Protección de datos personales

Entendiendo el RGPD: Reglamento General de Protección de Datos

the gdpr el rgpd tenfold

El RGPD o Reglamento General de Protección de Datos es un reglamento aprobado por la Unión Europea el 27 de abril de 2016, aplicable desde el 25 de mayo de 2018. Oficialmente “Reglamento 2016/679”, el RGPD amplía y reemplaza la Directiva de Protección de Datos 95/46/CE de 1995 y representa el esfuerzo de la UE para sincronizar y armonizar las leyes sobre protección de datos de ciudadanos y residentes en todos sus estados miembros.

El RGPD se basa en la privacidad por defecto y desde el diseño, un conjunto de principios centrados en el usuario que toman en cuenta su privacidad desde el principio del tratamiento en lugar de en un momento posterior. A este respecto, es de destacar la capacidad que el RGPD atribuye a los usuarios para exigir responsabilidad a las organizaciones que puedan manipular indebidamente sus datos personales.

Para lograr esto, el RGPD obliga a implementar nuevos procesos de manejo de la información que están orientados al usuario y a los que las empresas de la UE ya se están viendo obligados, sin mencionar que estarán sujetas a sanciones significativas en caso de incumplimiento.

El texto completo del RGPD consta de 88 páginas. Tiene 173 considerandos y 99 artículos, que se aplican de forma universal a todos los Estados miembros de la UE. A continuación te mostramos las disposiciones clave de esta norma, que constituyen la esencia de lo que la ley implica y de cómo afecta al almacenamiento y recuperación de datos de todas las entidades de la UE.

A quién protege la ley

Hay un poco de confusión cuando se trata de quién cae bajo los auspicios protectores del RGPD. El término “persona física” aparece con frecuencia en todo el texto, y aun siendo evidente que se refiere a los ciudadanos de la UE, en realidad se extiende a más personas que a las simplemente residentes.

Excluyendo expresamente los datos de las personas jurídicas, quedan cubiertos bajo el término de “interesado” los datos de todos los seres humanos nativos, residentes o que se encuentren dentro de la UE. Los derechos de los interesados para controlar e incluso eliminar completamente sus datos se encuentran en el corazón del RGPD.

Cómo define el RGPD los datos personales

El RGPD define los datos personales de manera bastante simple: información (“datos”) que se puede utilizar para identificar a una persona física (“interesado”). Esto parece evidente a simple vista y, de hecho, hay ciertos elementos relacionados con la identidad que caen fácilmente dentro de esta definición, como el nombre, el número de identificación, o la dirección, entre otros. Pero en la era en que vivimos, caracterizada por tecnologías sofisticadas de seguimiento de datos en línea, el volumen de datos identificables de la persona que son transmisibles se ha disparado (al menos en opinión de la UE) y con ello, la cantidad de puntos de contacto con la privacidad potencialmente disponibles para corporaciones y organismos gubernamentales.

Esta lista masiva incluye, entre otros, identificadores en línea como direcciones IP, cuentas de redes sociales, direcciones de correo electrónico, números de cuentas, cookies del navegador, y más. Una de las causas de todo esto son los identificadores indirectos, como una fecha, una localización, o incluso un título, que a pesar de no identificar a un individuo directamente, pueden no obstante servir para averiguar la identidad de un individuo cuando se usan conjuntamente

Puedes encontrar más información acerca de este amplio concepto aquí.

Datos personales vs datos personales sensibles: ¿Cuál es la diferencia?

Simplificando, los datos personales sensibles son más o menos un subconjunto de datos personales “datos especiales”. Sin embargo, como su nombre indica, los datos personales sensibles son información que no está tan objetivamente verificada como los datos personales estándar. Por ejemplo, una dirección postal o la fecha de nacimiento de un interesado se pueden verificar de forma independiente y objetiva. Según el RGPD, se trata de datos personales, pero no es información “sensible”. Otra forma de pensar en datos sensibles es como información “privilegiada”, i.e. datos que deben ser comunicados por el sujeto mismo.

