El nuevo Reglamento General de Protección de Datos está planteando en las tiendas algunas dudas y preguntas que desde FECE queremos ayudaros a esclarecer:
1.- ¿Cuáles son los principales cambios respecto de la situación anterior?
El RGPD, que comenzará a aplicarse el 25 de mayo de 2018, supone un cambio del modelo tradicional hacia un modelo más dinámico, adaptado a la transformación tecnológica que se está produciendo en el ámbito del tratamiento de la información personal y enfocado en la gestión de los riesgos potenciales asociados al tratamiento. Con esta finalidad, el Reglamento incorpora el principio de responsabilidad activa de quienes tratan datos personales, de forma que puedan determinar qué medidas son adecuadas para proteger los datos y los derechos y libertades de las personas.
En concreto: ya no vale tener registradas las bases de datos y olvidarse. Hay que tener adaptados los sistemas para recabar los consentimientos necesarios y actualizarlos, además de analizar y acotar los riesgos.
2.- ¿Cómo puedo hacerlo?
- a) Contratando consultoría sobre RGPD.
- b) Haciéndolo internamente, con arreglo a las directrices que la Agencia de protección de datos pone a disposición de las pymes. Por ejemplo, para entidades que tratan datos de escaso riesgo*, la Agencia ya ofrece Facilita_RGPD, un cuestionario online gratuito con el que empresas y profesionales pueden obtener los documentos mínimos indispensables para ayudar a cumplir con el Reglamento.
Esas plantillas incluyen los requerimientos básicos marcados por el RGPD, como el registro de actividades de tratamiento, la cláusula informativa, las cláusulas que deberían incluirse si la empresa contrata con un encargado del tratamiento (una gestoría, por ejemplo) y un anexo con las medidas de seguridad mínimas.
- c) FECE ofrece un convenio que ha acordado con LANT Abogados con arreglo a la información ya enviada y que está a disposición de los asociados en la página web.
3.- ¿Qué es lo primero que tengo que mirar?
Las bases de datos, la información y el consentimiento. Y también cómo esta articulado el sistema que archiva todo ello. Las bases de datos tienen que estar actualizadas y contar con un mayor nivel de protección frente a posibles ataques que pongan en riesgo la confidencialidad de los datos de los usuarios. En nuestro caso, normalmente son datos de clientes y en el caso de venta on line, los que se registren vía web. En este caso, estos formularios deben actualizarse para que los clientes vayan aceptando el tratamiento de sus datos de acuerdo a la nueva norma. La falta de actualización periódica de la base de datos de nuestros ficheros puede dar lugar a cuantiosas multas por un simple error, como es un número de teléfono equivocado.
OJO: Si tengo contrato con un encargado de tratamiento, por ejemplo una gestoría que me hace la nómina, etc, tengo que adaptar estos contratos a la nueva norma.
4.- ¿Qué pasa con el consentimiento?
Uno de los principales cambios es la obtención del consentimiento. Ahora se permite el consentimiento tácito. Desde mayo, ya no. El consentimiento tiene que ser explícito.
Por ejemplo, en el e-commerce hay que realizar cambios sustanciales en los formularios e introducir casillas de verificación para cada tratamiento de datos en las que el usuario pueda marcar su consentimiento.
Se exige una “clara acción afirmativa”, es decir, exigiendo expresamente una acción positiva y sin dejar lugar a la posibilidad de consentimiento tácito. Además, la norma añade: “Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.” Y “cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos”.
5.- Si tengo el consentimiento, ¿debo volver a recabar este consentimiento otra vez de mis clientes?
Para que el consentimiento sea lícito, es necesario que se cumpla cualquiera de los siguientes requisitos:
- Que exista el consentimiento del interesado para el fin específico. Es decir, que un fin adicional de tratamiento, como ocurre por ejemplo en la elaboración de perfiles a efectos de elaborar ofertas personalizadas para el afectado, requeriría un consentimiento adicional como una marcación de casilla extra.
- Que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte, por ejemplo cuando compra on line un producto.
- Otros, menos aplicables a nuestro sector, como que sea necesario para el cumplimiento de una obligación legal o para proteger intereses vitales, etc.
El problema se plantea en aquellos consentimientos obtenidos de forma irregular ¿deberán recabarse nuevamente? Dado que “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”.
Antes se aplicaba la excepción establecida en el artículo 2.2 RLOPD que permitía no aplicar el reglamento de protección de datos a los tratamientos de datos referidos a personas jurídicas, o a personas físicas cuando los datos fuesen únicamente su nombre y apellidos, las funciones o puestos desempeñados, así como la dirección postal o electrónica, teléfono y número de fax profesionales.
Ahora, habrá que ver caso a caso si los requisitos se cumplen para la ejecución de un contrato, como vimos arriba (que el tratamiento sea necesario para la ejecución de un contrato) para no encontrarnos con la situación de tener que volver a recabar datos que ya tenemos.
6.- ¿Y el deber de información?
Se amplía sustancialmente. Ahora es necesario al recoger el consentimiento del usuario, informarle de la persona responsable del fichero, de la existencia de los ficheros inscritos en el Registro General de Protección de Datos, de la finalidad de la recogida de los datos y de la posibilidad de ejercitar los Derechos ARCO (acceso, rectificación, cancelación y oposición).
