El 'Día D' ha llegado: qué pasa a partir de hoy con nuestros datos personales en manos de las empresas
- El Reglamento General de Protección de Datos entra hoy en vigor en toda la UE
- Garantiza el derecho al olvido, así como los de acceso y oposición al uso de datos
- Afecta a entidades que traten datos de empleados, clientes o proveedores
- Su incumplimiento puede acarrear multas millonarias para infracciones graves
¿Qué se consideran datos personales?
Toda la información relativa a una persona física viva identificada. Pueden incluir nombre, dirección y número de teléfono, ubicación, registros sanitarios, ingresos e información bancaria, preferencias culturales, etc.
Si los datos son sobre salud, raza, orientación sexual, creencias religiosas o políticas o afiliación sindical, se consideran datos sensibles.
Bancos, compañías telefónicas y energéticas, comercios de ropa o revistas a las que estamos suscritos: todos los servicios con los que mantenemos o hemos mantenido contacto en alguna ocasión nos bombardean en los últimos días con correos electrónicos para informarnos de que han actualizado su política de privacidad y gestión de datos. También el médico, el colegio de los niños o la carnicería de la esquina que tiene nuestra dirección para enviarnos ofertas nos pedirán que rellenemos formularios para actualizar nuestro consentimiento para almacenar y utilizar nuestros datos personales.
Todo este enorme movimiento se debe a que hoy entra en vigor la mayor regulación de protección de datos de los últimos 20 años en la UE, y ese cambio afecta a prácticamente todas las empresas e instituciones de los 28 países europeos.
Se ha bautizado como Reglamento General de Protección de Datos (RGPD) y contiene nuevas obligaciones para todas las empresas y organizaciones que usen datos de empleados, clientes o proveedores, con independencia de su tamaño y del volumen de datos que maneje. Si las entidades no lo cumplen, se pueden enfrentar a un proceso sancionador que puede incluir multas de hasta 20 millones de euros para las infracciones más graves.
En un momento clave del desarrollo de nuevas tecnologías basadas en el tratamiento y el aprovechamiento de datos personales de los ciudadanos, la Unión Europea ha elaborado una normativa única para sus 28 miembros que eleva a la máxima potencia la protección de la privacidad y los datos de los ciudadanos, en un momento crítico, con casos muy recientes de filtraciones masivas de datos personales como los reconocidos por Facebook y Twitter.
Atención a emails y formularios
Uno de los principales cambios que trae la nueva ley es que, a partir de ahora, las empresas e instituciones necesitarán el consentimiento expreso e inequívoco de usuarios, clientes y consumidores para gestionar sus datos. Deberán autorizar tanto la recolección como el almacenaje, y el permiso debe ser específico para cada uso que la entidad vaya a hacer.
Por eso, hay que ver con atención los emails y formularios que nos pidan rellenar, ya que algunos sólo comunican el cambio de la política de datos, pero otros piden que se ratifique el permiso y, si no lo hacemos, nos eliminarán de las listas y bases de datos.
Entre los derechos que podrán exigir los ciudadanos destacan el derecho al olvido; el derecho a reclamar información clara y sencilla sobre qué datos tiene una empresa u organización, para qué los usa y quién los maneja; el derecho a la portabilidad de datos de un proveedor de servicios a otro, o el derecho a exigir que se revisen las decisiones automatizadas tomadas con sus datos.
Deberá ser tan fácil darse de baja de un servicio como lo fue apuntarse a él
Para ejercer esos derechos, los usuarios deben dirigirse a la empresa, plataforma o institución en cuestión, que tendrá la obligación de facilitarles la información que deseen o, en su caso, darles de baja del servicio sin ponerles ningún tipo de problema. Según la nueva ley, deberá ser tan fácil darse de baja como lo fue apuntarse en su momento al servicio.
Las nuevas tecnologías -como la comunicación sin hilos, la expansión de Internet de las Cosas, la creciente aplicación de cruces masivos de datos o big data, el procesamiento de datos sensibles, el tratamiento de datos biométricos (huellas digitales o reconocimiento facial) o la geolocalización en redes sociales- están generando nuevos riesgos. Por eso, la UE asegura que con esta normativa -compleja y muy amplia- pretende cubrir todos esos riesgos sin coartar su desarrollo.
La nueva norma es tecnológicamente neutra, es decir: protege los datos personales independientemente de la tecnología utilizada. Así, se aplica tanto cuando se usa un sistema informático complejo como archivos en papel.
