Actualidad

Todo lo que necesitas saber del GDPR antes del 25 de mayo

La protección de datos preocupa y mucho. La recopilación, uso y seguridad de toda nuestra información ha pasado a ser la obsesión del mundo legislativo.

Hasta ahora, las leyes existentes estaban redactadas en una etapa mucho anterior al uso comercial de los datos o al avance de las tecnologías en materia de Data Intelligence por lo que el control sobre la gestión de toda esa información estaba en tierra de nadie.

El GDPR nace, entre otras cosas, a partir de un estudio a fondo de las innovaciones en las TIC’s, de analizar el uso comercial que se da a toda esa información y sobre todo, de ver las carencias de las leyes de cada país en materia de protección de datos. Estas carencias han podido observarse en los diferentes juicios que han tenido los gigantes tecnológicos como Facebook y Google contra los diferentes gobiernos, dado que el éxito de estas compañías reside en utilizar la información de sus usuarios.

GDPRiS-Time-Bomb-1 copia

A continuación, vamos a tratar las principales preocupaciones en torno a esta nueva regulación:

Actual ley de Protección de Datos (LOPD) y qué cambiará cuando llegue en mayo el nuevo reglamento GDPR

Por el simple hecho de pertenecer a la Unión Europea, España cuenta con medidas mucho más restrictivas que Estados Unidos o Asia. Sin embargo, no es una ley tan protectora como podrían ser las de Islandia, Noruega o Suiza.

La Agencia Española de Protección de Datos (AEPD) es la encargada de supervisar el cumplimiento de esta ley, que establecía 3 tipos de sanciones:

Leves: de 900 € a 40.000 €

Graves: de 40.001 € a 300.000 €

Muy graves: de 300.001 a 600.000 €

En el año 2013, Google fue sancionada por esta agencia con 900.000 € por incumplir 3 artículos de la LOPD.

El nuevo reglamento fue aprobado en abril del 2016 pero entrará en vigor el 25 de mayo de 2018 y afectará a los 28 estados miembro de la Unión Europea.

Básicamente lo que se pretende es que las personas que analicen los datos no evalúen aspectos sensibles y personales para personalizar su oferta comercial en función a esto, como la situación económica, salud, sexo o intereses personales.

El GDPR nace de 3 premisas:

Responsabilidad: cumplir con la seguridad de tratamiento y control de datos.

Prevención: garantizar la seguridad de los datos en función a la sensibilidad de los mismos.

Transparencia: informar al usuario en todo momento de la recopilación y uso de sus datos y ser aceptado por el usuario. Con esto se conseguirán cookies más claras, mayor transparencia y un opt-in (Botón para aceptar la política de datos) más visible.

¿Qué pasa si no cumplo con el nuevo reglamento?

El nuevo reglamento no penaliza el haber sufrido o sufrir un hackeo o robo de datos si no la falta de prevención a esos sucesos.

Las sanciones amenazarán el volumen de negocio de las organizaciones que no cumplan con la ley puesto que se enfrentarán a importantes sanciones económicas.

Tramo 1

Motivos: recopilación de datos de menores sin consentimiento, incumplimiento de obligaciones técnicas del GDPR, no registrar el tratamiento de datos, no realizar la Evaluación de Impacto y/o no designar un DPO (Delegado de Protección de Datos).

Sanción: hasta 10.000.000 € o un 2% de los ingresos anuales declarados el último año fiscal.

Tramo 2

Motivos: incumplimiento de los principios del GDPR, violación de derechos, incumplimiento de requisitos en transferencias internacionales de datos y/o incumplimiento de la resolución de la Autoridad de Control pertinente (La AEPD en España).

Sanción: hasta 20.000.000 € o un 4% de los ingresos anuales declarados el último año fiscal.

¿Qué puedo ir haciendo en mi empresa?

La lista de tareas que se pueden ir llevando a cabo está basada en el propio GDPR y en las diferentes guías y herramientas que ha ido publicando la Agencia Española de Protección de Datos.

images

  1. Realizar una Evaluación de Impacto sobre la Privacidad de los datos de los usuarios.

Identificar si mi empresa está en un sector de riesgo

Tenemos que descartar que nuestra entidad, esté en un sector de alto riesgo según el tipo de datos personales y tipo de tratamientos.

