Guía sobre protección de datos
La importancia de la protección de datos es cada vez superior. El análisis de datos a gran escala y el incremento de las fuentes de obtención de los mismos han conducido a nuestro legislador y a la Unión Europea a implementar políticas cada vez más cautelosas.
Por eso, en la actualidad, la gestión de cualquier proyecto requiere contar con ciertas nociones en materia de tratamiento de datos de carácter personal. De hecho, las sanciones asociadas a las infracciones del ordenamiento son tan graves que resulta recomendable contar con un asesor especializado o, al menos, con un programa de compliance.
Este es el motivo por el que hemos decidido escribir una guía, donde analizaremos los puntos calientes al respecto de la protección de datos, tus nuevas obligaciones en la materia y las herramientas de las que dispone cualquier organización para cumplir con la normativa sobre la materia.
Reglamento General de Protección de Datos
Parece imprescindible que iniciemos esta guía hablando del Reglamento General de Protección de Datos (RGPD). Este es el nombre popular del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo.
El RGPD se aprobó con el objetivo de regular las formas de tratamiento de datos dentro del Espacio Económico Europeo. Así, estableció una serie de derechos en favor del titular de tales datos y de obligaciones del responsable de su tratamiento.
Además, facilitó la circulación de los datos y dió importancia al principio de proactividad, estableciendo un sistema de garantías que incluye un régimen sancionador para el caso de incumplimiento.
Analicemos el RGPD y su influencia en tu proyecto desde el principio.
Privacidad desde el diseño
La privacidad desde el diseño es la noción que indica que el tratamiento de datos debe ser adecuadamente planificado. De este modo se logra que desde un primer momento se garantice la integridad, accesibilidad y confidencialidad de la información manipulada.
En definitiva, la normativa europea pretende que cuides la protección de datos desde un momento previo al inicio de tu actividad.
El propio RGPD regula la cuestión en su artículo 25, al imponer al responsable del tratamiento de datos la observación de este principio.
Privacidad desde el diseño desde su perspectiva formal
Desde una perspectiva formal, la privacidad desde el diseño (privacy by design) busca que el responsable del tratamiento implemente soluciones de protección de datos desde las primeras etapas del proyecto. Por tanto, se basa en los siguientes principios:
Proactividad. Es decir, se trata de un modelo preventivo, no correctivo ni reactivo. Es el propio responsable quien debe prever riesgos y atajarlos, sin necesidad de autoridades externas.
Predeterminación. Es decir, la configuración del sistema debe partir de la mayor protección de la privacidad del usuario (se acabaron los checkbox premarcados).
Inicio en el diseño y mantenimiento durante el ciclo de vida. Las medidas de privacidad deben determinarse antes incluso de lanzar el proyecto. Este debe diseñarse en base a una buena política de privacidad, que se tiene que mantener durante todo el ciclo operativo del proyecto.
Enfoque centrado en el usuario. El titular de los datos personales a tratar debe protagonizar el sistema de tratamiento. De modo que se le debe facilitar el ejercicio de sus derechos e informar de toda la operativa incluso antes de que lo solicite.
Visibilidad y transparencia. No son más que correlatos del enfoque en el sujeto y la proactividad. Así, el sistema debe ser completamente transparente, para que el usuario conozca sus derechos y el uso que se va a hacer de su información personal. Además, debe quedar liberado de la carga de demostrar que el responsable del tratamiento incumplió la normativa vigente.
Privacidad desde el diseño desde su perspectiva material
Pero, ¿cómo se ponen en juego los principios de los que hemos hablado? Básicamente, el responsable del tratamiento de datos debe implementar medidas técnicas y organizativas que permitan garantizar la privacidad de sus usuarios.
¿Cuándo? Desde el mismo momento de determinar los medios de tratamiento y sin dejar de hacerlo durante todo el proceso. Es decir, el propio sistema de tratamiento de datos debe configurarse mediante esta filosofía.
Para ello pueden utilizarse técnicas como las siguientes:
Seudonimización. Esta técnica permite desvincular elementos sensibles mediante la atribución de identificadores. Al atribuir un seudónimo se imposibilita la identificación del sujeto, salvo que se cuente con el índice de identificadores.
