En apenas unos días entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD o más conocida como GDRP por sus siglas en inglés) que afecta a cualquier entidad que realice tratamiento de datos personales, pero exactamente ¿en qué consiste? ¿Cómo nos afecta? La IAPP (International Association of Privacy Professionals) ha publicado numerosos artículos durante los últimos meses; ahora, nosotros te ayudamos a concretar lo importante para que seas capaz de explicárselo incluso al CEO de tu compañía, algo que hemos hecho internamente en formaciones a todos los equipos, incluido nuestro CEO.

Qué es la RGPD

Esta normativa se adoptó el 27 de abril de 2016 y, tras un periodo de adaptación de dos años, comenzará su aplicación a partir del 25 de mayo de 2018. El objetivo principal de la RGPD es doble; por un lado, la unificación de regulaciones a lo largo de la Unión Europea; por el otro, dar mayor protección a los individuos en cuanto al tratamiento de sus datos personales. Para hacerte una idea de la importancia de esto, la cuantía de las posibles multas por infringir esta normativa se ha establecido en consecuencia, pudiendo llegar hasta un 4% de la facturación anual de la empresa o 20 millones de euros, especialmente grave cuando las infracciones estén relacionadas con lo que se conocen como datos sensibles. Veremos este aspecto más adelante.

¿Qué se consideran datos personales o sensibles? Según la propia definición de la RGPD es muy sencillo de entender, son «todos aquellos datos que por sí solos o bien mediante el cruce con otras fuentes de datos, permiten identificar, contactar o localizar a una persona o identificarla dentro un contexto específico».

A su vez, estos datos personales podemos clasificarlos en identificadores directos, que son todos aquellos que por sí solos permiten identificar a un individuo, como pueden ser el DNI, su dirección o su nombre completo; y en identificadores indirectos, que por sí solos no permiten la identificación del individuo pero sí cuando se cruzan con otros identificadores o bases de datos públicas. Un famoso ejemplo de identificadores indirectos es el del estudio realizado en EEUU que demostraba que a partir de la fecha de nacimiento, sexo y código postal de una persona, eran capaces de identificarla en un 87% de los casos.

Esta complejidad a la hora de determinar si los datos que vamos a tratar son potencialmente sensibles implica un desafío adicional, ya que habrá que evaluar cuidadosamente la sensibilidad real de los datos de que dispongamos.

Conceptos clave de la RGPD

A partir de aquí, una vez entendido bién en qué consiste y qué protege, repasamos los aspectos que consideramos clave entender esta nueva normativa desde el punto de vista de las empresas.

Privacidad y seguridad

La RGPD incentiva el concepto de privacidad desde el diseño (Privacy by Design). Esto implica que desde el mismo diseño de aplicación, se debe garantizar la privacidad y seguridad de los datos. Para que te resulte más familiar esta idea, es similar a lo que en otros ámbitos como el diseño hacemos referencia a mobile first, es decir, diseñar pensando en primer lugar en cómo se visualizará y navegará en dispositivo móvil; en el caso de la privacidad, pasa a ocupar una posición prioritaria en cualquier proyecto de datos.

Es importante aclarar estos dos términos, privacidad y seguridad de los datos, que muchas veces confundimos:

Privacidad se refiere a los aspectos legales y operativos, como la definición de qué datos son personales según el contexto, razones para el almacenamiento, periodos de retención, legalidad del caso de uso, etc. Cuando hablamos de privacidad, es importante involucrar a nuestros departamentos legales lo antes posible.

Seguridad se refiere a las medidas para proteger los datos, como pueden ser la encriptación, tokenización, identificación y securización de los accesos, cortafuegos, etc.

La RGPD también presta especial atención y especifica lo que es una brecha de datos, que define como “toda brecha de seguridad que lleve a la destrucción, pérdida, alteración, divulgación o acceso ilegal o accidental de datos personales”. En caso de que se produzca una brecha de datos, es obligatoria la notificación inmediata a la autoridad correspondiente, por lo que las compañías deberán prestar especial cuidado de estas incidencias.

