Quiero destacar con este artículo las dos principales novedades que nos aporta el recién estrenado Reglamento General de Protección de Datos (RGPD) y que desde mi punto de vista son:
1. Principio de Proactividad
Conocido como principio de accountability o principio de responsabilidad activa: no solo hay que cumplir, sino demostrar que se cumple.
Este principio es el que informa al responsable del tratamiento que debe aplicar las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
El principio de responsabilidad proactiva exige la aplicación de las medidas previstas por el RGPD debiendo adaptarse a las características de las organizaciones, refiriéndose a medidas técnicas y organizativas apropiadas, que aplicarán el responsable y el encargado del tratamiento para asegurar el nivel de seguridad adecuado al riesgo, o enfoque de riesgo como, por ejemplo:
* Seudonimización y cifrado de datos personales.
* Garantizar la confidencialidad, integridad, disponibilidad, resilencia permanente de los sistemas.
* En caso de incidente físico o técnico mantener la capacidad de restaurar la disponibilidad y el acceso a los datos.
* Proceso de verificación, evaluación y valoración de la eficacia de las medidas técnicas
* Evaluación adecuada sobre el Nivel de Seguridad respecto al Riesgo del Tratamiento.
2. Principio de Transparencia como consecuencia del primero
Las políticas de Protección de Datos Personales son una medida organizativa dirigida a garantizar y poder demostrar que el tratamiento de los datos personales se efectúa según lo previsto el RGPD.
Por ello, uno de los principales requisitos de la demostración, es la transparencia para con terceros interesados.
Es la propia proactividad del responsable o encargado del tratamiento la que genera confianza en los clientes desde la transparencia como un valor para tener en cuenta con respecto a lo que se hacía hasta el momento, pues el consentimiento tácito anterior era poco proclive a ninguna transparencia. Por ello me parece muy relevante destacarlo, pues debe de ser una herramienta para diferenciarse de los que no cumplan en el mercado.
Es imprescindible dar al interesado información de todo aquello que afecte al tratamiento de sus datos, con un lenguaje conciso, transparente, claro y sencillo, aclarando cualquier posible laguna que pudiera surgir.
He podido leer últimamente este artículo de Harvard Business Review:” los retos de los nuevos algoritmos, evitar los sesgos y cumplir el RGPD” y no es nada baladí que los propios algoritmos de búsqueda de las grandes plataformas (Google, Bing, Yahoo etc.) vayan a dar relevancia y prioridad a todas aquellas web, blogs etc. que estén actualizadas y cumplan con el RGPD. Con ello queda constancia de que esta regulación va mucho más allá de las fronteras de la Unión Europea.
Que ocurra esto en los algoritmos es trascendental para el mundo de los negocios, las empresas y todo tipo de plataformas digitales, pues estar en las primeras posiciones en las búsquedas de estos motores es vital para que nos encuentren nuestros clientes digitales y no afecte a la eficiencia y productividad del negocio.
Otras novedades que complementan estos principios
Sin perder de vista las pequeñas modificaciones a los requisitos que ya preveía la Ley Orgánica de Protección de Datos (LOPD) y su Reglamento, llegan nuevas medidas que nos harán ver otras perspectivas, destacando las siguientes:
- Protección de datos desde el diseño y por defecto, también denominado Principio de Completa Funcionalidad desarrollado por Ann Cavonkian de Ontario (Canadá) o “Privacy by Design”, que busca el equilibrio y la convivencia entre todos los intereses y objetivos legítimos en juego desde el paradigma Win – Win y no a través de un enfoque cerrado de suma cero.
- Se incluyen nuevos tipos de datos como categorías especiales: genéticos y datos biométricos junto a los previsto por la LOPD.
- Todo gira alrededor del consentimiento que ya no cabe que sea tácito o por omisión, sino que debe obtenerse mediante una declaración previa, inequívoca e informada o analizando si el tratamiento de datos se fundamenta en una base legal, como el interés legítimo. Por supuesto cabe la revocación del consentimiento de una forma sencilla y gratuita.
- La información es un derecho de las personas afectadas conformado dentro del principio de transparencia y amplía las cuestiones sobre las que se debe informar, siempre facilitando el acceso a dicha información.
* Base jurídica del tratamiento
* Finalidad del tratamiento
* Transferencia internacional de datos
* Tiempo de conservación de los datos.
* Información sobre el ejercicio de derechos de los usuarios
Aquí nos situamos en el ámbito de la experiencia de usuario y de la usabilidad de las plataformas digitales, puesto que no cabe dificultar el acceso y conocimiento de toda esta información.
- Se incorporan nuevos derechos como el derecho al olvido, vinculado al derecho de supresión, el derecho a la limitación del tratamiento y el derecho a la portabilidad.
- Los responsables y encargados del tratamiento deben facilitar a los interesados el conocimiento y el ejercicio de sus derechos mediante procedimientos visibles, accesibles y sencillos.
- Los responsables llevarán a cabo un Registro de actividades de tratamiento previsto en el artículo 30 del RGPD, no siendo necesario la inscripción de ficheros en la Agencia Española de Protección de Datos (AEPD). Se exceptúan de esta obligación los responsables o encargados del tratamiento que cuenten con menos de 250 trabajadores y que lleven a cabo tratamientos que no puedan suponer un riesgo -salvo que sea ocasionalmente-, para los derechos y las libertades de las personas interesadas, y que no incluyan categorías especiales de datos personales, o datos personales relativos a condenas e infracciones penales
- En la esfera del principio de proactividad se regulan los códigos de conducta que pueden promover las asociaciones y otros organismos representativos de categorías de responsables del tratamiento o encargados del tratamiento para la correcta aplicación del Reglamento, presentados y autorizados por la autoridad de control (AEPD).
- Como novedad importante crea la figura del Delegado de Protección de Datos, que podrá formar parte de la plantilla del responsable o encargado o actuar en el marco de un contrato de servicios externo. Se crea un procedimiento de certificación de los DPD, siendo este voluntario, siempre será recomendable por los altos estándares de conocimientos que hay que demostrar para obtener el certificado. Apostar por profesionales certificados entra dentro del principio de proactividad y por supuesto es positivo para la organización en cualquier auditoría, es una decisión que suma.
- Si se produce una violación de la seguridad, que es cuando se ocasiona destrucción, pérdida o alteración accidental o ilícita de dados, el responsable debe notificarlo a la autoridad de control sin dilación indebida en un plazo máximo de 72 horas.