Minimización de datos. Esta técnica consiste en reducir la cantidad de datos personales a recopilar. Su funcionamiento es sencillo: menos datos tratados equivale a menos riesgos asumidos.
Limitación del plazo de conservación o de la finalidad. Estas técnicas consisten en delimitar los ámbitos de conservación o utilización de los datos privados. Gracias a ello se aíslan y minimizan los riesgos.
La elección de los medios materiales que constituyan la “privacidad desde el diseño” corresponde al propio responsable del tratamiento. Para ello deberá tener en cuenta elementos como:
El estado de la técnica.
La naturaleza, ámbito, contexto y fines del tratamiento.
El coste de la aplicación de las medidas seleccionadas.
Los riesgos (en cuanto a probabilidad y gravedad) que entraña el tratamiento de los datos para los derechos y libertades de sus propietarios.
Cómo implementar la privacidad desde el diseño en tu proyecto
Los expertos en protección de datos establecen diseños basados en la privacidad mediante procedimientos cíclicos:
En primer lugar, se concibe el sistema. Este tendrá en cuenta las necesidades de la organización y aplicará las técnicas más efectivas (minimización, ocultación, separación, abstracción…).
Posteriormente se analiza la efectividad de estas técnicas. En ocasiones será necesario realizar ajustes, o bien incluir nuevas herramientas. También es posible que se puedan evitar algunos mecanismos, reduciendo los costes de la estrategia de protección de datos.
En tercer lugar debe diseñarse el sistema. Lo más habitual es partir de Patrones de Diseño (proyecto PRIPARE o ISO/IEC 29100:2011) e implementar tecnologías de privacidad (Privacy Enhancing Technologies o PETs).
Por último se debe poner en funcionamiento la organización, desarrollando y manteniendo las técnicas de protección de datos. Tras esta fase estará constituida la política de privacidad, sin perjuicio de su posterior revisión.
Al tratarse de un proceso cíclico, nada impide implementar estos sistemas en organizaciones que lleven tiempo en activo. Sin embargo, es recomendable dejar el diseño en manos de especialistas, que conozcan los Patrones de Diseño y PETs más apropiados para cada organización.
Nuevas garantías e instituciones en el ámbito de la protección de datos
Pero el RGPD no se limita a exigir la protección de la privacidad desde el diseño y por defecto. También establece un sistema de seguimiento, que ha introducido figuras como el delegado de protección de datos o los análisis de riesgos.
El objetivo de estas novedosas instituciones es garantizar la seguridad del tratamiento de datos, pero también la posibilidad de ejercicio de los diferentes derechos digitales.
En el caso de que se produzcan incumplimientos, la organización deberá afrontar importantes sanciones.
De modo que la protección de datos ya no es una mera declaración de intenciones, sino uno de los aspectos capitales a respetar por cualquier compañía.
Particularidades del consentimiento
En primer lugar, el RGPD ha dado más importancia al consentimiento del usuario respecto al tratamiento de sus datos. Así, el consentimiento debe ser expreso e informado. Además debe ser revocable en cualquier momento, y tan fácil de revocar como de prestar.
El responsable del tratamiento de datos será el encargado de demostrar que el usuario concedió su consentimiento. De modo que deberá registrar sus operaciones de tratamiento para evitar problemas en caso de reclamación.
¿Cómo debo obtener el consentimiento de los usuarios de mi sitio web?
En definitiva, cuando quieras obtener el consentimiento de los usuarios de tu sitio web para tratar sus datos personales necesitarás:
Informarles de:
La identidad y datos de contacto del responsable del tratamiento, su representante y, en su caso, el delegado de protección de datos.
Fines a los que destinarás sus datos personales y base jurídica del tratamiento.
Destinatarios o categorías de destinatarios.
Plazo durante el cual conservarás la información.
Derechos que le asisten (que explicamos más adelante).
Posibilidad de presentar una reclamación ante la autoridad de control.
Existencia de decisiones automatizadas.
Si la obtención de datos es un requisito legal o contractual para suscribir operaciones.
Obtener un consentimiento expreso. Lo cual implica cierta acción por parte del usuario, por lo que no puedes emplear checkbox premarcadas.
