El GDPR (General Data Protection Regulation) o Reglamento General de Protección de Datos (RGPD) se basa en la prevención de los datos personales que tratan las empresas. Se ha promovido por el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea con la intención de reforzar y unificar la protección de datos para todos los individuos dentro de la Unión Europea. Desde el Grupo FTP, estamos preparados para el GDPR. Si necesitas ayuda para tu empresa no dudes en ponerte en contacto con nosotros. Recuerda que sólo tienes hasta mayo para tener todo listo.
El GDPR incide directamente en el almacenamiento, procesamiento, acceso, transferencia y divulgación de los de datos de un individuo. Afecta también a cualquier organización a nivel mundial que procese datos personales de personas de la Unión Europea.
Las empresas deberán adoptar medidas para cumplir con los principios, derechos y garantías que el reglamento establece. Algunas de las medidas que introduce son una continuación o reemplazan a otras ya existentes. Otras constituyen la formalización en una norma legal de prácticas ya extendidas. Aunque las principales definiciones de la actual ley permanecerán generalmente sin cambios en el marco del GDPR.
El reglamento al completo supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero no implica necesariamente una mayor carga. En la mayoría de los casos será sólo una forma distinta de gestionar la protección de datos. Lo que sí hace es ampliar la definición de “datos personales” que actualmente se recopilan. Ahora se añaden direcciones IP, información económica, cultural o de salud mental, pseudónimos, etc.
Sí se introduce dos nuevos elementos muy importantes: el derecho al olvido y el derecho a la portabilidad.
El derecho al olvido. Suprime los datos personales cuando ya no sean necesarios para la finalidad con la que fueron recogidos. También cuando se haya retirado el consentimiento o cuando estos se hayan recogido de manera ilícita. Permite solicitar el bloqueo de los vínculos que lleven a informaciones obsoletas, incompletas o falsas, entre otros motivos.
El derecho a la portabilidad. Permite recuperar datos en un formato que permita su traslado a otra ubicación que los esté tratando de modo automatizado.
¿A partir de cuándo es efectivo?
El GDPR lleva en vigor desde mayo de 2016 (art. 99 GDPR). Será imputable a partir del 25 de mayo de 2018. Se aplicará de forma directa sobre todos los sujetos obligados a cumplirlo, ya sean privados y públicos. En España se aplicará de manera simultánea a la LOPD siempre que no contravenga lo establecido en el GDPR. También se aplicará la legislación estatal y autonómica sobre protección de datos, la normativa estatal conexa y todo lo derivado de las interpretaciones sobre las que se apoyan las resoluciones, los informes y las recomendaciones de la AEPD y las sentencias surgidas por la vía judicial. El objetivo principal es unificar la regulación dentro de la UE. Da control a los ciudadanos y residentes sobre sus datos personales y simplifica el entorno regulador de los negocios internacionales .
¿A quién afecta el GDPR?
La ampliación supone una garantía adicional a todos los ciudadanos europeos. Aquellas empresas españolas, públicas o privadas, y autónomos que manejen datos personales estarán obligadas a cumplir el GDPR.
El Reglamento se aplicará a responsables de tratamiento de datos establecidos en la Unión Europea. Se amplía a encargados no establecidos en la UE (en la actualidad no es necesario mantener una presencia física sobre un territorio) siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento. Ahora se incluye el Binding Corporate Rules (BCRs) en el GDPR. Un mecanismo para las transferencias dentro de la empresa en todo el mundo.
La edad mínima para que un menor preste su consentimiento para el tratamiento de sus datos personales será de 16 años. Deja la puerta abierta a que cada estado miembro establezca la suya propia, con un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores. Por tanto, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.
La legislación actual fue promulgada antes de que Internet y la tecnología Cloud encontraran formas diferentes de usar y compartir los datos personales de sus usuarios. El GDPR pretende abordar esas lagunas reforzando la legislación vigente e introduciendo medidas de aplicación más estrictas. Mejorar la confianza en la economía digital emergente y dotar a las empresas un entorno jurídico más sencillo, es otro de sus cometidos.
¿Cómo obtener el consentimiento? Avisos de privacidad
La base para el tratamiento de los datos personales es el consentimiento. El reglamento lo requiere libre, informado, específico e inequívoco. Por ello pide que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. Es decir, el consentimiento no puede interpretarse del silencio, las casillas pre-marcadas o la inactividad por parte del usuario.