Desde mayo de 2018, además de estos datos, el Reglamento exige la obligación de informar sobre la base legal para el tratamiento de los datos, acerca del periodo de conservación, así como la posibilidad de hacer reclamaciones, del derecho al olvido…
También cambiará sustancialmente la elaboración de perfiles y segmentación de clientes. Hasta ahora, cuando un usuario compraba en un portal de internet, solía cumplimentar un formulario con una política de privacidad, por lo que era lícito utilizar esos datos para realizar campañas de e-mailing promocionando ofertas vinculadas al portal. Desde mayo, para realizar este análisis de perfiles se necesita el consentimiento expreso del usuario, al mismo tiempo que se le informa del uso que se hará de esa información de sus datos.
7.- ¿Qué es el delegado de protección de datos? ¿Lo necesito?
Solo algunas empresas van a necesitar esta figura, que es independiente y debe tener su propio presupuesto. El RGPD obligará a muchas empresas a nombrar a un delegado de protección de datos (DPO) para ayudar a supervisar los esfuerzos de su cumplimiento. Pero solo están obligadas a la designación obligatoria de un Delegado de Protección de Datos (DPD) en el caso de autoridades y organismos públicos, entidades que realicen una observación habitual y sistemática de las personas a gran escala, y entidades que tengan entre sus actividades principales el tratamiento, también a gran escala, de datos sensibles. Por tanto, en principio, no nos afecta.
8.- ¿Qué es el análisis de riesgo? ¿Tengo que hacerlo?
El RGPD establece que las organizaciones que tratan datos personales deben realizar un análisis de riesgos con el fin de establecer las medidas que sean necesarias para garantizar los derechos y libertades de las personas. En aquellos casos en los que los tratamientos impliquen un riesgo alto para la protección de datos, el RGPD dispone que esas organizaciones están obligadas a realizar una evaluación de impacto.
9.- En nuetro caso, ¿hay riesgo alto? ¿Tengo que realizar evaluación de impacto?
No parece que nos afecte en nuestro caso. Hay que realizar una evaluación de impacto si el tratamiento de datos puede implicar un alto riesgo para los derechos y libertades de las personas físicas. Se debe evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. ¿Y cuándo hay alto riesgo? Cuando el tratamiento:
- Implique una “evaluación sistemática y exhaustiva de aspectos personales”, con base tecnológica, como la elaboración de perfiles, sobre cuya base se tomen decisiones que produzcan efectos jurídicos para los interesados.
- Tratamiento a gran escala de datos sensibles, que ahora se redefinen como: la raza, la ideología o creencias, los datos genéticos, datos biométricos identificativos, datos de salud, vida u orientación sexual y condenas e infracciones penales.
- La observación sistemática a gran escala de una zona de acceso público.
Por último, algunas falsas creencias sobre la nueva regulación:
1.- El RGPD solo afecta a empresas de la Unión Europea.
FALSO: afecta a todas las que procesan información de ciudadanos de la UE, haciendo de esta la primera ley mundial de protección de datos.
2.- Todos los incidentes de seguridad deben ser reportados en menos de 72 horas.
FALSO: solo las filtraciones de datos personales deben ser reportadas; pero no es obligatorio en el caso de incidentes de seguridad o filtraciones de datos que no sean de carácter personal. Además, el plazo límite de 72 horas no empieza cuando ocurre el incidente, sino cuando la empresa es consciente de que ha ocurrido.
3.- Debemos cifrar todos los datos para cumplir con el RGPD .
FALSO: No es necesario salvo en datos sensibles, como datos médicos. Si no, basta con implementar medidas que provean de un nivel de seguridad apropiado, basado en una evaluación del riesgo.
4.- Los datos personales que ya tenemos en nuestra base de datos no están sujetos al RGPD.
FALSO: Todos los datos personales de los usuarios (excepto los fallecidos) han de cumplir con la regulación, independientemente de la fecha de recogida de dichos datos.
5.- Los datos los almacena mi proveedor de cloud o la empresa con la que he contratado el tratamiento de los datos, así que es responsabilidad suya cumplir con el RGPD.
FALSO: Aunque utilicemos un servicio de terceros para almacenar la información, mi empresa seguirá siendo responsable de cumplir con el RGPD. Si contratamos a una empresa externa para que almacene los datos, nuestra empresa pasaría a ser el controlador, o controlador y además procesador, mientras que el servicio de cloud constituiría un papel único de procesador. Pero ambos estamos dentro del ámbito de aplicación del nuevo reglamento.
6.- El RGPD solo afecta a la información de identificación personal.
FALSO: El RGPD ha ampliado sustancialmente dicha definición de datos personales. Así, ahora deberemos aplicar la normativa a la información recogida sobre personas, a los identificadores online o, incluso, a las direcciones IP, ya que ahora son considerados como datos personales. Otros datos, como la información económica, cultural, genética o de salud mental, también se consideran información de identificación personal.
* datos personales de escaso riesgo son, por ejemplo, datos personales de clientes, proveedores o recursos humanos.