Roles: controlador y procesador

En cuanto al tratamiento de datos personales, la RGPD reconoce dos roles con distintas responsabilidades, el controlador y el procesador de los datos.

El controlador, como la entidad propietaria de los datos personales recopilados. Este rol debe de comunicarse con la autoridad supervisora, y asegurar el cumplimiento de los derechos de protección de datos de los sujetos.

El procesador, como la entidad que realiza el tratamiento propiamente dicho de los datos. Su responsabilidad comprende la aplicación de las medidas técnicas y operacionales para garantizar la seguridad de los datos, y que se realice únicamente según las instrucciones dadas por el controlador.

El Director de Protección de Datos (DPD)

Otra figura que establece la RGPD es la del Director de Protección de Datos (DPD) y toda empresa que maneje grandes volúmenes de datos personales o sensibles tiene la obligación de designar uno. Sus funciones esenciales serán las siguientes:

  • Informar tanto a controladores como procesadores de sus obligaciones con respecto a la regulación.
  • Facilitar y realizar seguimientos de su cumplimiento.
  • Aconsejar en cuanto a las evaluaciones de riesgo sobre datos personales que se tengan que realizar.
  • Servir como punto de contacto con la autoridad supervisora.
  • Resolver las dudas en cuanto a protección de datos que puedan venir de los sujetos.

Qué implica la RGPD

Ahora que ya hemos visto los términos más importantes para entender bien la regulación, podemos hablar de las obligaciones y recomendaciones que ésta nos impone a nivel operativo:

Consentimiento

Un aspecto de la RGPD sobre el que se hace especial hincapié es el referido a la obtención del consentimiento de los usuarios. En este sentido, hay cinco puntos clave que hay que tener muy en cuenta a la hora de recoger información:

  • Debe ser dado libremente, específico, informado y nada ambiguo. No se admitirán consentimientos sospechosos de haber sido dados de forma coaccionada o engañosa como, por ejemplo, con campos pre-seleccionados de un formulario.
  • Debe darse consentimiento específico y separado para cada uno de los distintos procesamientos que se van a hacer a los datos, aunque se recojan en un mismo formulario.
  • Si se van a tratar datos personales especialmente sensibles (como pueden ser raza, orientación sexual, historial médico, etc), debe ser aceptado mediante un consentimiento específico para ello.
  • Para procesar datos de menores de edad, se debe obtener el consentimiento específico de sus padres o tutores legales.
  • Los controladores de los datos deben ser capaces de demostrar que el consentimiento ha sido obtenido en base a estos principios.
Perfilado

Los derechos en cuando al perfilado también se ven reforzados en el ámbito de la RGPD, considerando perfilado como «toda aquella actividad que realiza procesamiento automático de datos personales de cara a evaluar aspectos relativos a un sujeto concreto». Un ejemplo de perfilado es la predicción de aspectos relativos a una persona, como su rendimiento laboral, salud, preferencias personales, localización o movimientos.

Los sujetos deben ser claramente informados tanto del hecho de que se van a realizar esas tareas de perfilado como de las posibles consecuencias derivadas del mismo. Además, salvo casos excepcionales (como por ejemplo motivos de seguridad nacional), se prohíbe la realización de perfilado usando datos de categorías especiales.

Derechos individuales

Una vez obtenido el consentimiento, la RGPD refuerza también los derechos individuales. Cualquier sistema que procese datos personales debe proporcionar las capacidades necesarias para dar soporte a los mismos, en concreto:

Derecho al olvido: por solicitud del individuo, sus datos personales deben eliminarse completamente, en el plazo de un mes.
Portabilidad: todos los datos personales obtenidos deben poder ser exportados en un formato de datos legible por una máquina.
Restricción de procesamiento: por solicitud del individuo, se debe poder rescindir el permiso de procesamiento para una operación concreta.
Rectificación: se debe permitir la rectificación de datos personales incorrectos.

