información sobre la política de privacidad mediante dos capas: un enlace a la política de privacidad y un resumen de esta.

El RGPD apela por un lenguaje claro y sencillo en lo que a deber de informar se refiere, manifestando una primera huida (esperamos que se establezca como precedente que imitar en otros ámbitos legislativos) del tradicional lenguaje que caracteriza a los textos de naturaleza jurídica, los cuales están hechos por juristas y para juristas. Lo primero es comprensible. Lo segundo no.

– La prestación del consentimiento y la revocación del mismo, deben tener el mismo grado de dificultad. Es decir, no vale que facilitemos hasta nivel de niño de primaria para que el interesado manifieste su consentimiento y que, el proceso de revocación del mismo, precise de estudios esté lleno de pasos y vericuetos y requiera de física cuántica avanzada para llevarlo a cabo.

– Inequívoco, el interesado debe manifestar activamente su voluntad para los fines establecidos. Es importante por ello, que la información sea clara respecto al consentimiento y no quede “atrapada” y ensombrecida por otra información destinada a distinta finalidad.

 
Expediente X - GIFMANIA

 

Tratamientos distintos a los inicialmente informados. Para que sea lícito, debe:

– Ser compatible con el fin inicial.
– Debe existir una relación respecto de la finalidad en sí misma, como de la categoría de datos, las posibles consecuencias para el interesado, etc.

Al final, vuelve a salir a la luz la principal motivación del Reglamento, que no es otra que una adecuada, equilibrada y justa protección en lo que a tratamiento de datos se refiere, algo a priori parece lógico y necesario, pero dado que estamos acostumbrados a que “mangoneen” y hagan uso de nuestros datos personales como si de un cuestión de ámbito cirquense se tratase, ahora nos parece un mundo.

Además, el RGPD añade requisitos a la hora de informar en la política de privacidad de nuestra web:

  • Proporcionar los datos de contacto del Delegado de Protección de Datos
  • Incluir una base jurídica o legitimación para el tratamiento
  • Informar sobre los plazos de conservación de la información
  • Declarar la existencia de decisiones automatizadas
  • Informar sobre la elaboración de perfiles
  • Informar sobre el derecho a presentar una reclamación ante la AEPD
  • Indicar el origen y las categorías de datos.
  • Información de política de privacidad y formularios en dos capas

¿Y QUÉ HAY DE LAS COOKIES?

 

Monstruo de las Galletas - GIFMANIA
El consentimiento de las cookies de la web de que se trate, debe reunir las características mencionadas con anterioridad en lo que respecta a consentimiento, pero el interesado consiente las cookies, es decir, no debe prestar su consentimiento para cada una de ellas (si no, igual una vida no es suficiente para hacerlo), si no que, cumpliéndose esos requisitos para que el consentimiento sea lícito, se da un consentimiento total de la política de cookies.

Datos no obtenidos del interesado

En estos supuestos, los datos no han sido facilitados por el interesado, siendo entonces el propio responsable, destinatario de los datos. En dichos casos, es preciso verificar si, es lícito o no el tratamiento, comprobando si la obtención de lo datos personales en cuestión, tienen origen de obtención legítimo.

Vamos a detenernos en una de las opciones que nos determinan si la obtención de los datos ha sido legítima: la comprobación de que proceden de fuentes públicas. De hecho, damos el pause en este punto en concreto, para aclarar una cuestión que, en numerosas ocasiones, nos han hecho los clientes y que nos consta que muchas personas desconocen.

¿Cuáles son las fuentes públicas?

El censo promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos de profesionales que contengan : nombre, título, profesión, actividad, grado académico, dirección e indicación de su pertenencia al grupo; diarios y boletines especiales; medios de comunicación.

¿Son los sitios web una fuente pública?

NO!! Por tanto los datos extraídos de internet requieren del consentimiento del interesado. Y sino, puede conllevar las consiguientes sanciones por tratamiento de datos personales obtenidos ilícitamente, como puede ser el envío de comunicaciones comerciales masivos a direcciones de correo electrónico obtenidas por este medio, ya que, un sitio web, NO ES UN MEDIO DE COMUNICACIÓN SOCIAL.

¿Necesita mi empresa un Delegado de Protección de Datos?

Según el reglamento, la asignación del DPO será obligatoria cuando el tratamiento lo lleve a cabo una autoridad u organismo público; las actividades principales de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala; y cuando las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categoríases peciales de datos.

Sin embargo, esta definición es un poco ambigua y puede llevar a errores.

