En una reciente reunión de networking a la que asistí, en un corrillo de pocas personas comenzamos a hablar sobre el GDPR. Uno de los asistentes, Mauricio, estaba algo alterado:
—¡Es un abuso! Otra reglamentación más, otro coste añadido. Más tiempo y dinero invertidos para nada.
Aída, que acababa de unirse al grupo, preguntó:
—¿Podéis aclararme qué es GDPR y qué importancia tiene? No quisiera saltarme ninguna reglamentación.
Qué es el GDPR
Yo llevo tiempo trabajando en un curso para la adaptación de las PYMEs al GDPR, así que me decidí a intervenir.
—GDPR es la iniciativa de la Unión Europea para reforzar, armonizar y modernizar las leyes de protección de datos ampliando los derechos individuales de los ciudadanos. Son las siglas de General Data Protection Regulation (Reglamento General de Protección de Datos o RGPD). Como todos sabéis, cada vez más los datos son el activo más importante de las organizaciones, lo que se corresponde con el aumento de los ciberataques que estamos sufriendo. Así que GDPR impulsa la colaboración entre las entidades públicas y privadas para remediarlo y levantar una barrera extra de seguridad para nuestros datos personales. GDPR es consistente con la idea europea de que la privacidad es un derecho fundamental de los ciudadanos europeos.
Mauricio insistió:
—Pero el 25 de mayo está ahí al lado, y es la fecha límite para adaptar mi negocio. ¡No tengo tiempo, ni dinero, ni ganas de meterme en un asunto legal tan farragoso!
Mila, tan práctica como siempre, repitió la pregunta de Aída que se había quedado en el aire:
—Pero ¿cuál es la importancia real de GDPR?
Importancia del GDPR
Me estaba mirando fijamente, así que no me quedó más remedio que volver a intervenir:
—Depende del punto de vista, claro. Hay muchos que insisten en el peligro de unas sanciones que pueden llegar a ser bastante graves, aunque yo prefiero centrarme en los aspectos positivos de la regulación. No solo soy empresario, soy un ciudadano de la Unión Europea al que amplían sus derechos en cuanto a datos personales. Lo que me beneficia como ciudadano no me parece justo considerarlo un problema como empresario, aunque la adaptación me dé algo de trabajo.
Mila lo resumió en un titular:
—Así que las empresas deben adaptarse antes del 25 de mayo para beneficio de los ciudadanos. ¿Cuáles son esos nuevos derechos?
Derechos recogidos en el GDPR
—Os diré mejor todos los derechos que el GDPR reconoce a los ciudadanos de la Unión Europea, —repliqué. —Espero que no se me olvide ninguno.
»Por una parte, tenemos derecho a saber para qué se utilizan nuestros datos y durante cuánto tiempo se van a conservar. También si en su tratamiento va ha haber decisiones automatizadas y elaboración de perfiles, sobre todo si tienen consecuencias legales como en la concesión de un préstamo. Por supuesto, tenemos el derecho de presentar denuncias ante la AGPD si las empresas no atienden nuestras reclamaciones.
»Todas las organizaciones públicas o privadas que traten nuestros datos deben identificar quién es el Responsable del tratamiento, cómo podemos solicitar la suspensión del tratamiento, la conservación de nuestros datos pero sin tratarlos, o la portabilidad de los mismos en un formato que otros Responsables puedan tratar.
»También tenemos derecho a rectificar nuestros datos cuando sean inexactos o estén incompletos, para lo que el Responsable del tratamiento deberá facilitarnos un procedimiento sencillo, preferiblemente un formulario web.
»Podemos pedir que supriman nuestros datos si se ha producido un tratamiento ilícito, o si ha desaparecido la finalidad que motivó su recogida, en cualquier momento si revocamos nuestro consentimiento o por simple oposición a que sean tratados.
»También tenemos derecho a oponernos al tratamiento de nuestros datos por motivos personales, salvo que el Responsable acredite un interés legítimo, y cuando el tratamiento tenga por objeto el marketing directo masivo.
Mauricio, ya más calmado, intervino:
—¿Y respecto a los menores qué? Tengo una hija de trece años y no tengo que contaros la preocupación que tenemos su madre y yo. Anda todo el día enganchada.
—Pues el RGPD también responde a esa especial preocupación, —repuse. —Por ejemplo, el interés legítimo del Responsable (una de las bases legales para el tratamiento de datos) no será aplicable cuando prevalezcan los derechos o intereses de los menores. El consentimiento de los menores solo será válido a partir de los 16 años, por lo que se requiere la autorización de los padres para edades inferiores. Se permite a los estados fijar una edad menor de consentimiento, hasta los 13 años, que en España se ha establecido en 14. Y es obligatorio que la información que se ofrece a los menores interesados en relación con el tratamiento de sus datos sea especialmente transparente e inteligible, debiendo expresarse en un lenguaje claro y sencillo.
Principios innovadores del GDPR
Se produjo un silencio algo más relajado. La información sobre los menores era tranquilizadora. Aproveché la ocasión para añadir otros elementos interesantes:
—Hay dos principios que constituyen la mayor innovación del GDPR frente a otras legislaciones y que la convierten en la más avanzada del mundo:
»El principio de responsabilidad proactiva del Responsable es la necesidad de que éste aplique todas las medidas técnicas y organizativas necesarias para garantizar que su tratamiento de datos es conforme con el GDPR. Ya no basta con reaccionar cuando hay algún incidente o reclamación; ahora necesita analizar qué datos trata, con qué finalidades y qué tratamientos lleva a cabo. También debe determinar cuál es la base legal para el tratamiento y que puede demostrarlo si se le requiere, por ejemplo, con el registro del consentimiento por parte de los interesados. Este principio hará que todos seamos mucho más conscientes y diligentes en cuanto al tratamiento de los datos personales de los ciudadanos.