El consentimiento tiene que ser verificable y, por consiguiente, aquellos que recopilen datos personales tendrán que ser capaces de demostrar que el interesado se lo otorgó.
El reglamento incluye unas cuestiones, que antes no eran obligatorias, en la información que se proporcionará a los interesados. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de los mismos y que los interesados puedan dirigir sus reclamaciones a las autoridades de protección de datos.
¿Qué posibles situaciones se darán bajo la nueva regulación?
La empresa tiene que ser capaz de enviar documentación a las autoridades competentes cuando les sea requerida. Es importante tener todos los datos documentados y mostrar que se están cumpliendo con todos los puntos legales del reglamento.
Si se comete cualquier violación de datos, la empresa tiene que informarlo a la autoridad encargada de su supervisión y a las personas afectadas. Lo mismo ocurrirá si cualquier persona pide ver sus datos o pide eliminarlos. En el primer supuesto tendrá que ser capaz de suministrarlos en un formato legible. En el segundo supuesto deberá eliminar todos sus datos (incluidos los metadatos). También se puede dar la situación de que una persona quiera que sus datos sean corregidos o completados. En este escenario la empresa estará obligada a hacerlo de inmediato. Al mismo tiempo tendrá que confirma que no existen versiones obsoletas o duplicados almacenados en otro lugar.
La gestión de los consentimientos de los individuos será otro de los puntos fuertes del nuevo reglamento. Por ello cualquier empresa necesitará estar constantemente informada y controlar, de manera integral, a las personas que han dado su consentimiento. Si el usuario es, además, menor de 16 años, es aún más urgente. En último lugar la empresa tendrá que limitar almacenamiento de datos durante un período no superior al necesario para los fines para los que se tratan los datos personales.
¿Qué pasa si incumplo la norma?
Para todos aquellos que no cumplan la norma, el GDPR establece, optándose por la de mayor cuantía, multas administrativas (art. 83 GDPR) de 20.000.000 € como máximo. También, sólo en caso de las empresas, se puede multar con una cuantía equivalente al 4%, como máximo, del volumen de negocio total anual global del ejercicio financiero anterior. Aunque la decisión de cumplir esta norma debería estar basada en nuestro compromiso de respetar los derechos de nuestros clientes, contactos, empleados y demás personas físicas relacionadas con nuestra actividad.
¿Qué necesita mi empresa para cumplir con el GDPR?
La manera de aplicar estas medidas dependerá de factores como el tipo de tratamiento, los costes de implantación, etc. Por tanto, todas las organizaciones interesadas deberán realizar un análisis de riesgo de sus tratamientos. De esta forma podrán determinar qué medidas han de aplicar y cómo hacerlo.
Los primeros pasos son crear un registro de datos, clasificar los datos y empezar con la prioridad principal: proteger la privacidad del usuario. Como empresa, habrá que hacerse un par de preguntas clave: ¿Necesito realmente esa información?, ¿por qué? Las empresas deben completar una Evaluación de Impacto de la Privacidad (PIA) y la Evaluación de Impacto de la Protección de Datos (DPIA) de todas las políticas de seguridad, evaluando los ciclos de vida de los datos desde el origen hasta su destrucción. La siguiente fase, una vez finalizados estos aspectos, es evaluar y documentar otros riesgos. Por último habrá que revisar el resultado de los pasos anteriores y solucionar aquellos que sean necesarios.
5 requisitos esenciales en su implantación
-
Un equipo de auditores de protección de datos con un perfil jurídico e informático necesariamente.
En su origen, se debe auditar el estado del cumplimiento de la normativa de protección de datos en la empresa. Ha de llevarse a cabo antes de actualizar las políticas, los protocolos y los textos relacionados con tratamiento de datos personales.
El equipo encargado de auditar la empresa deberá estar formado por profesionales con conocimientos jurídicos especializados en protección de datos y profesionales informáticos con conocimientos especializados en seguridad informática. La nueva normativa, en su artículo 25, determina las medidas técnicas y organizativas a implementar.
Para ayudar a cumplir mejor el GDPR, la AEPD ha publicado este documento: Guía del Reglamento General de Protección de Datos para responsables de tratamiento
-
Información clara y precisa antes de recabar datos
Según el art.5 de la LOPD, los datos que se deben facilitar son: Finalidad, destinatarios de los ficheros, obligación de la entrega y sus consecuencias, los derechos del interesado y la identidad del responsable. El GDPR amplía esta información, que debe ser comunicada en el momento de recabar datos personales. Por el art.13 de la RGPD, además, se deben entregar: la base jurídica del tratamiento, el tiempo máximo que se guardarán los datos, la identificación del Delegado de Protección de datos, si existe trasferencia internacional de datos, el derecho a presentar una reclamación y la existencia o no de decisiones automatizadas.