Algunos ejemplos de datos personales sensibles incluyen:

  • Origen racial o étnico
  • Creencias religiosas
  • Datos genéticos
  • Afiliación sindical
  • Información biométrica
  • Datos de salud
  • Orientación sexual
  • Datos relacionados con la vida sexual de la persona

El objetivo del RGPD no es restringir por completo el tratamiento de datos personales, sino solo eliminar aquellas situaciones en que los datos son tratados sin el consentimiento total y claro del interesado u otra base legal. En cualquier caso, el RGPD establece que los datos deben tratarse de manera transparente y justa en todo momento. Esto suena simple a primera vista, pero desafortunadamente para los responsables que manejan datos personales, hay una serie de requisitos en el RGPD que revelan la dificultad que implica.

Al menos uno de los siguientes requisitos debe cumplirse para tratar legalmente datos personales:

  • Consentimiento válido del interesado
  • Ejecución de un contrato acordado o como paso preliminar del mismo
  • Cumplimiento legal en nombre del responsable
  • Protección de los intereses vitales del interesado o de otra persona
  • Tareas realizadas en interés público o con causa en los poderes públicos otorgados al responsable
  • Tareas realizadas en los intereses legítimos del responsable o de un tercero a menos que prevalezcan los derechos y libertades del interesado, especialmente los niños

Aunque no es muy divergente de lo anterior, las normas para el tratamiento lícito de datos personales sensibles están, no obstante, más estrechamente limitadas a al menos uno de los siguientes (algunos de los cuales se duplican a partir de datos personales):

  • Consentimiento explícito del interesado
  • Es necesario para las obligaciones con respecto al Derecho laboral, protección y  seguridad social
  • Protección de los intereses vitales del interesado cuando el sujeto es incapaz de dar el consentimiento, ya sea física o legalmente
  • Tratamiento de datos pertenecientes a miembros o ex miembros de y por una entidad sin fines de lucro con afiliación política, filosófica, religiosa o sindical; estrictamente prohibido divulgar dichos datos a terceros
  • Datos hechos públicos por el interesado
  • Necesario para reclamaciones legales
  • Tareas realizadas en interés público
  • Administrar medicina preventiva o laboral, evaluar la capacidad de trabajo del trabajador, el diagnóstico médico, la salud o la asistencia social
  • La salud pública como un interés público, incluida la protección contra amenazas transfronterizas para la salud o para garantizar elevados niveles de atención médica, medicamentos o dispositivos médicos
  • Para fines de almacenamiento de datos, consulta y estadísticas

el rgpd tenfold

¿Qué es un responsable del tratamiento?

Según la jerga del RGPD, un responsable es la entidad -persona física, jurídica, entidad legal, agencia pública, autoridad o similar- que toma la decisión sobre por qué se tratan los datos personales. Los responsables especifican qué datos se recopilarán, qué categorías de datos se incluirán, el tiempo necesario para almacenar los datos… Y no solo eso, sino que un responsable determina además si el interesado debe ser avisado de que sus datos personales están a punto de ser tratados ​​o si el consentimiento del sujeto es necesario con anterioridad.

En la misma línea, los responsables son con quienes más a menudo los interesados entrarán directamente en contacto. Como la “cara” pública del tratamiento de datos, los responsables son los encargados de garantizar controles estrictos sobre cómo se gestiona la información de la persona. Además de proteger la confianza y la privacidad del interesado, el responsable debe garantizar el cumplimiento del RGPD en todo momento.

Pero así como el interesado no necesita ser un ciudadano de la UE, tampoco el responsable debe estar establecido en la UE. Los responsables pueden estar en cualquier parte del mundo; siempre que se dediquen al tratamiento de datos de personas físicas que se encuentren o sean de la UE, estarán sujetos a las directrices del RGPD. Los mejores ejemplos de esto provienen de los gigantes de las redes sociales como Facebook y Twitter; los motores de búsqueda como Yahoo!, Bing y Google; o puntos de venta minorista como Amazon, eBay y más. A pesar de tener su sede en los EE.UU., estas compañías deben cumplir con los requisitos del RGPD o arriesgarse al no cumplimiento.

Para hacer las cosas un poco más complicadas, los responsables que no estén establecidos dentro de la UE deben designar a un representante de dentro de la UE para ayudar a tratar los datos de una manera satisfactoria con el RGPD. A tal fin, el representante debe coordinarse con el organismo gubernamental de ese país encargado de supervisar el cumplimiento del RGPD, la autoridad de protección de datos. Es más o menos un sistema de control y supervisión para evitar que las naciones no pertenecientes a la UE traten los datos maliciosamente.

¿Qué es un encargado del tratamiento?