Sanciones de hasta el 4% de la facturación global
Las obligaciones fijadas en el RGPD afectan a todas las empresas, organizaciones o instituciones con sede en la UE que recaben y procesen datos de carácter personal, desde un ultramarinos con lista de proveedores hasta una multinacional con miles de registros de clientes, empleados y contactos.
Al contrario de lo que ocurría hasta ahora, también se aplica a aquellas entidades localizadas fuera de los Veintiocho que ofrezcan bienes y servicios a ciudadanos europeos y manejen sus datos personales.
Además, las entidades afectadas por el reglamento deberán adoptar medidas de seguridad adicionales para garantizar la privacidad de los datos que gestionen, sobre todo, si tratan datos sensibles, para los que se puede exigir el encriptado.
También tendrán la obligación de notificar cualquier violación o hackeo de datos personales que sufran en un plazo máximo de 72 horas tras haber tenido constancia de ella.
Si las empresas no cumplen la nueva normativa, los particulares y las organizaciones de protección de datos podrán denunciarlas ante las autoridades de control -en España, la Agencia Española de Protección de Datos-, que en las infracciones más graves podrán imponer sanciones de hasta 20 millones de euros o el equivalente al 4% de la facturación anual global de la empresa.
En casos más leves, la autoridad puede advertir, amonestar o imponer medidas correctivas adicionales, como ordenar el cese del tratamiento de datos personales.
Obligaciones de las empresas para proteger derechos individuales
- A partir de ahora, una empresa solo podrá tratar datos personales en determinadas condiciones: ese procesamiento debe ser “justo y transparente”, tener un fin especificado y legítimo, y limitarse a recopilar exclusivamente los datos necesarios para cumplir dicho fin. Tendrá que borrar los datos cuando ya no los necesite.
- La recogida de datos tiene que cumplir al menos una de las siguientes bases jurídicas:
1. el consentimiento de la persona a quien pertenecen los datos
2. una obligación contractual entre la entidad y el interesado (por ejemplo, cuando tu empresa de telefonía incluye en contrato la petición de dirección postal para poder enviarte las facturas)
3. el cumplimiento de una obligación legal (por ejemplo, los datos de registro censal)
4. la protección de los intereses vitales del interesado (por ejemplo, cuando el centro de salud te solicita tus antecedentes de enfermedades familiares)
5. la realización de una misión de interés público (por ejemplo, cuando la Agencia Tributaria recopila tus datos fiscales para el IRPF)
6. la satisfacción de los intereses legítimos de una empresa (por ejemplo, cuando usan los datos para enviarte sus promociones o productos), aunque en este último caso, “solo tras haber comprobado que los derechos y libertades fundamentales de la persona cuyos datos estén tratando no se vean afectados significativamente”. Según el RGPD, si esos derechos individuales se ven perjudicados, la empresa no podrá tratar los datos de esa persona.
- El reglamento obliga a las entidades a obtener un consentimiento claro, específico e inequívoco de las personas para recopilar y tratar sus datos personales. Ese consentimiento debe recogerse en una solicitud específica mediante un acto afirmativo, como el marcado de una casilla o la firma de un formulario.
- Cuando alguien consiente el tratamiento de sus datos personales, la empresa o entidad sólo podrá tratarlos para los fines para los que se haya dado el consentimiento.
- Con el derecho al olvido, una persona podrá retirar su consentimiento en cualquier momento. Si sus datos ya no son necesarios o han sido tratados ilícitamente, puede pedir a la empresa o entidad la supresión de sus datos. Por ejemplo, cuando al escribir el nombre de una persona en un motor de búsqueda de internet, los resultados incluyen un antiguo artículo de prensa sobre una deuda que hace tiempo que pagó, el motor de búsqueda está obligado a eliminar ese enlace si no se trata de un personaje público y el interés personal por eliminar el artículo prevalece sobre el interés público general de acceder a la información.
- Las entidades deberán informar siempre a un particular del fin para el que le piden sus datos, concederle acceso a ellos y copias gratuitas, y permitirle su modificación siempre que lo pida.
- Una entidad no podrá utilizar los datos recogidos con un propósito para cualquier otro fin. Por ejemplo, si pide el email a un cliente para enviarle promociones, no podrá utilizarlo para ninguna otra cosa, ni tampoco podrá vender esos datos a un tercero.
- Una persona también puede oponerse en cualquier momento al tratamiento de sus datos personales para un determinado uso, a pesar de que una empresa los trate con un interés legítimo o para realizar una misión en interés público. La petición de un particular no tendrá que cumplirse sólo cuando el interés legítimo de la entidad sea más importante que el interés del particular. Mientras las autoridades determinan si uno prevale sobre otro, la persona puede pedir que se limite el tratamiento de sus datos.
- En el caso de la mercadotecnia directa –como, por ejemplo, las llamadas promocionales o para captación de clientes de las compañías telefónicas-, la empresa siempre está obligada a dejar de tratar los datos personales a petición del interesado.
- Si una empresa recibe una solicitud de una persona que quiere ejercer esos derechos, la entidad tiene que responder en el plazo de un mes, aunque puede alargarse hasta dos meses para solicitudes complejas, siempre que se informe de la prórroga al interesado. Si se rechaza una solicitud, deberá informarse a la persona sobre los motivos del rechazo y su derecho a presentar una reclamación ante la autoridad de protección de datos en cada país, en España, la Agencia Española de Protección de Datos.
- Las personas tienen derecho a que una entidad no tome una decisión que les afecta únicamente mediante un tratamiento automatizado. Las empresas, organizaciones e instituciones deben informar al interesado sobre las decisiones automatizadas, garantizar su derecho a impugnar una decisión automatizada y a que una persona la revise y le informe de los motivos de la decisión definitiva. Por ejemplo, si un banco automatiza su decisión sobre la concesión de un préstamo a una persona, ese cliente debe ser informado de la decisión automatizada y tener la oportunidad de impugnarla y de solicitar la intervención humana.
Obligaciones de las empresas en función de los riesgos que asuma
El nuevo reglamento comunitario elimina trámites burocráticos para las empresas, ya que suprime, por ejemplo, la obligación de registrar las bases de datos en las diferentes autoridades nacionales de protección de datos.
A cambio, las entidades que traten datos deberán cumplir las siguientes normas:
- La protección de datos pasa a regirse por el principio de responsabilidad proactiva, es decir: será cada empresa u organización la que decida qué medidas de seguridad pone en marcha para garantizar la protección de los datos que gestiona y la privacidad de las personas a las que pertenecen, y tendrá que ser capaz de demostrar ante las autoridades que esas medidas funcionan y cumplen con el reglamento.
- Las empresas de más de 250 trabajadores o que traten datos personales sensibles deberán crear un Registro de Actividades de Tratamiento donde indiquen quién es el responsable de los datos y se haga inventario del tipo de datos que poseen, cómo se tratan y cómo se protegen. Para las empresas más pequeñas no es obligatorio, pero sí recomendable.
- Todos los organismos y entidades públicas (excepto los tribunales) y aquellas organizaciones o empresas que traten datos sensibles, monitoricen o investiguen mercados, analicen riesgos crediticios o solvencia patrimonial o gestionen datos a gran escala deberán nombrar un delegado de protección de datos (DPD). Este nuevo puesto requiere formación especializada y específica en protección de datos. Podrá designarse a una persona de plantilla o externa a la entidad, que se encargará de forma totalmente independiente de supervisar, coordinar y dar a conocer dentro y fuera de la entidad su política de protección de datos. También servirá de enlace con la autoridad de control de protección de datos nacional.
Por ejemplo, si una empresa trata datos personales para dirigir publicidad a través de motores de búsqueda basados en el comportamiento en línea de las personas, será obligatorio que nombre un DPD. Si sólo envía a sus clientes material promocional una vez al año, no necesitará un DPD. Del mismo modo, un médico que recoge datos sobre la salud de sus pacientes, no necesitará un DPD, pero si trata datos genéticos y sanitarios para un hospital, sí se le exigirá.
- La protección de datos se tendrá en cuenta desde el diseño y la planificación de todas las nuevas formas de tratar los datos personales. De esta forma, el responsable del tratamiento de datos de una organización debe tomar todas las medidas técnicas y organizativas necesarias para proteger los derechos de las personas antes de poner en marcha esos proyectos.
- Será obligatorio realizar una evaluación de impacto en la protección de datos cuando el tratamiento previsto por una entidad entrañe un alto riesgo para los derechos y libertades de las personas. Según el RGPD, existe un riesgo alto cuando se utilizan mecanismos de tratamiento automatizado, cuando se elaboran perfiles para evaluar personas de forma sistemática y exhaustiva, cuando se observa de forma sistemática a gran escala una zona de acceso público (como los circuitos cerrados de televisión) y cuando se gestionan a gran escala datos sensibles (como los datos sanitarios). El objetivo de esta evaluación es identificar los posibles riesgos para los derechos y libertades personales antes de iniciar el tratamiento de datos personales.