La protección de datos de carácter personal es uno de los derechos irrenunciables de la personalidad que acompañan al ser humano desde el día de su nacimiento. Otros, en esta misma categoría, son el derecho a la vida, a tener un nombre, al honor, a la intimidad, a la privacidad y la propia imagen.
El objetivo de este derecho es salvaguardar la autodeterminación informativa de las personas físicas; es decir, proteger el control que toda ser humano debe tener sobre toda información que le concierna.
Este derecho no es absoluto; es decir, no está por encima de todos los demás, sino que puede ser limitado en algunos casos en pro de libertad de expresión, de pensamiento o la diversidad cultural, religiosa y lingüística, entre otros. Estos límites se interpretan de una forma diferente en cada lugar del mundo, incluidos los diferentes estados de Europa, y en función de las normas que cada estado haya querido establecer para regularlo.
El Reglamento General de Protección de Datos (RGPD o GDPR) [y su corrección] es la apuesta de la Unión Europea para crear un espacio común y único de libertad, seguridad y justicia basada en el tratamiento adecuado de los datos de carácter personal bajo seis principios:
La responsabilidad proactiva impuesta a través del GDPR exige, a las empresas que tratan datos, documentar los esfuerzos y las acciones que realizan para cumplir esta norma.
El incumplimiento de la norma puede tener como consecuencia una advertencia por parte de la Autoridad de Control, un apercibimiento o una multa administrativa de 20 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior (aplicable sobre lo facturado por el grupo de empresas), optándose por la de mayor cuantía.
GDPR parte de la base de que el tratamiento de datos debe servir a la humanidad y aporta un desarrollo normativo adaptado al cambio tecnológico con el foco puesto en el impulso del intercambio legal de datos.
España cuenta con normativa propia de protección de datos diferente a la que existe en el resto de países de la Unión Europea. GDPR reconoce margen de maniobra para la normativa local haciendo cincuenta y seis remisiones a los ordenamientos nacionales.
Algunos de los sectores de actividad en España que cuentan con normativa propia son: marketing, jurídico, laboral, sanitario, financiero, educación, prensa, telecomunicaciones y administración pública.
Dato personal es toda información sobre una persona física identificada o identificable.
Se tratan nuestros datos personales cuando nos registramos en una feria, nos suscribimos a una newsletter o nos atienden en un hospital.
Ejemplos: nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona…
Algunas de las principales normas sobre protección de datos en España, son las siguientes (ver código):
Todo ser humano cuenta con derecho a la protección de datos de carácter personal.
Sin embargo, solo están protegidos por la normativa de la Unión aquellos cuyos datos sean tratados por los sujetos obligados.
Ejemplo: Los datos de personas de Japón que consten en ficheros de una empresa española están protegidos por GDPR. Sin embargo, si constan solo en una empresa japonesa no disfrutarán, en principio, de esta protección.
GDPR y la demás normativa de protección de datos establecen obligaciones para las empresas, los autónomos, las asociaciones, las fundaciones… y para toda persona física o jurídica dedicada a una actividad económica o profesional siempre que se cumpla al menos uno de estos requisitos:
También están protegidos, pero no por esta vía sino por otra normativa específica, los datos societarios, los que se traten para actividades domésticas o personales sin conexión profesional, los datos incorporados a ficheros no estructurados (siempre que no se pretenda estructurarlos) y los datos relativos a la seguridad nacional o europea y política exterior de los Estados.
Ejemplos de empresas sí sujetas al GDPR:
Ejemplos de empresas no sujetas:
Las empresas que quieran tratar datos personales tienen que obtener el consentimiento de las personas cuyos datos van a ser objeto de tratamiento. Este consentimiento debe obtenerse después de haberles informado de manera clara, transparente y leal sobre los detalles fundamentales del tratamiento proyectado.
La entrega de la información por capas es una de las principales novedades y, en un futuro, se facilitará su comprensión gracias al uso de iconos:
En relación con la instalación o uso de cookies no técnicas u otro tipo de dispositivo similar, la información también se entrega por capas. En una primera se ha de informar sobre el hecho de que se usan cookies (tipo de cookie y si son de primera parte o de tercera) y permitir el acceso a una segunda en la que se informe de qué es una cookie, del tipo de cookies que se usan en el sitio web concreto, de la finalidad de estas y de la forma existente para borrarlas, así como de la posibilidad o imposibilidad de identificar a los afectados.
Existen, fundamentalmente, cuatro tipos de consentimientos:
Los casos de consentimiento explícito son determinados y escasos. Algunos de los principales son:
La norma exige a la empresa guardar una prueba documental de estos consentimientos, como parte de su responsabilidad proactiva.