Mientras que los responsables supervisan el porqué y qué pasa con el tratamiento de datos personales, los encargados son las entidades designadas por el responsable para realizar el tratamiento en sí. El encargado puede ser una persona física, una entidad legal, una agencia pública, una autoridad o similar y, como con los responsables, también puede estar establecido fuera de la UE. Independientemente de la ubicación o del tipo de entidad, el resultado final sigue siendo el mismo: siempre que el encargado esté gestionando datos personales pertenecientes a una persona física dentro de un estado miembro de la UE, el RGPD seguirá siendo aplicable.

En lugar de microadministrar todas las tareas relacionadas con el tratamiento, los responsables pueden optar por confiar en los sistemas y la seguridad de los datos del encargado. Sin embargo, los responsables son, valga la redundancia, los responsables últimos de asegurarse de que esto suceda.

¿Qué es una Autoridad de control?

El RGPD exige a cada miembro de la UE que organice una autoridad de control, o “autoridad de protección de datos” ​​cuyo principal deber consiste en controlar que el reglamento se aplique fielmente. El RGPD declara en términos inequívocos que la regulación debe aplicarse de manera coherente dentro de cada estado miembro de la UE. Para que esto sea una realidad, las autoridades de protección de datos tienen el mandato de cooperar entre sí cuando se trata de la libre circulación de los datos. Los países miembros pueden organizar múltiples autoridades de protección de datos, pero uno debe ser elegido como representante ante el Comité Europeo de Protección de Datos (CEPD). También se requiere de la misma autoridad de protección de datos garantizar que las otras autoridades estén cumpliendo el RGPD.

¿Qué es un Delegado de Protección de Datos?

El RGPD requiere un Delegado de Protección de Datos (DPD) para administrar e implementar las políticas de protección de datos de una organización. Esto se aplica a cualquier entidad que trate niveles extremos de datos personales, y no necesariamente se aplica solo a clientes o usuarios; cualquier organización con una carga significativa de datos, incluso si es para sus propios empleados, está obligada a elegir a un DPD.

Cada DPD estará a cargo de formar a su entidad matriz, en todos los niveles jerárquicos, sobre los requisitos para cumplir con la normativa. Aparte, el DPD también realiza capacitación para los miembros de la plantilla que participan directamente en el tratamiento de los datos personales, audita rutinariamente la seguridad de los datos de la organización y recomienda correcciones en consecuencia. Además, los DPD también se ponen en contacto con las autoridades de protección de datos y hacen cumplir los planes de cumplimiento o “compliance” a la entidad, no solo con el RGPD, sino también con las leyes de los estados miembros.

Los interesados también pueden recurrir al DPD como principal punto de contacto. Como la “cara” pública de las actividades de tratamiento, los DPD tienen una gran cantidad de responsabilidades, todas con el objetivo de permanecer lo más predispuestas, transparentes y cercanas a los interesados como sea posible. Éstas incluyen:

  • Informar a los interesados de los fines para los que se utilizan sus datos
  • Proporcionar acceso a sus datos
  • Explicar las garantías adoptados por la compañía para asegurar sus datos
  • Divulgar la participación de terceros
  • Revelar la duración de la conservación de sus datos
  • Respetar el derecho del interesado a borrar sus datos
  • Cumplir con todas las solicitudes de datos de los interesados con puntualidad y/o dentro de un mes desde la recepción de la solicitud

Tomemos, por ejemplo, una empresa de seguridad que utiliza televisión de circuito cerrado para vigilar y monitorear áreas comunes o empresas privadas. Debido a que sus actividades principales constituyen una tarea pública, esta empresa necesitaría elegir a un DPD. Lo mismo es cierto para cualquier encargado que extraiga o trate datos mínimos, como los call center. En cambio, las entidades que proporcionan soporte auxiliar, como la confección de nóminas o el soporte de TI, no necesitan nombrar un DPD.

La cuestión de quién puede ejercer como DPD se deja en gran medida a la discreción de la entidad. El DPD puede ser interno o externo, y también pueden realizar otras tareas para la empresa. Sin embargo, pueden hacerlo con la condición de que su trabajo para la empresa y su trabajo como DPD no cree un conflicto de intereses.