Inscribir el consentimiento expreso en tu registro de actividades de tratamiento, por si alguna autoridad de control te somete a inspección.
Categorías especiales de datos
En segundo lugar, el RGPD ha establecido un régimen de especial protección a ciertas categorías de datos. Particularmente son los datos personales que revelen:
Origen étnico o racial del particular.
O sus opiniones políticas o convicciones religiosas o filosóficas.
Afiliación sindical.
Datos genéticos y biométricos.
Información sanitaria.
Datos relativos a la vida u orientación sexual.
Condenas e infracciones penales.
¿Qué debo hacer si trato datos personales especialmente protegidos?
En estos casos resultan de particular importancia la figura del delegado de protección de datos y las evaluaciones de impacto. Más adelante te hablamos sobre ambas instituciones, que deberás introducir en la operativa de tu compañía.
Derechos digitales de los particulares
En tercer lugar, el RGPD establece una serie de derechos en favor del particular. La mayoría de ellos ya existía antes de la entrada en vigor del Reglamento, pero este introduce algunas novedades. Tales derechos son:
Información. Es previo a la obtención de datos, y requiere que el responsable identifique:
Identidad y datos de contacto del responsable y, en su caso, de su representante y el delegado de protección de datos.
Fines del tratamiento y base jurídica del mismo.
en su caso, destinatarios o categorías de destinatarios de los mismos, así como la eventual intención de transferir esta información.
Plazo durante el que se conservan los datos y derechos que asisten al particular.
Derecho a presentar reclamaciones ante las autoridades de control.
Acceso. Permite al interesado solicitar información sobre qué datos personales se están tratando, de qué modo y con qué finalidad.
Rectificación. Permite al interesado solicitar la rectificación de los datos inexactos sin dilación.
Supresión. También conocido como derecho al olvido, permite al interesado solicitar la eliminación de sus datos tratados.
Limitación del tratamiento. Permite al interesado solicitar la limitación del tratamiento de sus datos personales.
Portabilidad. Permite al interesado recibir los datos personales que le incumban y transmitirlos a otro responsable del tratamiento.
Oposición. Permite al interesado oponerse en cualquier momento al tratamiento de sus datos.
No ser objeto de decisiones basadas únicamente en el tratamiento automatizado. Garantiza que el interesado no sea objeto de este tipo de decisiones, basadas por ejemplo en la elaboración de perfiles.
¿Qué debo hacer si el usuario ejercita sus derechos digitales?
Evidentemente, deberás actuar inmediatamente. Si la solicitud se ha realizado por medios digitales podrás responder por esta vía. Ten en cuenta que no puedes poner trabas ni cobrar tasas (salvo por la sucesiva emisión de copias).
En caso de que hayas hecho públicos los datos obtenidos o los hayas compartido con terceros tendrás que poner todos los medios disponibles para comunicarles las solicitudes de variación, limitación o supresión.
Además, debes recordar que si la finalidad del tratamiento es la mercadotecnia directa, el usuario puede oponerse en cualquier momento al mismo.
Registro de actividades de tratamiento
En cuarto lugar, con el objetivo de desarrollar el principio de responsabilidad proactiva, el RGPD establece la obligación de llevar un registro de actividades de tratamiento. Este registro evita la necesidad de solicitar autorizaciones de las autoridades de control.
Su objetivo es documentar las operaciones de tratamiento, con el objetivo de facilitar las eventuales tareas de control de tales autoridades.
Notificación de violaciones de seguridad
En quinto lugar, el RGPD establece otra obligación relevante en materia de protección de datos. Se trata del deber de notificar las violaciones de seguridad, tanto a la autoridad de control como a los interesados.
El responsable del tratamiento no solo deberá notificar sus brechas de seguridad sin dilación, sino que también deberá detallar las medidas adoptadas para solucionarlas o mitigar sus efectos.
¿Cómo se notifican las brechas de seguridad?
Si la brecha de seguridad puede afectar a los derechos o libertades de las personas físicas, deberás notificarla sin dilación a los afectados. Tendrás que emplear un lenguaje claro y comprensible.
Solo puedes evitar esta notificación si:
Has adoptado medidas que hagan ininteligibles los datos personales u otras de carácter técnico y organizativo apropiadas.
