Este mes, hizo un año desde la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos, el 25 de mayo. En diciembre de 2018, se completó en España con la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
Con estas normas se obliga a las empresas al tratamiento de datos personales con responsabilidad proactiva “accountability” o, lo que puede traducirse como “tener que rendir cuentas”, y esto inevitablemente ha supuesto: duplicar la documentación de protección de datos.
El nuevo escenario “proactivo” invierte la carga de la prueba respecto al adecuado tratamiento de estos datos personales. El interesado o afectado que reclame no tendrá que aportar nada, sino que es la empresa o entidad que trata o ha tratado los datos, quien tiene que estar en condiciones de demostrar que lo ha hecho de forma correcta.
Con sanciones de hasta 20 millones de euros, o de una cuantía equivalente al 4% como máximo del volumen de negocio total anual del ejercicio anterior, y se opta siempre por la de mayor cuantía, la aplicación de esta nueva normativa, sigue encontrándose con tres dificultades esenciales:
- La falta de implicación de la dirección general de las empresas
- La respuesta automática de “pero las cosas siempre se han hecho así”
- La solicitud y tratamiento de información personal desproporcionada, “por si acaso”.
Las diez grandes novedades, a destacar, de la nueva legislación son:
- Responsabilidad proactiva: justificar, documentar, probar. El hecho de documentar medidas y actuaciones, disminuye la responsabilidad y la sanción.
- Privacidad en el diseño y por defecto de cualquier nuevo servicio, o proyecto que trate datos personales. Desde mayo del año pasado, cualquier nuevo tratamiento supondrá un análisis de riesgos o, en su caso, una evaluación previa de impacto que obligue a elegir entre diversas alternativas, la más restrictiva y la que mejor proteja a los interesados. No hacer estos estudios previos supone una inmediata sanción.
- La minimización de los datos. Sólo han de ser objeto de tratamiento los datos personales que sean necesarios para cada fin específico del tratamiento. Y esto afecta a la cantidad de los datos recogidos, a la extensión de sus tratamientos, a su plazo de conservación y a su accesibilidad.
- Transparencia y consentimientos reforzados. Obligación de informar de todo el tratamiento y de recabar el consentimiento expreso. Esencial para las entidades: poder demostrar que se tiene ese consentimiento expreso.
- Nuevos datos sensibles: genéticos y biométricos cuando sean identificativos. Ej: La huella digital exige una valoración de su proporcionalidad o no, antes de recabarla y condiciones expresas para que su tratamiento sea autorizado.
- Nuevos derechos para los interesados: la portabilidad y la limitación del tratamiento.
- “Flexibilización” de las medidas de seguridad: han de adaptarse a cada tratamiento, y tener los parámetros organizativos necesarios. Todos ellos se dejan a la valoración de la empresa, pero deben estar debidamente justificados y documentados en los análisis del riesgo, que deben ser revisados y actualizados, para evitar las sanciones del Reglamento Europeo.
- Registro de Actividades de tratamiento: obligatorio para todas las entidades que traten datos sensibles. Se deben recoger todos los tratamientos, estar actualizado y ser objeto de revisión periódica.
- Delegado de Protección de Datos: Obligatorio para determinadas entidades y sobre todo cuando haya una observación sistemática de interesados a “gran escala”, cuando se elaboren perfiles de usuarios a gran escala, …. El Delegado de Protección de Datos no realiza la implantación o implementación de la protección de datos, porque su obligación es examinarla, controlarla y verificarla lo más independientemente posible, así como recibir, actuar y notificar ante reclamaciones y brechas de seguridad.
- Evaluación Previa del Impacto en privacidad de cualquier nuevo servicio, proyecto o programa para determinados tratamientos. Ha de realizarse antes de ponerlo en marcha y debe de ser sistemática y reproducible. Cuando de esta evaluación se desprenda la existencia de un riesgo elevado, antes de poner en marcha el nuevo servicio o programa ha de realizarse una consulta a la Autoridad de Control o replantear su viabilidad.
Con todo ello, el Reglamento Europeo, inevitablemente viene para quedarse obligando a crear en las empresas una cultura y respeto por la privacidad, que salvaguarde los datos personales de los ciudadanos de la Unión Europea que manejan las instituciones públicas, empresas y organizaciones.
En un año, la adaptación al Reglamento empieza a evidenciarse:
- En el aumento de las reclamaciones de particulares o empresas ante la Agencia Española de Protección de Datos, en 2018, un 32,8%, lo cual ha supuesto unas 14.146 reclamaciones.
- En la notificación de 60.000 brechas de seguridad, que han sido reportadas por empresas y entidades a las autoridades competentes de cada país. En España, la Agencia de Protección de Datos recibe una media de 2 notificaciones diarias, lo que significa unas 700 brechas de seguridad comunicadas desde que entró en vigor el Reglamento Europeo
- En que las empresas son cada vez más sensibles al cumplimiento del Reglamento de Protección de Datos, un 68% ya califican el RGDP como prioridad máxima.
¿Qué nivel de riesgo está dispuesto a tolerar en su empresa?