También actualiza los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición), pasando a ser: Acceso, Rectificación, Supresión, Limitación, Portabilidad y Oposición. Para entender mejor este apartado la AEPD también ha publicado la Guía para el cumplimiento del deber de informar.
-
Los contratos de encargado del tratamiento
Si la empresa tiene cualquier contrato de Encargado del Tratamiento, con terceros para el tratamiento de datos de los que son responsables, tendrán que ser actualizados. Los nuevos contratos, tienen constar por escrito, tendrá que detallar las instrucciones relacionadas con las medidas de seguridad, el régimen de subcontratación, la confidencialidad y el destino de los datos tras finalizar la prestación del servicio. Puedes valerte del documento Directrices para la elaboración de contratos entre responsables y encargados del tratamiento para ayudarte en su implementación.
-
Analizar el riesgo
Sin excepción, se deben analizar todas las eventuales vulnerabilidades informáticas y brechas de seguridad para implementar las mejores soluciones informáticas que impidan, bloqueen o neutralicen los ataques. El análisis y sus posibles soluciones se deben realizar acorde al art. 25 de la GDPR. Es decir medidas de seguridad avanzadas, capaces de impedir y/o bloquear cualquier tipo de ataque informático actual
La LOPD ya recogía una serie de medidas de seguridad para las empresas que tratasen datos personales, en función del tipo de datos o de su tratamiento. Con la nueva norma la responsabilidad de identificar las medidas de seguridad que aplicarán en el tratamiento de datos, se desplaza a las empresas. Para entender mejor este apartado amplia información con la Guía sobre el Reglamento General de Protección de Datos. Recomendación.
-
La figura del DPO (Delegado de Protección de Datos)
El DPO debe tener conocimientos especializados en Derecho y práctica en materia de protección de datos. Esta figura la ocupará habitualmente un profesional licenciado en Derecho, con más de 4 años de experiencia (sería recomendable más de 10 años) en protección de datos.
Master Data Management
Los “datos maestros” son aquello conjuntos de datos que se generan, se comparten y se utilizan, generalmente mediante listados, por los sistemas de gestión y sus aplicaciones, dentro de una empresa.
Un MDM es un sistema que combina tecnología, procesos y servicios para crea una única fuente fiable de todos esos datos personales de usuarios y/o clientes. Es una manera práctica para visualizar una imagen integral de cada una persona a través de múltiples canales, líneas de negocio y empresas. Así se consigue identificar la información más importante de una empresa y mejorar sus procesos.
Un programa de MDM establece los cimientos para un correcto cumplimiento del GDPR, haciendo que la de la anterior regulación a la nueva sea mucho más suave y balanceada. Gracias a un MDM cualquier empresa podrá llevar a cabo las tareas de organización almacenamiento, administración y recopilación de datos de una manera segura y de confianza. Un error en los datos maestros puede causar errores en todas las aplicaciones que lo utilizan. La implantación del MDM se debe planificar con mucha atención. Puede tener un impacto en muchos procesos y sistemas críticos de las compañías, afectando las operaciones cotidianas, por lo que es importante planear una estrategia de transición que permita la sincronización estática y dinámica de los datos.
Los 5 tipos de datos en cualquier empresa:
- Datos jerárquicos: Almacenan los vínculos entre otros datos.
- Maestros: Es la información crítica de un negocio. Por lo general abarcan 4 grupos bien definidos: personas, cosas, lugares y conceptos. Si existieran otras categorizaciones dentro de ellas denominarían áreas temáticas, áreas de dominio o tipos de entidad.
- Metadatos: Nos dan aclaraciones sobre otros datos y pueden residir en un repositorio formal o, por ejemplo, en documentos XML, definiciones de informes, descripciones, base de datos, etc.
- No estructurados. Este tipo de datos los encontramos en correos electrónicos, documentos PDF, whitepapers, artículos en revistas, intranets corporativas, etc.
- Transaccionales. Son datos relacionados con ventas, facturas, asistencias, reclamaciones y entregas, entre otras acciones.