Los sectores más comprometidos podrían ser los siguientes: Sanidad, Solvencia patrimonial y crédito, Generación y uso de perfiles, Actividades políticas, sindicales o religiosas, Servicios de telecomunicaciones, Seguros, Entidades bancarias y financieras, Actividades de servicios sociales, Publicidad o Vídeo vigilancia masiva.

Hacer un inventario de los datos que maneja mi empresa y clasificarlos por categorías

Tendremos que distinguir los datos personales de los que no lo son y los datos personales normales de las categorías especiales de datos personales.

Los datos especialmente sensibles y protegidos a los que nos referimos son:

Datos que revelen origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos o biométricos, salud física o mental, vida u orientación sexual, condenas o infracciones penales y geolocalización.

Hacer una lista de todos los tratamientos de datos, según su finalidad

Hay que saber en qué tipo de tratamientos se utiliza cada uno de los datos personales y cuál es la finalidad de los mismos, todo con el fin de conocer el grado de riesgo.

Los tratamientos de datos se podrían abarcar en los enumerados a continuación:

Hacer o analizar perfiles, hacer publicidad y prospección comercial masiva a potenciales clientes, explotación de redes públicas, proveedor de servicios de internet, gestión de asociados o miembros de partidos políticos, gestión de asociados o miembros sindicatos, gestión de asociados o miembros de iglesias o comunidades religiosas, gestión de otras entidades políticas, sindicales, religiosas o filosóficas, gestión, control sanitario o venta de medicamentos e historial clínico o sanitario.

Comprobar que se tiene consentimiento expreso y específico

Para poder no sólo tratar, sino incluso tener un dato personal, se debe tener el consentimiento expreso (no tácito) y específico en cada uso por parte del titular.

 Comprobar que ese tratamiento está amparado por un interés legítimo o general

En el caso de que no se tenga el consentimiento expreso y específico del titular, sólo se podrán tener y tratar los datos si existe un interés legítimo o base legal.

Comprobar que se ha informado a los titulares de los datos

El reglamento aumenta el deber de información y transparencia de los responsables de los tratamientos de datos hacia los titulares de dichos datos.

Garantizar el ejercicio de los derechos de los titulares sobre sus datos

El GDPR aboga por respetar y garantizar derechos de los titulares de los datos como: acceso, rectificación, cancelación, oposición, portabilidad o limitación.

Podemos continuar con tareas como:

  1. Implantar las medidas de seguridad, organizativas y tecnológicas y las metodologías más adecuadas para disminuir los riesgos identificados y plasmarlo en un documento de seguridad.
  2. Formación a personal interno en material de seguridad y tratamiento de datos.
  3. Firmar nuevos contratos de confidencialidad con proveedores externos, que además, tienen la obligación presentar sus propias auditorías de riesgo para poder acceder a los datos.
  4. Nombrar a un Delegado de Protección de datos (DPO) para supervisar que cumples con todos los requisitos, aunque no todas las empresas (especialmente, las PYMEs) están obligadas o tienen capacidad de nombrar un DPO.

Si se detecta cualquier tipo de violación en la seguridad, hay que notificarlo a la AEPD para que traten de ayudar a solventar esa brecha de seguridad.

 

¿En qué beneficia el GDPR a las empresas?

europe

Ante la necesidad de adaptar la empresa a una nueva normativa, más aún, con el riesgo de sufrir sanciones cercanas al 4% de los ingresos anuales, se presenta una gran oportunidad para gestionar mejor la información de la empresa.

Tratando todos los datos de los usuarios con la debida seguridad y normativa, estas entidades además de estar amparadas por la ley y la confianza de los usuarios, podrán ejecutar campañas de Big Data muy potentes y efectivas para su negocio.

¿Está tu empresa preparada para el nuevo reglamento GDPR? ¿Qué crees que pasará cuando entre en vigor el próximo 25 de mayo?

Fuentes:

Agencia Española de Protección de Datos

Comisión Europea\Protecciondedatos

Whitepaper RGPD DataCentric  

Deja un comentario