El nuevo Reglamento Europeo de Protección de Datos (RGPD) ha cumplido un año. A 365 días de esa avalancha de correos que inundaron las bandejas de entradas de los usuarios sobre cambios en nuestra privacidad, el reglamento se ha actualizado. Las ramificaciones del Reglamento se han ido extendiendo a lo largo del mundo, pero ¿ha sido como se esperaba?
¿Tu negocio está adaptado al nuevo Reglamento Europeo de Protección de Datos?
El reglamento ha servido para que las empresas no puedan enviar información a los usuarios asumiendo que estos dieron un consentimiento tácito. Todas las empresas han tenido la obligación de aportar una información transparente y sencilla que indique qué se hace con los datos que tienen, así como para renovar el consentimiento que dieron, ya que ahora este debe ser expreso siempre. Además, la iniciativa de contactar para todo ello, debe salir de las empresas.
Necesita solicitar un consentimiento explícito
Las empresas y organizaciones no pueden tratar los datos como deseen aunque se haya dado el conocimiento. Esto es importante, porque se traduce en una obligación de las empresas de comunicar qué se está haciendo con los datos. Cuando no se da un consentimiento activo, las empresas no pueden realizar acciones del tipo: enviar publicidad, venta cruzada con datos, vender información a terceros, etc. Tampoco puede premarcar casillas de privacidad.
La política de términos y privacidad
Nadie se entretiene con la lectura de términos y condiciones, la cual tiende a ser larga y tediosa. Aquí, el RGPD ha tenido una gran labor, ya que ha exigido que los términos de servicio, así como las políticas de privacidad contengan un vocabulario menos técnico y jurídico, para que pueda ser rápidamente leído y entendido por el ciudadano promedio. Ahora que la información está rediseñada para ser más clara, el consentimiento sin haber leído la política de privacidad ya es responsabilidad del usuario.
Tener en cuenta el alcance territorial
El alcance territorial del RGPD ha sido muy amplio. La razón es que también ha afectado a empresas extranjeras que traten con datos de residentes de la Unión Europea. Por tanto, el impacto del RGPD ha caído sobre grandes empresas como: Google, Microsoft, Apple, Facebook, etc. Dichas empresas han acabado aceptando las opciones de privacidad y de protección.
No entregar datos a terceros
Las empresas deben aportar al usuario el derecho a la portabilidad de datos. Es decir, cada usuario debe tener accesibles los datos que una empresa tiene sobre él. Además, se cuenta con el derecho de mover los datos a un proveedor diferente sin perder el historial, para que el usuario siga teniendo beneficios. Finalmente, existe el derecho de solicitud de eliminación de la información.
Tener un Delegado de Protección de Datos (DPO)
No todos los negocios necesitan un Delegado de Protección de Datos (DPO). No obstante, cuando un negocio trata con datos de carácter sensible, esta figura cobra una especial relevancia.
¿Qué es exactamente el RGPD?
Después de un año el RGPD ha tenido medidas efectivas que lo han definido. Por ello, se analizarán las claves necesarias para definir qué es exactamente este reglamento.
Efectividad contra el marketing en masa
Un aspecto muy positivo es que han decrecido las comunicaciones comerciales indiscriminadas. Al ser necesario el consentimiento expreso, el marketing agresivo ha comenzado al fin a desaparecer. Además, los usuarios han comenzado a tomar conciencia de la relevancia de su información personal. Tanto porque las compañías los utilizan para sacar dinero como por pertenecer al ámbito de la privacidad.
Sanciones del RGPD
Las sanciones del RGPD fue una de las mayores preocupaciones de las grandes organizaciones por su cuantiosidad, lo que hizo que irrumpiera la urgencia de adaptación del reglamento. El art. 83 del RGPD establece multas de entre 10 y 20 millones de euros, o bien, un 2 o un 4 % del volumen de negocio del anterior ejercicio.
La primera multa solo tardó seis meses en llegar y fue a una empresa de Portugal por permitir el acceso de terceros a datos de los usuarios sin tener consentimiento expreso. También fueron sancionadas con más de 24 000 € una empresa alemana y otra austriaca. En definitiva, las sanciones del RGPD han sido escasas, pero también efectivas.
El análisis de riesgos de RGPD
El análisis de riesgos de RGPD es analizar la posibilidad de que se produzcan situaciones no deseadas y calcular su probabilidad, así como gravedad. Son varias las medidas que se han ido tomando a lo largo del año, las cuales se han referido a: detectar el alto riesgo, realizar una evaluación sistemática, especialmente en el tratamiento de datos sensibles, y medidas que eviten efectivamente las tecnologías invasivas.
Sin embargo, hay todavía muchas empresas que han esperado a que se produzca un ataque para contar con un efectivo análisis de riesgos del RGPD. Por tanto, es un aspecto a mejorar, pues si no se toman medidas que mitiguen la gravedad y probabilidad del escenario de riesgo, es muy probable que se acaben produciendo, con graves consecuencias para los usuarios.
Un reglamento abierto y difuso
Tras un año de implantación efectiva, aún quedan lagunas por aclarar. Muchas de las disposiciones del RGPD están muy abiertas a la interpretación, pues tienen un carácter anglosajón. Por ejemplo, no queda totalmente definida la edad a la que se puede otorgar el consentimiento de tratamiento de datos. En España, se ha implantado que el tratamiento de datos de un menor solo puede estar fundado en su consentimiento si es mayor de 14 años.
También han surgido dudas en cuanto a las empresas que tienen que designar un Delegado de Protección de Datos (DPO), que se desarrolla en el art. 34 LOPDGDD. Por otro lado, no queda suficientemente claro qué es exactamente lo que se considera un tratamiento a gran escala, pues el RGPD no lo define expresamente.
Para tratar de solventar este último aspecto, se ha tomado en consideración el art. 91 que da leves pinceladas, así como el órgano consultivo de las Autoridades de Protección de Datos de los Estados Miembros que es independiente: el Grupo de Trabajo del art. 29. Este da algunos factores que se deben tener en cuenta.
En primer lugar, se atenderá al número de sujetos a los que afecte, ya sea como proporción de población o como número específico. Por otro lado, se tendrá en cuenta el volumen de datos, así como los diferentes rangos según la clase de datos que se estén tratando. A su vez, se tendrá en cuenta cuál es la extensión geográfica del tratamiento de información personal de los usuarios, así como la permanencia o duración de la actividad de tratamiento de datos.
Ejemplo de modelo de consentimiento RGPD
A continuación, será explicado todo lo que debe contener un modelo de consentimiento de acuerdo con el Reglamento General de Protección de Datos. Un buen modelo de consentimiento puede contener un contrato entre el responsable del tratamiento y su encargado que regule las materias que tiene éste en cuanto a protección de datos, de modo que se informe al usuario. En cuanto al registro de actividades de tratamiento, deberá aportarse el documento que recoja la descripción de los tratamientos de datos que realiza la empresa.
Por otro lado, con respecto al análisis de riesgos, se debe aportar una herramienta para identificar los riesgos que se asocien a un determinado tratamiento, además de que la empresa debe adoptar las medidas para evitarlos. Sobre la vigilancia, el RGPD contiene que debe haber un cartel visible que informe a quienes acuden a la empresa que se les está grabando, al igual que será fundamental el hecho de avisar a los trabajadores también, sobre todo si se graba de puertas hacia adentro.
Por último, un importante aspecto del modelo de consentimiento es el que informa a los usuarios de sus Derechos ARCO. Estos son: el de acceso, rectificación, cancelación y oposición. El de acceso es el derecho de cualquier persona a poder hacer un seguimiento del tratamiento que se hace de su información personal. Por otro lado, el de rectificación es el derecho que tiene cualquier persona de solicitar la modificación de sus datos personales.
Asimismo, el de cancelación es el derecho de los usuarios a que se eliminen sus datos personales de manera definitiva. Y por último, el de oposición implica que cualquier persona se podrá negar a que sus datos personales se incorporen a un fichero que se encuentre destinado a la gestión de datos.
A los mencionados derechos ARCOS se deben añadir los de limitación y portabilidad. El primero es el derecho que tiene un usuario de obtener del responsable del tratamiento de datos una limitación de dicho tratamiento, siempre que se cumplan unas condiciones. Por último, el de portabilidad es el derecho que tiene un ciudadano a exigir al negocio que se encuentra tratando su información que se los devuelva o bien, que lo transmita a otra empresa.
En conclusión, si bien el espíritu del nuevo Reglamento Europeo de Protección de Datos ha sido dar homogeneidad a las normas de la comunidad, también ha dado amplitud de interpretación a los Estados Miembros. Y quizás, esta libertad interpretativa haya tenido un resultado de inseguridad y desconcierto ante la protección de datos.