»El enfoque de riesgo del Responsable supone que las medidas necesarias para garantizar el cumplimiento del GDPR deben adaptarse a las circunstancias propias de cada organización y tratamiento, así como el riesgo para para los derechos y libertades de los ciudadanos. En la práctica esto significa que una PYME no tiene ni mucho menos las mismas obligaciones que una empresa que maneja millones de datos personales.
»¿Sabíais que el GDPR se aplica a todas las organizaciones y empresas del mundo que traten datos personales de ciudadanos de la Unión Europea? No importa dónde radique una empresa, dónde tenga almacenados sus datos o dónde los trate; si maneja datos de ciudadanos de la UE deberá cumplir con el GDPR. Esto es un enorme avance para la protección de nuestros datos personales. Es la globalización de la protección frente a la globalización de la posible amenaza.
»También veo otro beneficio importante por cumplir con el GDPR. La manera en que una organización usa los datos no es solo una cuestión de riesgo; se trata de sintonizar con una preocupación generalizada entre la población, algo que hacemos porque es ético y de valor para nuestros clientes, de la misma manera que actuamos en cuanto a la economía sostenible, por ejemplo. Nuestra reputación subirá muchos enteros cuando mostremos nuestro compromiso con la protección de datos.
Aída preguntó entornando los ojos:
—Parece que Mauricio tenía razón y que la adaptación al GDPR nos va a suponer un gran esfuerzo material y organizativo. ¿Cuáles son las acciones que debemos llevar a cabo las PYMEs?
Acciones necesarias para adaptarse al GDPR
—En realidad no es tanto una cuestión del tamaño de la empresa como del tipo de datos que trata y de los tratamientos que aplica. Suponiendo que el riesgo sea el mínimo porque no se tratan datos sensibles, no se elaboran perfiles ni se utilizan tecnologías de análisis masivo de información, deberás concentrar tus esfuerzos en:
- Identificar la base legal de los tratamientos que realizas, interés legítimo o consentimiento expreso, por ejemplo
- Verificar que informas a los interesados con transparencia de todos los tratamientos que aplicas a sus datos. Debes informar, por ejemplo, que usas sus datos para facturarles y también para enviarles información técnica de actualizaciones. Seguramente debas actualizar tus formularios de consentimiento
- Establecer un registro de tus actividades de tratamiento. Esto es tan fácil como relacionar los archivos que contienen datos personales y los tratamientos que haces con ellos
- Proporcionar un procedimiento para facilitar el ejercicio de los derechos de los interesados, por ejemplo, un formulario web donde actualizar sus datos y sus preferencias ante el tratamiento
- Identificar las medidas de seguridad que protegen los datos personales que tratas. De esta manera garantizas su integridad, facilitas la recuperación en caso de incidente y evitas los accesos no autorizados
- Por último, si utilizas algún Encargado externo para el tratamiento, como un proveedor de hosting o de email marketing, verificar que también ellos cumplen con el GDPR mediante un contrato de encargo de tratamiento. Es muy importante que te cerciores de que esos datos no se usarán para un fin distinto del que tú les has encargado
Los 5 beneficios del GDPR
Mila sentenció:
—En síntesis, los beneficios que proporciona el GDPR a los ciudadanos y a las empresas son:
- La Unión Europea considera que la privacidad es un derecho fundamental de los ciudadanos que debe ser protegido. Para ello ha creado una nueva regulación, el GDPR, que es de obligado cumplimiento para cualquier organización del mundo que trate datos personales de ciudadanos de la UE
- Con el GDPR se amplían los derechos y libertades de los ciudadanos, atendiendo con especial cuidado a los menores
- El principio de responsabilidad proactiva establece que las empresas debemos aplicar medidas técnicas y organizativas para asegurar a los ciudadanos que respetamos esos derechos y libertades
- El enfoque de riesgo nos permite ajustar esas medidas a nuestras circunstancias
- Cumplir con el GDPR supone que las empresas actuamos de forma ética en un aspecto especialmente sensible para la población por lo que nuestra reputación se verá reforzada
Mauricio sonrió y dijo:
—Parece que no será tan grave como me temía, pero seguramente necesite alguna ayuda para adaptar mi negocio al GDPR. ¿Cuándo dijiste que estaría listo tu curso?
consultora tecnologica dice
Muy interesante tu reflexión acerca de este tema y también creo que normalmente se considera algo muy negativo. Sin embargo, y como bien comentas, tiene beneficios tanto para las empresas como para los propios usuarios.
Arturo Génova dice
Gracias por tu comentario.
Las regulaciones en materia de Protección de Datos están ahí para garantizar que se protegen los derechos de los ciudadanos. Esto supone algún trabajo adicional para las empresas, pero el resultado final es una mayor concienciación de los empleados y una mayor seguridad para los datos de todos.
Una de mis tareas más importantes como Asesor en Protección de Datos es educar para conseguir una Cultura de la Privacidad que nos facilite tener siempre presentes estos derechos.