El borrador para la reforma de la LOPD agrega más detalles al respecto. Se refiere específicamente a las siguientes entidades:

  • Los colegios profesionales y sus consejos generales,

  • Los centros docentes que ofrezcan enseñanzas reguladas y las Universidades públicas y privadas

  • Las entidades que exploten redes y presten servicios de comunicaciones electrónicas cuando traten habitual y sistemáticamente datos personales a gran escala

  • Los prestadores de servicios de la sociedad de la información cuando elaboren a gran escala perfiles de los usuarios del servicio

  • Las entidades incluidas en el artículo 1 de la Ley 10/2014, de 26 de junio, de ordenación,supervisión y solvencia de entidades de crédito

  • Los establecimientos financieros de crédito

  • Las entidades aseguradoras y reaseguradoras

  • Las empresas de servicios de inversión

  • Los distribuidores y comercializadores de energía eléctrica

  • Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude

  • Las entidades que desarrollen actividades de publicidad y prospección comercial cuando lleven a cabo tratamientos basados en las preferencias de los afectados o realicen actividades que impliquen la elaboración de perfiles

  • Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas

  • Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que puedan referirse a personas físicas

  • Los operadores que desarrollen la actividad de juego a través de canales electrónicos

En Marketing Onlaw vamos un poco más allá y no solo ofrecemos el servicio de DPO a las empresas, sino que somos unos DPO DPM.

Es un hecho que puede suponer un “fastidio” la adaptación a las novedades que el RGPD trae consigo. Pero, es como todo lo nuevo, primero nos choca y nos produce incertidumbre, luego nos arranca la curiosidad intrínseca que todo ser humando tiene en su interior (bueno o casi todos). Y por último, acabamos viendo las ventajas y disfrutando de la nueva situación a la que, ¡sorpresa! nos hemos adaptado mucho antes de lo que pensábamos y casi sin darnos cuenta.

Por ello, es importante asesorarse bien por profesionales y no jugársela, no hay que temer a la nueva situación del ámbito de protección de datos, sino adaptarse y dar al usuario /interesado y así poner nuestro granito de arena a lograr una situación que debería haber existido hace años: la de los derechos que siempre nos pertenecieron como interesados (porque, no lo olvidemos, son interesados los usuarios de nuestra empresa, pero también nosotros somos interesados de otras). Los datos personales son nuestros, y no las fichas del tablero de ninguna entidad ni empresa que quiera jugar a su antojo con ellas.

Esperamos que este post sirva para disipar los miedos al respecto de la nueva ley. Podeis dejar vuestras preguntas sobre RGPD en los comentarios y las reuniremos para hacer un artículo resolviendo las dudas frecuentes sobre este tema. ¡Esperamos vuestros comentarios con expectación aquí sentados tranquilamente! ¡Muchas gracias por leernos!

Fringe - GIFMANIA

3 thoughts on “Principios y medidas de cumplimiento del nuevo reglamento europeo de protección de datos (RGPD)

  1. José Miguel dice:

    Hago ventas desde mi pagina web, pagan por VISA o MASTER CARD
    a una TPV del BBVA. NO tengo acceso a los datos que el cliente introduce para hacer el pago. Tengo la Dirección, el Nombre y un Teléfono de Contacto para hacer el envío.
    ¿Los datos del pago, será problema de los del TPV?.
    ¿Los datos del envío, hay que destruirlos, pudo conservarlos en un Pendrive?.
    ¿Hay que poner algún mensaje en la pagina de pago?..
    Gracias y un saludo.

    1. MktOnlaw dice:

      En ese sentido, has de asegurarte de que tus proveedores y encargados del tratamiento, en este caso BBVA, ofrecen las suficientes garantías de cumplimiento en materia de seguridad y privacidad. Como mucho puede llegar el caso de que tengas que notificar a tus clientes que ha habido una brecha de seguridad en BBVA.
      En cuanto a los datos de envío, hay unos tiempos de conservación que te podemos comentar en función de los diferentes datos y finalidades.
      Por último, al respecto de los mensajes. Hay que avisar del responsable del tratamiento y cesiones, así como de los fines, derechos etc., y poner un checkbox de aceptación de la política de privacidad y de los términos y condiciones.

  2. Jose Antonio Fernandez Lopez dice:

    Una web que es meramente informativa, noticias sobre deporte. Sin comentarios y solo un formulario de contacto. Muy básico.
    Del que no se guardan datos, necesita cubrir todos esos apartados?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *