02
octubre
2019

RGPD: Reglamento General de Protección de Datos

security-2

El Reglamento General de Protección de Datos (RGPD) es el nombre que recibe en español la normativa europea conocida como General Data Protection Regulation (GDPR).

Se trata del reglamento de la Unión Europea que establece el marco regulatorio en materia de protección de datos de carácter personal, y constituye la norma de referencia en esta materia para todos los estados miembros, directamente aplicable sin necesidad de una ley nacional.

El RGPD entró en pleno vigor en mayo de 2018, por lo que su aplicación tiene un carácter reciente. De forma general, su acción abarca el ámbito de la Unión Europea, bien porque el responsable del tratamiento de los datos esté establecido en dicho territorio, o porque el tratamiento afecte a ciudadanos europeos.

El Reglamento General de Protección de Datos busca proteger los datos personales y la forma en la que las organizaciones los procesan, almacenan y, finalmente los destruyen, cuando esos datos ya no son requeridos.

El RGPD aplica a:

  • Organizaciones con presencia física en al menos algún país miembro de la Unión Europea.
  • Organizaciones que procesan o almacenan datos sobre individuos que residen en la Unión Europea.
  • Organizaciones que utilizan servicios de terceros que procesan o almacenan información sobre individuos que residen en la Unión Europea.

Definición amplia de Datos Personales

El Reglamento General de Protección de Datos entiende como datos personales a cualquier información relacionada a una persona, permita o no su identificación, por lo que no se trata solo de aquella que puedan ser usada para fraude o robo de identidad, lo que significa que muchos eventos o actividades diferentes pueden calificar como violaciones.

Define, además, clara y ampliamente lo que constituye una violación de datos, entendida como: una filtración en la seguridad de la información que lleva a la destrucción, pérdida, alteración, divulgación no autorizada, o acceso accidental o ilegal, a datos personales transmitidos, almacenados, o procesados de alguna forma.

Del mismo modo establece normas muy estrictas, que rigen lo que sucede si se viola el acceso a datos personales y las consecuencias (penalidades) que las organizaciones pueden sufrir en tal caso.

Principios Básicos

El RGPD requiere que las compañías garanticen mantener seguros los datos personales de sus usuarios. A pesar que esta obligación es expresada en términos generales, algunos de los principios básicos que deben tenerse en cuenta las organizaciones son:

  • Integridad: Proteger los datos personales haciendo uso de la tecnología adecuada y de las necesarias medidas de seguridad organizativa.
  • Legalidad: Las organizaciones deben garantizar, entre otras cosas, que cuentan con una base legal para el tratamiento de los datos personales y que dicho tratamiento se realiza de forma legal y transparente.
  • Uso limitado: Solo podrán recogerse datos personales para fines concretos, explícitos y legítimos.
  • Minimización de datos: Únicamente podrán recogerse aquellos datos que resulten pertinentes para el uso pretendido.
  • Limitación del plazo de conservación: Salvo las excepciones pertinentes, los datos personales solo podrán guardarse por el tiempo que se estime necesario y razonable.
  • Seudonimización de datos: siempre que sea posible, deben emplearse seudónimos para el procesamiento de la información, de manera que no pueda atribuirse de manera directa a un sujeto específico los datos procesados.
  • Confidencialidad y resiliencia: de los sistemas tecnológicos de tratamiento de datos, agregando procesos para garantizar pruebas y evaluaciones regulares de las medidas técnicas y organizativas para garantizar la seguridad de los datos personales procesados.
  • Disponibilidad y recuperación de datos oportuna: después de ocurrir incidentes físicos o técnicos.

Estos aspectos señalados no son obligatorios, y solo deben ser aplicados cuando proceda, por lo cual, es responsabilidad de la compañía demostrar que las medidas de seguridad son apropiadas.

Derechos de las Personas sobre sus Datos Personales

El reglamento europeo provee control a las personas acerca de cómo las entidades pueden usar la información que está directa y personalmente relacionada con ellas, y otorga derechos específicos, tales como:

  • Derecho a estar informado: Proporciona transparencia sobre cómo son utilizados los datos personales.
  • Derecho al acceso: Provee acceso a los datos, a cómo son utilizados, y a cualquier información suplementaria que pueda utilizarse juntos con estos.
  • Derecho a la rectificación: Otorga el derecho a que los datos personales sean rectificados en caso de ser incorrectos o incompletos.
  • Derecho a ser borrado (o derecho a ser olvidado): Entendido como el derecho a que los datos personales sean removidos de cualquier lugar si no existe una razón convincente para que estén almacenados.
  • Derecho a restringir el procesamiento: Permite que los datos sean almacenados, pero no procesados.
  • Derecho a la portabilidad de datos: Permite recuperar los datos personales almacenados, para su traslado y utilización en otro lugar. Por ejemplo, para productos financieros entre distintas entidades.
  • Derecho a objetar: Otorga el derecho a refutar acerca del procesamiento o toma de decisiones automáticas (sin intervención humana), que se hagan sobre los datos personales. Por ejemplo, la definición de determinados hábitos de compra, en función a comportamientos previos.

Otras Novedades

El Reglamento General de Protección de Datos supone un cambio en la protección de la información, pues se transita de una aproximación represiva a una proactiva; en este sentido, entre las principales novedades se pueden destacar:

El enfoque basado en el riesgo, pues con el RGPD no se dispondrá de un catálogo de medidas de seguridad obligatorias, sino que las organizaciones deberán analizar qué datos tratan, cómo y con qué finalidad, para en función de los riesgos de probabilidad y gravedad variables, establecer las medidas de seguridad apropiadas.

El principio de responsabilidad activa, pues al no existir un catálogo cerrado de medidas de seguridad, las organizaciones tienen que asegurarse que ha adoptado las medidas adecuadas para cumplir con el RGPD y además tiene que poder demostrarlo. Ello supone una actitud consciente, efectiva y proactiva, incorporando a sus procesos principios como la privacidad por defecto y desde el diseño.

El Delegado de Protección de Datos (en inglés, Data Protection Officer o DPO), es una figura novedosa que será obligatoria para determinadas empresas. Sus funciones serán, entre otras, las de informar y asesorar a la entidad en el cumplimiento de las obligaciones de protección de datos, supervisar el cumplimiento de lo dispuesto en la normativa y protocolos internos, concienciar y formar a los empleados, así como realizar auditorías. Podrá ser algún especialista interno de la organización o un experto externo, pero es imprescindible que cuente con formación y experiencia en el asesoramiento en protección de datos.

El reforzamiento del deber de información, pues se amplían las cuestiones por las que las entidades debe informar a los interesados antes de llevar a cabo un tratamiento de sus datos como, por ejemplo, la identidad y el contacto del Delegado de Protección de Datos, el plazo de conservación de los datos, si se van a hacer transferencias internacionales, los nuevos derechos de los afectados, entre otros.

Cambios en la forma de obtención del consentimiento, ya que se establece que, cuando el tratamiento de datos personales se base en el consentimiento del interesado, éste deberá ser claro, informado e inequívoco, lo que implica que la autorización de la persona debe provenir de una clara acción afirmativa, quedando excluida la posibilidad de obtener consentimientos de manera tácita, por ejemplo, en casillas marcadas por defecto.

Obligación de notificación de violaciones de la seguridad de los datos personales, en el supuesto de que se produzca una violación en la seguridad de los datos tratados por la organización, ésta deberá notificarlo en el plazo máximo de 72 horas a los afectados, cuando dicha violación suponga un riesgo alto para su privacidad.

¿Cómo Prepararse?

El cumplimiento del RGPD se puede alcanzar más fácilmente por compañías que operan bajo jurisdicciones europeas donde la legislación acerca de la protección de datos es estricta históricamente, ya que las autoridades supervisoras han trabajado para proteger los derechos y libertades individuales.

Sin embargo, en otras jurisdicciones, los encargados del tratamiento de datos personales se verán afectados porque nunca fueron el objetivo de las investigaciones de las autoridades de protección de información.

En este sentido, las entidades deben:

  • Elegir un representante dentro de la entidad, que se encargará del cumplimiento de los procesos y reglas respecto al reglamento europeo. Asegurará también el diálogo dentro de la organización y con las autoridades de protección de datos, lo que permitirá reducir los riesgos de litigios.
  • Esquematizar el tratamiento de los datos: se tratará de tener en la entidad una documentación completa y actualizada sobre el tratamiento de los datos personales para asegurarse de que respeta la nueva reglamentación. Este esquema permitirá saber precisamente cuales son los datos que recoge la organización, los tratamientos que hace, los objetivos que quiere alcanzar, los actores implicados, así como los diferentes flujos de datos y sus orígenes y destinos.
  • Dar prioridad a las acciones: se identifican las acciones a acometer para ajustar a la entidad a las obligaciones del reglamento. La prioridad de estas acciones estará en función de los riesgos que representan los datos sobre los derechos y libertades de los usuarios.
  • Gestionar los riesgos: permite realizar un estudio de impacto para cada tratamiento que presente un riesgo. Este estudio permitirá tratar los datos respetando la vida privada de los usuarios.
  • Organizar los procesos internos: para asegurar un alto nivel de protección de los datos personales, se establecen procedimientos internos que garanticen que se tome en cuenta la protección de datos en cada momento, tomando en cuenta todos los eventos que puedan surgir durante un tratamiento de información.
  • Documentar la conformidad: para demostrar la adhesión al reglamento, es necesario documentar las acciones en cada etapa, así como mantenerla actualizada para asegurar una protección de los datos continua.

De forma general, para algunas organizaciones la RGPD podría parecer un gran problema, pero, aunque es cierto que requiere mucho trabajo administrativo, también supone una gran oportunidad para mejorar.

Las compañías necesitan revisar sus procesos e identificar el objetivo y los fundamentos legales para procesar los datos de sus clientes, lo que asegurará que estén a buen recaudo y que se procesen sólo los necesario. De esta forma, el RGPD significa mayor transparencia, lo que equivale a mayor lealtad y confianza, y beneficios mutuos tanto para clientes como para empresas.