GDPR: cambios clave a considerar en 2018 sobre protección de datos
El objetivo del nuevo Reglamento General de Protección de Datos (GDPR, en sus siglas en inglés) es proteger a todos los ciudadanos de la UE de las infracciones sobre la privacidad en un mundo cada vez más basado en datos. El mundo como hoy lo conocemos es muy diferente a como era en el momento en que se estableció la primera directiva sobre el tema en 1995 y GDPR pretende adaptar a esta nueva realidad la protección de la privacidad de los datos personales. Pero… ¿cuáles son los cambios clave que introduce en nuestro entorno laboral y de prestación de servicios este nuevo escenario legal?
Aunque los principios clave de la privacidad de los datos siguen siendo fieles a la directiva anterior, se han propuesto muchos cambios a las políticas regulatorias. Recopilamos en este post los cambios más relevantes que supone GDPR, que entrará en vigor el próximo 25 de mayo de 2018 y nos afectan a todos. En otro post hablamos de «rumores vs hechos» ya que vivimos momentos de cierto miedo a lo desconocido en este ámbito. Por ahora compartimos aquí lo que consideramos «cambios clave»… esperamos que sea útil como reflexión 😉 :
1.Mayor alcance territorial (aplicabilidad extraterritorial)
Podría decirse que el mayor cambio en el panorama regulatorio de la privacidad de los datos proviene de la jurisdicción ampliada del GDPR, ya que se aplica a todas las compañías que procesan datos personales de personas que residen en la Unión, independientemente de la ubicación de la empresa.
Anteriormente, la aplicabilidad territorial de la directiva era ambigua y se refería al proceso de datos ‘en el contexto de un establecimiento’. Este tema ha surgido en una serie de casos judiciales de alto perfil. GPDR hace que su aplicabilidad sea muy clara: se aplicará al procesamiento de datos personales por parte de controladores y procesadores en la UE, independientemente de si el procesamiento se lleva a cabo en la UE o no. El GDPR también se aplicará al procesamiento de datos personales de personas en la UE por un controlador o procesador no establecido en la UE, donde las actividades se relacionan con: ofrecer bienes o servicios a ciudadanos de la UE (independientemente de si se requiere o no pago) y el control del comportamiento que tiene lugar dentro de la UE. Las empresas ajenas a la UE que procesan los datos de ciudadanos de la UE también deberán nombrar un representante en la UE.
2.Sanciones
Las organizaciones que infrinjan el GDPR, se les puede multar con hasta el 4% de la facturación global anual o 20 millones de €. Esta es la multa máxima que se puede imponer por las infracciones más graves, por ejemplo, no tener suficiente consentimiento del cliente para procesar datos o violar el núcleo de los conceptos de Privacidad por Diseño. Existe un enfoque escalonado para multas, una empresa puede recibir una multa del 2% por no tener sus registros en orden (artículo 28), sin notificar a la autoridad supervisora y al sujeto de los datos sobre una infracción o la no realización de la evaluación de impacto. Es importante tener en cuenta que estas reglas se aplican tanto a los controladores como a los procesadores, lo que significa que los servicios en la ‘nube’ no estarán exentos de la aplicación de GDPR.
3.Consentimiento
Las condiciones para el consentimiento se han fortalecido, y las empresas ya no podrán usar términos y condiciones ilegibles llenas de jerga legal, ya que la solicitud de consentimiento debe darse en una forma inteligible y de fácil acceso, con el propósito del procesamiento de datos adjunto a ese consentimiento. El consentimiento debe ser claro y distinguible de otros asuntos, usando un lenguaje claro y sencillo. Asimismo, debe ser tan fácil retirar el consentimiento como darlo.
Derechos de las personas sobre los datos
4.Notificación de incumplimiento
Bajo el GDPR, la notificación de incumplimiento será obligatoria en todos los estados miembros donde una violación de datos probablemente «genere un riesgo para los derechos y libertades de las personas». Esto debe hacerse dentro de las 72 horas de haberse dado cuenta de la violación por primera vez. Los procesadores de datos también deberán notificar a sus clientes, los controladores, «sin demora indebida» después de conocer por primera vez una violación de datos.
5.Derecho de acceso
Parte de los derechos ampliados de los interesados esbozados por el GDPR es el derecho de los interesados a obtener la confirmación del controlador de datos si los datos personales que los conciernen se están procesando, dónde y con qué propósito. Además, el controlador deberá proporcionar una copia de los datos personales, sin cargo, en un formato electrónico. Este cambio es un cambio dramático hacia la transparencia de los datos y el empoderamiento de los interesados.
6.Derecho al olvido
También conocido como borrado de datos, el derecho al olvido le da derecho a que el responsable del tratamiento borre sus datos personales, deje de difundir los datos y, potencialmente, haga que terceros detengan el procesamiento de los datos. Las condiciones para el borrado, como se describe en el artículo 17, incluyen los datos que ya no son relevantes para los propósitos originales del procesamiento, o que los sujetos de datos retiren el consentimiento. También se debe tener en cuenta que este derecho requiere que los controladores comparen los derechos de los sujetos al «interés público en la disponibilidad de los datos» al considerar tales solicitudes.
7.Portabilidad de datos
El GDPR introduce la portabilidad de datos: el derecho de un sujeto de datos de recibir los datos personales que le conciernen, que previamente ha proporcionado en un ‘formato de uso común y legible por máquina’ y tiene derecho a transmitir esos datos a otro controlador.
8.Privacidad por diseño
La privacidad por diseño como concepto ha existido desde hace años, pero se está convirtiendo en parte de un requisito legal con el GDPR. En esencia, la privacidad por diseño requiere la inclusión de protección de datos desde el inicio del diseño de los sistemas, en lugar de una adición. Concretamente: «El responsable del tratamiento deberá aplicar las medidas técnicas y organizativas adecuadas de manera efectiva para cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados». El artículo 23 exige que los controladores retengan y procesen solo los datos absolutamente necesarios para el cumplimiento de sus funciones, y que limiten el acceso a los datos personales a quienes necesitan representar el procesamiento.
9.Delegado de Protección de Datos
Actualmente, los controladores están obligados a notificar sus actividades de procesamiento de datos a la autoridades locales, lo que, para las multinacionales, puede ser una pesadilla burocrática, ya que la mayoría de los Estados miembros tienen requisitos de notificación diferentes. Bajo GDPR no será necesario enviar notificaciones o registros a cada autoridad local de actividades de procesamiento de datos, ni será un requisito notificar o obtener aprobación para transferencias basadas en las Cláusulas de Contrato Modelo (MCC).
En su lugar, habrá requisitos internos de mantenimiento de registros, como explicaremos en un post posterior, y el nombramiento de delegado de protección de datos será obligatorio solo para aquellos controladores y procesadores cuyas actividades centrales consistan en operaciones de procesamiento que requieren una monitorización regular y sistemático de datos a gran escala o de especial categorías de datos o datos relacionados con condenas y delitos penales. Es importante destacar que el delegado de protección de datos:
- Debe nombrarse en función de las cualidades profesionales y, en particular, de los conocimientos especializados sobre legislación y prácticas de protección de datos.
- Puede ser un miembro del personal o un proveedor de servicios externo.
- Los datos de contacto se deben proporcionar a la autoridad relevante.
- Debe contar con los recursos adecuados para llevar a cabo sus tareas y mantener su conocimiento experto.
- Debe informar directamente al más alto nivel de gestión.
- No debe realizar ninguna otra tarea que pueda generar un conflicto de intereses.