GDPR(II): Rumores vs Hechos
El 25 de mayo se acerca y su organización ya estará seguramente preparada para cumplir con la entrada en vigor plena del nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR). Lo cierto es que se puede encontrar con información contradictoria sobre lo que GDPR requiere o no. A menudo, es complicado diferenciar entre tantos rumores. Tras recopilar en un post anterior los cambios más relevantes que supone GDPR, en este segundo post nos acercamos a los detalles y la fuerza de los hechos, que es la mejor forma de aclarar el alcance de GDPR.
Rumor: «Procesar datos personales europeos requiere el consentimiento del interesado».
Hecho: el consentimiento es solo una de las bases legales que se pueden usar para el procesamiento de datos personales (Artículo 6.1a). Por ejemplo, los datos personales también se pueden procesar: cuando sea necesario para la ejecución de un contrato en el que el interesado es una parte; cuando existe la obligación legal de hacerlo y, a veces, incluso sobre la base de intereses legítimos, como los objetivos comerciales y de marketing. El interés legítimo debe, sin embargo, superar cualquier perjuicio a la privacidad del sujeto de datos.
Rumor: «Los datos personales europeos deben almacenarse dentro de Europa».
Hecho: GDPR no supone ninguna obligación de almacenar información en Europa. Sin embargo, las transferencias de datos personales europeos fuera del Espacio Económico Europeo (EEE) generalmente requieren que exista un mecanismo de transferencia válido para proteger los datos una vez que abandona el EEE (Capítulo V, Artículos 44-50).
Rumor: «GDPR requiere que los datos personales de la UE se encripten en reposo».
Hecho: GDPR no exige medidas de seguridad específicas. En cambio, GDPR requiere que las organizaciones tomen medidas técnicas y organizativas de seguridad que sean apropiadas a los riesgos presentados (Artículo 32.1). La encriptación en reposo (vs «en movimiento») y la pseudonimización pueden ser apropiadas dependiendo de las circunstancias, pero no están ordenadas por el GDPR en cada instancia.
Rumor: «Los interesados en la UE tienen el derecho absoluto a que se eliminen sus datos personales previa solicitud».
Hecho: El derecho a que se eliminen los datos a menudo se denomina «el derecho al olvido». Sin embargo, el derecho al olvido no es un derecho absoluto. Tiene un alcance limitado y está sujeto a ciertas limitaciones (Artículo 17). En la mayoría de los casos, cuando se considera una solicitud de eliminación, se deben tener en cuenta varios factores relevantes; este derecho no se aplicará, por ejemplo, si el procesamiento es necesario para el cumplimiento de una obligación legal. Sin embargo, los interesados tienen el derecho absoluto de evitar que sus datos personales sean procesados con fines de marketing directo.
Rumor: «Un delegado de protección de datos es obligatorio para todas las compañías sujetas a GDPR.”
Hecho: GDPR solo exige un oficial de protección de datos cuando se aplica una de las siguientes condiciones: la organización es una institución gubernamental; la organización procesa ciertos tipos de datos sensibles (como datos sobre salud o religión) a gran escala como parte de sus actividades principales; o la organización supervisa sistemáticamente a las personas como parte de sus actividades principales (Artículo 37.1).
Rumor: “GDPR requiere una evaluación de impacto de protección de datos para todas las actividades de procesamiento que involucran datos personales de la UE».
Hecho: Según GDPR, una evaluación de impacto de protección de datos solo es necesaria cuando se trata de un procesamiento de alto riesgo de los datos personales de la UE, como el procesamiento a gran escala de ciertos tipos de datos personales sensibles, como datos sobre la salud de una persona; toma de decisiones automática sistemática y extensa que produce efectos legales o de importancia similar para las personas, como el uso de software de detección de fraude; y monitorización sistemática y a gran escala del espacio público (artículo 35.3).
Rumor: «La elaboración de perfiles y la toma de decisiones automáticas están prohibidas por GDPR».
Hecho: La elaboración de perfiles de personas y la toma automatizada de decisiones que involucren datos personales de la UE no están prohibidas, pero estas actividades de procesamiento pueden estar sujetas a ciertas condiciones. En particular, cuando las decisiones que afectan legal o similarmente a un individuo se realizan de forma automática, el interesado debe recibir información significativa sobre la lógica subyacente y sobre la importancia y las posibles consecuencias para ellos; en algunos casos debe tener la capacidad de exigir que un ser humano participe en el proceso (Artículo 22.3).
Una evaluación de impacto de protección de datos también puede ser requerida.
Rumor: «Si una organización se establece fuera de la UE, GDPR no se aplica a su procesamiento de datos personales de la UE».
Hecho: Independientemente de dónde se establezca una organización, el GDPR se aplica a los datos personales de la UE que se procesan en el contexto de ofrecer bienes y servicios (remunerados o no) a personas en la UE, o controlar el comportamiento de las personas en la UE, por ejemplo, colocando cookies en los dispositivos de las personas de la UE (artículo 3.2).