Primeros pasos para cumplir el nuevo RGPD
En enero, se conmemoró el Día europeo de la protección de datos, celebrando el aniversario de la firma del Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal en 1981. Está claro que como usuarios de la tecnología nos interesa pero, ¿cómo tratamos los datos personales en la empresa?
En un mundo donde los datos circulan de manera global, las empresas tenemos que prestar atención a la protección de la privacidad pues todas en mayor o menor medida tratamos con datos personales, ya sean de clientes o de empleados. Es decir tratamos datos que deben ser protegidos.
Desde 1981, el Convenio se ha modernizado y ampliado para incluir cuestiones como la protección en las redes sociales, la elaboración de perfiles o el ámbito laboral. En este completo manual, están todas las claves para entender la legislación europea al respecto.
Claves para entender la legislación europea en materia de protección de datos
- Los datos, son datos personales si están relacionados con una persona identificada o, al menos, identificable, el interesado. También son datos personales los identificadores online como direcciones IP, Identificadores de usuarios, etc.
- Una persona es identificable si puede obtenerse información adicional, sin tener que realizar esfuerzos poco razonables, que permita identificarle.
- Existen categorías especiales de datos, los denominados datos sensibles que exigen una protección reforzada y que, por lo tanto, están sujetos a un régimen jurídico especial:
- datos personales que revelan el origen racial o étnico;
- datos personales que revelan opiniones políticas, creencias religiosas y otras creencias; y
- datos personales relativos a la salud o la vida sexual.
Y es que los datos personales que nuestros clientes nos dan al cumplimentar los pedidos o durante el curso de nuestros servicios, si caen en manos de delincuentes pueden ser utilizados en fraudes, extorsiones y suplantación de identidad. Protegerlos, evitando fugas y brechas de datos es un deber y una necesidad. Las pérdidas económicas y de imagen pueden ser cuantiosas.
Algo se mueve
Los efectos del mundo globalizado en la protección de datos fueron el motivo del litigio contra Facebook que provocó que el Puerto Seguro, que regulaba las transferencias de datos personales a estados no europeos, «mutara» a Escudo de Privacidad en lo que respecta a los intercambios con EEUU.
Esto que parece muy lejano para las pymes españolas es algo que tenemos que considerar pues con frecuencia contratamos servicios, como alojamiento web o servicios de almacenamiento en cloud, a empresas cuyos equipos y oficinas están fuera de nuestras fronteras. Si al usar estos servicios se transfieren datos personales se trataría de transferencias internacionales de datos, reguladas en la Ley. Para nuestra comodidad esto no ocurre si tratamos con empresas afincadas en Europa, aunque esta transferencia pueda estar sujeta a otras disposiciones de la legislación española.
Nuevas leyes para nuevos tiempos
Otro hito para la protección de datos ocurrió el pasado 25 de mayo cuando entró en vigor el nuevo Reglamento europeo de Protección de Datos (RGPD) que será aplicable a partir del 25 de mayo de 2018. En este artículo: «La privacidad de clientes y empleados: un valor en alza» hacíamos un resumen de las principales novedades. La AEPD, encargada de la protección de datos en España, ha publicado una sección para ayudar a las pymes a cumplir con este reglamento. También informa que está preparando una herramienta de autoevaluación. Estas son las empresas a las que aplica el nuevo reglamento:
- establecidas en la UE;
- que ofrecen bienes o servicios a residentes en la UE; o
- que monitorizan el comportamiento de los residentes en la UE.
Los datos personales: un factor de competitividad y fidelización
Además de proteger los datos personales de clientes, porque es un derecho que tienen, tenemos que protegerlos porque son un factor de competitividad y fidelización para la empresa. Esto se hace patente al diversificarse y potenciarse con la tecnología los usos de los datos personales (perfilado, análisis de sentimiento, fidelización,…) en los nuevos modelos de negocio. Protección y explotación, son dos caras de la misma moneda. Por esto la nueva legislación europea exige una mayor proactividad a las empresas y las insta a que valoren sus riesgos e incorporen mecanismos para minimizarlos, garantizando por ejemplo la privacidad desde el diseño y por defecto desde la concepción de sus productos o servicios.
Privacidad desde el diseño y privacidad por defecto
- Los sistemas que incorporan privacidad desde el diseño han sido construidos teniendo en cuenta la protección de la privacidad.
- Los sistemas que incorporan privacidad por defecto están configurados por defecto de forma que ofrecen la mayor privacidad.
Los derechos de los interesados
Los interesados, los dueños de los datos personales, pueden ejercer, según el RGPD, sus derechos. Estos son los derechos que pueden ejercer los interesados:
- acceso a los propios datos personales;
- rectificación si los datos son inexactos;
- supresión (derecho al olvido) si se tratan de forma ilegal o ya no son necesarios para la finalidad con que se recogieron;
- a la limitación del tratamiento;
- a la portabilidad de los datos;
- oposición a un uso posterior con fines de prospección comercial (marketing directo), investigación científica o histórica, o fines estadísticos; y
- a no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).
Las empresas deben proveer mecanismos para que los interesados puedan ejercer sus derechos. Al tomar los datos deben recabar el consentimiento libre, específico e informado del interesado. Este puede ser retirado en cualquier momento. En la Guía para el cumplimiento del deber de informar de la AGPD, se muestra cómo se ha de hacer.
Anonimización
El tratamiento de grandes volúmenes de datos (big data) nos permite descubrir tendencias, el comportamiento de los usuarios o sus patrones de compra. También nos permiten realizar pronósticos y anticiparnos a cambios en la demanda. Pero estos tratamientos suponen grandes retos a la hora de garantizar la privacidad.
Con la anonimización se elimina o reduce al mínimo el riesgo de identificación de las personas y estos datos podrían almacenarse o tratarse, por ejemplo para fines estadísticos. En este sentido la AGPD publica Orientaciones y garantías en los procedimientos de anonimización de datos personales.
Anonimización y pseudoanonimización
- Los datos son anonimizados si no incluyen identificadores; en cambio, son pseudonimizados si los identificadores están cifrados.
- A diferencia de los datos anonimizados, los datos pseudonimizados son datos personales.
Lista de verificación
Estas son sólo algunas pinceladas del nuevo Reglamento. La AGPD en su Guía del RGPD para responsables del tratamiento, incluye una Lista de verificación en la que de un vistazo, podemos chequear qué medidas tenemos que abordar para estar preparados y aceptar proactivamente los retos para preservar la privacidad de nuestros clientes, es decir, la fuente de nuestros ingresos.