GDPR establece obligaciones concretas para las empresas en relación con la forma en la que gestionan el tratamiento de datos de carácter personal.
Una de las obligaciones principales que establece GDPR es la de formar en protección de datos y ciberseguridad a las personas que vayan a tener acceso a los datos de carácter personal. Vinculado a esta, se establece la obligación para el empresario de poder probar esta formación continua.
Otra de estas obligaciones es la elaboración, actualización y llevanza continua de un documento de seguridad.
El documento de seguridad es el conjunto de instrucciones corporativas, protocolos internos y contratos con externos enfocado al cumplimiento de la normativa de protección de datos y a la generación y custodia de pruebas documentales de ello.
Lejos de la idea de un manual encuadernado con una espiral, el documento de seguridad es un instrumento vivo que debe ser mantenido, por ejemplo, mediante una sección de páginas en la intranet de la empresa o un árbol de carpetas con permisos de acceso de lectura o privilegios de edición para el personal según la necesidad.
El Documento de Seguridad adaptado al GDPR puede elaborarse con la estructura que se desee y debería incluir, al menos, estos elementos:
A través de la elaboración del documento de seguridad, la empresa definirá con detalle las finalidades de cada tratamiento, determinará la necesidad de contar con un DPO (Delegado de Protección de Datos), realizar una EIPD (Evaluación de Impacto sobre la Protección de Datos), analizar los riesgo de los tratamientos identificados, establecer medidas de seguridad, elaborar protocolos… y actualizar todo lo anterior de forma continuada en el tiempo.
El objetivo es lograr un espacio confiable para el tratamiento de datos formado por empresas comprometidas por la calidad en el servicio orientado al cliente y en el respeto de sus datos personales y de su derecho a controlarlos (autodeterminación informativa).
Uno de los pilares sobre los que se sustenta la protección de datos de carácter personal es la la responsabilidad proactiva.
La responsabilidad proactiva es la responsabilidad que asume la empresa (o el responsable del tratamiento de que se trate) de poder demostrar su cumplimiento de los seis principios de la protección de datos de carácter personal: licitud, lealtad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; e integridad y confidencialidad.
La responsabilidad proactiva se concreta en la adopción de políticas de cumplimiento basadas en la mitigación de riesgos y en la generación y el mantenimiento de prueba documental de todos los esfuerzo y acciones que emprenda para cumplir la normativa de protección de datos.
La piedra angular de la responsabilidad proactiva es el principio de protección de datos desde el diseño y por defecto, consistente en analizar cada tratamiento que se vaya a iniciar o que esté en curso para determinar, con vistas al futuro, las medidas adecuadas para garantizar los seis principios de la protección de datos de carácter personal y el cumplimiento resiliente del resto de GDPR y la normativa vinculada.
Cuatro vías iniciales de cumplimiento de esta proactividad son las siguientes:
A todo esto se le suma un especial hincapié en la adecuación constante y resiliente (con capacidad de sobreponerse ante adversidades) de los procesos y los sistemas al estado de la técnica en ciberseguridad, así como la obtención y custodia de pruebas documentales de toda acción tomada para cumplir GDRP y la normativa vinculada.
GDPR amplía el elenco de derechos que toda persona física puede ejercitar sobre el tratamiento de sus datos de carácter personal.
Ahora, las personas pueden ejercitar, entre otros, estos derechos:
Otros derechos a disposición de los interesados, además del derecho a ser informado sobre el tratamiento pretendido, son:
Modelos, formularios y más información sobre los derechos referidos: Página oficial de la Agencia Española de Protección de Datos
Posibilidad de retirar el consentimiento: en el caso de que se haya otorgado el consentimiento para alguna finalidad específica, el interesado tiene derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada.
Cómo reclamar ante la Autoridad de Control: Si un interesado considera que hay un problema con la forma en que la empresa está manejando sus datos, puede dirigir sus reclamaciones a la autoridad de protección de datos que corresponda, siendo la Agencia Española de Protección de Datos la indicada en el caso de España.
Sigue estos consejos para saber qué es lo que no tienes que hacer:
Si te dedicas al marketing:
Recuerda: sobre ti pesa la carga de la prueba. Si no puedes probar que te dieron un consentimiento… es que no te lo dieron. Mantén tu responsabilidad proactiva.
Consejos generales de lo que sí tienes que hacer:
Si te dedicas al marketing:
Recuerda: obtén y custodia prueba documental de todos tus esfuerzos y de las acciones que tomes para cumplir GDPR y la normativa vinculada.