Transferencias de datos transfronterizas

Como norma general, los movimientos de datos personales no están permitidos fuera de los estados de la Unión Europea salvo bajo ciertas circunstancias, como el uso de cláusulas contractuales estándar o normas corporativas vinculantes.

Pseudonimización

La RGPD introduce el concepto de pseudonimización, refiriéndose a «aquellos procesos que transforman los datos personales a datos anónimos o que no sean directamente identificables».

La pseudonimización implica la eliminación u ocultación de identificadores directos y, en algunos casos, de identificadores indirectos que se puedan combinar para revelar la identidad de una persona. Estos datos se deberían guardar en un almacenamiento separado que pueda ser enlazado con los datos pseudonimizados a través de una clave, como puede ser un identificador aleatorio u otro pseudónimo.

Incumplimiento de la RGPD

En caso de incumplimiento, la regulación impone dos niveles de multas. El umbral bajo puede llegar hasta el 2% de la facturación anual de la empresa o 10 millones de euros, lo que sea mayor. El umbral alto puede llegar hasta el 4% de la facturación anual de la empresa o 20 millones de euros, lo que sea mayor.

Algunas de las obligaciones que se deben cumplir so pena de infracción son:

Obligaciones nivel 1 Obligaciones nivel 2
  • Principios básicos de procesamiento de datos, incluyendo el consentimiento (Artículos 5-7, 9).
  • Derechos de los sujetos (Artículos 12-22).
  • Provisiones de transferencia de datos (Artículos 44-49).
  • Obligaciones para con las leyes estatales, incluyendo el derecho a la ley de expresión, recolección de números de identificación personal, etc. (Capítulo IX).
  • No cumplimiento de una orden de limitación o suspensión de un flujo de datos por una autoridad supervisora (Artículos 58(1), 58(2)).
  • Obtener el consentimiento de un menor de acuerdo a la norma (Artículo 8).
  • Notificar a la autoridad supervisora en caso de brecha de datos (Artículo 33).
  • Notificar a los sujetos en caso de brecha de datos (Artículo 34).
  • Designación de un DPO (Artículos 37-39)

El importe exacto de una posible multa lo decidirá la autoridad supervisora correspondiente, con los valores mencionados anteriormente como límite superior. En caso de infracción de alguna de las obligaciones, también hay que tener en cuenta que existen ciertos factores mitigantes o agravantes:

  • Formación y concienciamiento.
  • Acogerse a determinados códigos de conducta y certificaciones.
  • Minimización del acceso a datos sensibles.
  • Medidas de seguridad técnicas y/o organizacionales.
  • Reportar lo antes posible las brechas de datos.
  • Cooperar con las autoridades supervisoras.
  • Negligencia vs intencionalidad.

La RGPD ha tenido un amplio periodo de adaptación, más de dos años, pero seguro que es en los últimos meses cuando has podido percibir que las empresas se han puesto en marcha en su implementación. Es una nueva regulación que afecta a todos, por lo que ninguna compañía debería perder de vista la importancia de tomárselo en serio. Cualquier compañía se va a encontrar con que tiene que desempeñar el rol de “controlador” y deberá prestar especial atención al tratamiento de datos de sus empleados, clientes, proveedores… Además, en nuestro caso como “procesadores” de datos, hemos dedicado equipos especialistas en seguridad en adecuar nuestra infraestructura para que esté preparada a la hora de recibir datos de clientes y garanticemos el adecuado tratamiento alineado con los requerimientos de la RGPD.

Imagen: unsplash.com | neobrand

Author

  • Gonzalo Ramos

    Principal Cloud Architect en Keepler. "I am passionate about my work and love learning new skills and technologies. I currently work at Keepler, a great company with people who are enthusiastic about what they do and challenging projects.".