Ya sólo queda algo más de un mes para la aplicación del GDPR (REGLAMENTO EUROPEO DE PROTECCIÓN DE DATOS).
Podemos señalar que esta nueva normativa supone que:
1º La parte legal se hace más garantista.
2º Se dota de más recursos a los usuarios.
3º Es una normativa más exigente en la parte de la seguridad del dato.
4º Y finalmente, aumentan las sanciones.
En teoría todas estas medidas se aplican con el fin de transmitir confianza en la red, que los ciudadanos tengan la tranquilidad que quien trata datos personales debe actuar con diligencia.
Es un pistoletazo de partida, y muchos expertos opinan que seremos testigos de un par de sanciones muy “mediáticas” para que las pymes se pongan las pilas.
Hasta esta nueva norma, la normativa exigía informar determinados contenidos que destacaba del artículo 5 de la LOPD: quién era el responsable de los datos personales, las finalidades del tratamiento, si se cedían los datos a terceros y los famosos derechos personales ARCO (acceso, rectificación, cancelación y oposición).
La normativa ahora va más allá, nosotros destacamos estos principios rectores:
1º ORGANIZACIONES SUJETAS A LA LEY. Primer cambio, aplicación de la Ley a las organizaciones que no están ubicadas de forma permanente en la UE, pero sí ofrecen bienes y servicios a residentes europeos, es decir, que su actividad afecta a ciudadanos europeos…..y el 75% de las sociedades del extranjero reconocen no conocer la normativa sobre protección de datos. Un verdadero desafío…¿Se aplicará la ley??.
2º BAJA LA EDAD PARA DISPONER DE LA INFORMACIÓN PERSONAL DE 14 A 13 años. A nivel comercial nos podremos dirigir a más personas, pero no deja de ser una novedad que a muchas personas les produce rechazo por el peligro que puede suponer.
3º CONSENTIMIENTO. Se debe contar con una base legítima de tratamiento. Antes bastaba con consentimiento tácito, es decir, si el usuario en 30 día son se oponía es que consentía…. ahora se exige un consentimiento explicíto (artículo 9)
Además el consentimiento debe ser libre, por ejemplo, si se hace una campaña no se puede supeditar el acceso a dicho servicio o producto al consentimiento del trato de los datos personales.
4º RESPONSABILIDAD PROACTIVA. Hay que leer con detenimiento el artículo 5. Aplicar medidas adecuadas para el cumplimiento y demostrarlo.
Aquí los desarrolladores de softwares y controladores de sistemas van a entrar de lleno en los despachos de abogados. Hay que dejar pruebas y rastros…si existen registros de datos, si conservan su integridad, si hemos controlado la cadena de custodia etc…
5º PRIVACIDAD POR DISEÑO Y DEFECTO (aquí también necesidad de informáticos en bufetes de abogados)
Mucho más exigente con la autorización del usuario para que sus datos sean visibles para terceros.
5.1 PRIVACIDAD POR DEFECTO:
Recoger y procesar sólo los datos estrictamente necesarios
Tiempo de retención estrictamente necesario.
Servicio producto con las características más altas de privacidad establecidas desde el principio.
5.2 PRIVACIDAD POR DISEÑO:
Evaluaciones de impacto en privacidad
Evaluación integral, detallada, acreditable y documentada
Riesgos en materia de privacidad y controles a implantar
Prohibición tratamiento cuando los riesgos no estén suficientemente evaluados o atenuados, además por cada uno de los proyectos.Incluso habrá que evaluarse productos o servicios antiguos que afecten a un número elevado de personas
6º DERECHO DE PORTABILIDAD. Recuperación datos facilitados a terceros para transmitirlos a otro proveedor. Por ejemplo un proveedor cloud que dispone de datos sensibles.
7º POLITICAS INFORMATIVAS. Aquí hay numerosas novedades y nos vamos a limitar a mencionar algunas destacadas, ya que redactaremos un post solamente para tratar este punto.
Los datos se deben comunicar como: (niveles de sensibilidad) MIDE EL GRADO DE VIOLACIÓN DE LA PRIVACIDAD
a) Nivel básico: Nombre, sexo, domicilio, Dni…. Ojo si la suma de datos básicos pueden identificar la personalidad del sujeto puede pasar a nivel medio.
b) Nivel medio: Solvencia patrimonial, infracciones administrativas, datos seguridad social, pruebas psicotécnicas…datos que puedan identificar su personalidad.
c) Nivel alto: Ideología, ideas políticas, creencias religiosas, salud, alimentación, historial clínico, practicas sexuales… AQUÍ QUEDA GRAVEMENTE VIOLADA LA PRIVACIDAD.
Recomendamos la lectura del artículo 13 y 14. A modo de resumen indicamos algunas obligaciones de notificación:
Obligación de notificar a la autoridad competente haber sido hackeado (brecha seguridad). Obligación en 72 horas. Es una novedad importante porque muchas empresas no reportaban por su reputación. Sino se comunica sanciones muy fuertes. De 600.000 euros a 20 millones de euros (o 4% de facturación).
Informar sobre el registro interno.
A) Riesgo para derechos y libertades
B) Fines del tratamiento, categoría de los interesados y datos personales, destinatarios y medidas de seguridad.
Aquí cobra gran importancia el PRINCIPIO DE LIMITACIÓN DE FINALIDAD: La información personal que se recabe una vez se acabe la finalidad del tratamiento, tendrá un plazo de conservación.
Registro de incidentes de seguridad. El fin es conseguir una política de seguridad integrada y se establecen medidas reforzadas (artículo 329 por ejemplo con filtrado de datos etc…).
Procedimiento ante brechas de seguridad. Tener preparado un plan.
8º DERECHO DE VENTANA ÚNICA:
8.1 Autoridad nacional (tratamiento de datos en un único estado):
8.2 Autoridad nacional única como interlocutora (tratamiento de datos en varios estados).
8.3 Resuelve El Comité Europeo de PD
9º NOMBRAMIENTO DEL DELEGADO DE DATOS en este momento parece que muchos abogados ocuparemos este puesto, pero la lógica dice que con el tiempo estos puestos se irán cubriendo por personal técnico.
10º EVALUAR INCIDENCIAS ESPECIFICAS EN CADA SECTOR, por ejemplo las cámaras de vigilancia son reguladas de manera exhaustiva cuando hasta ahora se regía únicamente por una instrucción de la Agencia Española.
Esta es una primera toma de contacto con esta materia, en los próximos meses entraremos en detalle en cada aspecto importante de esta materia, Y SOBRE TODO entraremos a ver la ejecución real de esta norma, una norma muy ambiciosa!!!