Si bien el rol de DPD será diferente de una compañía a otra, hay algunas cualificaciones que el DPD debe cumplir. Las describe el RGPD e incluyen:

  • Pericia con la legislación de protección de datos, tanto nacional como europea
  • Conocimiento a fondo del RGPD
  • Comprensión completa de la estructura del tratamiento de datos de la organización
  • Ética e Integridad
  • Libertad para llevar a cabo sus tareas de forma independiente

el rgpd tenfold

Violaciones de seguridad

Tendemos a pensar en “violación de seguridad” en términos rígidos que denotan el robo de información confidencial de dentro de un sistema de seguridad de la información que de otra manera estaría resguardado. Con el RGPD, sin embargo, una violación de seguridad no comienza o termina en el robo, sino que es definida de forma mucho más amplia. Puede incluir la destrucción accidental o ilegal, la pérdida, el cambio, el acceso no autorizado o la divulgación de datos personales, cualquiera que sea el uso que se les esté dando. Una vez que se produce una violación, los responsables deben notificarla a la autoridad de protección de datos sin “dilación indebida” o dentro de 72 horas. Esta deadline es válida tanto si la violación fue descubierta por el responsable como por el encargado, aunque es obligación del responsable notificar a la autoridad de control.

Los responsables deben notificar al interesado que sus datos se han visto comprometidos; es lo que se conoce como notificación individual. A pesar de la minuciosidad legislativa del RGPD, no se exige la notificación individual si se cumplen ciertas condiciones, por ejemplo, si los datos estaban anonimizados.

El derecho de supresión

El derecho de supresión es el derecho al olvido de la UE, o el derecho de un interesado a que sus datos personales sean borrados por completo. Un interesado puede invocar su derecho de supresión en cuatro escenarios:

  • La finalidad inicial para tratar los datos ya no existe
  • El interesado retira su consentimiento
  • El interesado solicita el borrado por un incumplimiento del RGPD o una violación de seguridad
  • Razones legales

Minimización de datos

La minimización de datos es uno de los principios más importantes de la privacidad por defecto y desde el diseño exigida por el RGPD y, como su nombre indica, se trata de minimizar la cantidad de datos que se recopilan, procesan y archivan. Los responsables están obligados a recabar solo la cantidad de datos personales que sean necesarios para realizar la tarea requerida y reservar dichos datos exclusivamente para la tarea en cuestión, es decir, no migrar datos personales de la Tarea A a la Tarea B a menos que el interesado haya dado su consentimiento.

Siguiendo otros principios similares establecidos en el RGPD, la minimización de datos requiere de los responsables que limiten el tratamiento de los datos personales de los interesados de acuerdo a ciertas disposiciones. Concretamente, esto significa que solo podrán tratar los datos que sean relevantes, adecuados y necesarios para la finalidad con la que se recopilaron originalmente. Cualquier tratamiento que vaya más allá de esto infringe el RGPD y expone la entidad a sanciones.

Derecho de rectificación

La privacidad desde el diseño y por defecto puede estar en el corazón del RGPD considerado en su conjunto, pero parte del paquete es el derecho de los interesados ​​a impedir el tratamiento de datos inexactos o incompletos. Pueden hacerlo solicitando al responsable que rectifique sus datos, ya sea corrigiendo información falsa, completando los datos que falten o modificando datos con una declaración aclaratoria. Los responsables deben responder a tales solicitudes de manera puntual o antes de que transcurra un mes desde la recepción.

Consecuencias del incumplimiento

Las consecuencias por no cumplir con el RGPD varían dependiendo de la transgresión y se pueden dividir según su gravedad. En función del imcumplimiento y aplicando criterios de proporcionalidad, las entidades pueden ser multadas por una cuantía de hasta el 4% de su facturación anual o 20 millones de euros.

Conclusión

Sin duda, el RGPD plantea muchos riesgos y nuevos desafíos para las entidades que globalmente tratan datos personales de residentes de la UE. Quizás aún más aterrador es que el impacto en los sistemas de obtención, procesamiento y registro no será completamente calculable hasta después de que el reglamento lleve un tiempo en aplicación, dejando a los responsables y encargados haciendo todo lo posible para mantenerse a flote, por así decirlo, y evitar multas por incumplimiento. Sin embargo, la compensación por implementar con éxito la regulación vale la pena. Los datos personales de los usuarios serán mucho menos propensos al abuso, traduciéndose en una confianza renovada y confianza por parte de los interesados, y un mayor compromiso entre todas las partes involucradas.

 


Esta es una versión adaptada y modificada del artículo original, de Dan Sincavage, Tenfold.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *