El RGPD o Reglamento General de Protección de Datos, es una directiva europea aprobada en abril del 2016 y que será válida en todos los países a partir del 25 de mayo de 2018 y será aplicada a todos los Estados miembros sin que sea necesaria una legislación nacional.

El RGPD se ocupa de las tipologías y formas de tratamiento que pueden llevar a cabo las empresas sobre los datos personales de los ciudadanos que residen en la UE. El artículo 4 define que un dato personal es toda información relativa a una persona física identificada o identificable (“interesado”); este dato incluye un número de identificación, datos de localización, un identificador en línea o uno o más factores específicos de la identidad física.

Las sanciones son relevantes. El objetivo es que las empresas no subestimen este reglamento y que actúen para cumplirlo.

• En las faltas más graves, la sanción prevista es del 4% del facturado global o 20 millones de euros (de los dos, el importe más grave).
• En las demás faltas, el 2% del facturado global o 10 millones de euros (de los dos, el importe más grave).

Pilares del RGPD

El RGPD está basado fundamentalmente en el consentimiento del procesamiento de datos. Cada sujeto tendrá que autorizar de forma explícita el propósito del procesamiento y, a la hora de ceder sus datos, el interesado deberá autorizar explícitamente, a través de un formulario, el consentimiento. A diferencia de las autorizaciones actuales, no será válido tener una sola autorización de datos por parte de los sujetos para todos los tratamientos, sino que se tendrá que dar un consentimiento para cada propósito.

Además, el consentimiento tendrá que ser realizado de forma explícita y no será válido tener la autorización del consentimiento premarcada.

Entre los puntos más importantes de este reglamento destacan:

• Transparencia. Las empresas tendrán que proporcionar un canal donde cada sujeto podrá conocer de forma directa quién es el delegado de tratamiento de datos y qué tipo de tratamiento se realiza. El interesado también podrá conocer tanto el propósito como los intereses legítimos para ese procesamiento.
• Rectificación y borrado. El interesado tendrá derecho a obtener —sin dilación indebida— la rectificación de los datos personales inexactos, así como a pedir el borrado de su información personal, retirando también su consentimiento de tratamiento dado en precedencia.
• Procesamiento. En cualquier momento se podrá solicitar la limitación del propósito de procesamiento de sus datos personales, así como solicitar que se entreguen en un formato estructurado. Además, en cualquier momento podrá oponerse a que sus datos sean utilizados en una toma de decisiones y perfiles automatizados.

Rendición de cuentas

Es muy importante considerar que en el reglamento está previsto el principio de rendición de cuentas. Es decir, las empresas tendrán que implementar medidas técnicas y organizativas apropiadas, que aseguren y demuestren que la empresa cumple con la regulación, definiendo los adecuados procesos internos bien documentados.

Uno de los cambios más profundos que introduce el RGPD es un requisito a escala europea acerca de la necesidad de notificar las violaciones de datos a las autoridades de supervisión y a las personas afectadas dentro de 72 horas después de haber tenido conocimiento de ello.

A la hora de llevar a cabo la implementación del RGPD, es importante tener en cuenta una serie de consideraciones. En primer lugar, un principio clave es la armonización. El RGPD tiene el propósito de “armonizar las leyes de privacidad de datos en toda Europa” para proteger los derechos de las personas naturales. Armonizar es una palabra clave en toda la directiva. Además, es un reglamento basado en “principios”, por lo que no es universalmente aplicable. Cada entidad debe identificar las obligaciones que tiene que cumplir dado su propio escenario en cuanto al tipo y uso de los datos, etc.

A la hora de aplicarlo es muy importante el trade-off, ya que una adopción demasiado relajada puede conducir fácilmente a multas cuantiosas, mientras que una aplicación excesivamente rigurosa podría llevar a la parálisis del negocio. Por último, hay que tener en cuenta a todos los stakeholders de la compañía. En la directiva hay varios actores —sujetos de datos, controladores, procesadores (e incluso subprocesadores) y es importante abarcar a todas las partes interesadas.

Las sanciones son relevantes. Su objetivo es que no se subestime este reglamento

Roadmap

El ICO (Information Commissioner’s Office), el ente de protección de datos del Reino Unido, ha establecido una hoja de ruta que es ampliamente adoptada y que sugiere la mejor forma para que una empresa pueda abordar un proyecto de cumplimiento de RGPD. La hoja de ruta sería la siguiente:

1. Toma de conciencia. Asegurar que los responsables de la toma de decisiones y las personas clave en su organización estén informados del cambio de ley definido por el RGPD para que puedan considerar el impacto en la empresa.
2. Inventario. Documentar qué tipo de datos personales trata una empresa, su origen y con quién se comparten. En este paso podría ser necesario organizar una auditoría de información.
3. Comunicación de privacidad. Revisar los avisos de privacidad actuales y poner un plan para definir a tiempo los cambios necesarios para la implementación del RGPD.
4. Derecho de privacidad personal. Verificar los procedimientos para asegurarse de que cubren todos los derechos de las personas, incluyendo procedimientos para eliminar datos personales o proporcionar datos de forma electrónica y en un formato comúnmente utilizado.
5. Peticiones de cambio. Actualizar los procedimientos y planificar cómo se manejarán las solicitudes dentro de los nuevos plazos, y proporcionar cualquier información adicional.
6. Base legal para procesar datos personales. Identificar la base legal de procesamiento de la actividad en el RGPD, documentarla y actualizar los avisos de privacidad para explicarla.
7. Consentimiento. Revisar cómo se busca, registra y gestiona el consentimiento de los sujetos de datos y si se necesita realizar algún cambio. Habrá que actualizar los consentimientos existentes si no cumplen con el estándar RGPD.
8. Procesamiento de datos infantiles. Implementar un sistema para verificar las edades y obtener el consentimiento de los padres o tutores para cualquier actividad de procesamiento de datos de menores.
9. Reporte brecha. Tener los procedimientos correctos para detectar, informar e investigar una brecha de datos personales.
10. Data protection impact assessments (DPIA) y data protection by design. La empresa debe familiarizarse con un código de práctica sobre evaluaciones de impacto de la privacidad, así como con lo especificado en el artículo 29 y averiguar cómo y cuándo implementarlos en su organización.
11. Oficial de protección de datos. Considerar si es necesario el nombramiento de un oficial de protección de datos dentro de la infraestructura y evaluar dónde se ubicará dentro de la estructura.
12. Organizaciones internacionales: Los datos personales sólo podrán ser transferidos fuera de la UE de acuerdo con las condiciones de transferencia establecidas en el artículo 5 del RGPD.