O has tomado medidas ulteriores que eviten la concreción del riesgo.
Además, si el esfuerzo resulta desproporcionado puedes sustituir la notificación individual por una comunicación pública.
Respecto a la notificación a autoridades de control, debe realizarse en menos de 72 horas salvo que resulte improbable que de la brecha de seguridad se deriven riesgos para los derechos y libertades de las personas físicas. En caso de retrasarte deberás justificar tu demora.
Esta notificación incluirá:
Naturaleza de la violación de la seguridad.
Datos de contacto del delegado de protección de datos.
Posibles consecuencias de la brecha de seguridad.
Medidas adoptadas o propuestas para remediar la brecha de seguridad o mitigar sus efectos.
Evaluaciones de impacto
Otra de las medidas relevantes en materia de protección de datos es la obligación de realizar evaluaciones de impacto cuando el tratamiento de datos pueda afectar a derechos y libertades de personas físicas.
Esta tarea se realizará de la mano del delegado de protección de datos, incluyendo funciones como:
Descripción de operaciones de tratamiento.
Evaluación de su necesidad y la proporcionalidad con sus fines.
Análisis de riesgos para derechos y libertades.
Medidas previstas para afrontar estos riesgos.
¿Cómo es una evaluación de impacto?
La evaluación de impacto es un procedimiento que debería dejarse en manos de profesionales. Su contenido incluye los elementos que hemos destacado.
Además, la organización deberá tener en consideración los códigos de conducta que haya suscrito, y podrá recabar la opinión de interesados y representantes de los mismos.
Siempre que existan cambios en la política de protección de datos deberá verificarse que la evaluación realizada sigue siendo oportuna. En caso contrario habrá que repetirla.
En el caso de detectarse riesgos considerables, antes de proceder al tratamiento habrá que realizar una consulta previa a la autoridad de control. Esta responderá en el plazo de ocho semanas (prorrogables), pudiendo asesorar al interesado para que su operativa se adapte al RGPD.
Delegado de protección de datos
Otra novedad relevante que queremos destacar es la figura del delegado de protección de datos. Este cargo es obligatorio cuando las actividades de tratamiento:
Sean gestionadas por una autoridad u organismo público.
Requieran la observación habitual y sistemática a gran escala.
Afecten a las categorías de datos especialmente protegidas a gran escala.
La función de este delegado de protección de datos es garantizar el cumplimiento del RGPD. Además de ofrecer asesoramiento al responsable o encargado del tratamiento supervisará su operativa, cooperando con la autoridad de control.
Régimen de responsabilidad
Por último, el RGPD establece un sistema de responsabilidad, que garantiza el derecho de todo aquel lesionado por el tratamiento de datos a:
Recibir una indemnización por daños y perjuicios.
Y reclamar la correspondiente responsabilidad del responsable o encargado del tratamiento de datos.
Las infracciones el Reglamento de protección de datos pueden ser sancionadas:
Con multas administrativas de hasta 10 millones de euros o el 2 % del volumen de negocio anual de la compañía (la que sea de mayor cuantía).
Ante las infracciones más graves, la sanción puede alcanzar los 20 millones de euros o el 4 % del volumen de negocio anual del ejercicio anterior.
En definitiva, el RGPD establece un sistema sancionador de graves consecuencias para las compañías que no respeten sus disposiciones. He aquí la importancia de contar con asesores especializados cuando la empresa tiene cierta entidad o gestiona información personal sensible.
La legislación española de protección de datos
Pero las obligaciones de una organización en materia de protección de datos no terminan en el respeto al RGPD. El 5 de diciembre se aprobó la LO 3/2018, de Protección de Datos Personales y garantía de los derechos digitales.
Esta norma no solo introduce en nuestro ordenamiento las cuestiones reguladas en el RGPD, sino que también conlleva ciertas novedades. Entre ellas:
El régimen de tratamiento de datos de contacto profesionales.
Los sistemas de información crediticia.
El tratamiento con fines de videovigilancia.
Sistemas de información de denuncias internas (whistleblowing) y exclusión publicitaria.
Tratamientos relacionados con la estadística pública o con fines de archivo en interés público.
Tratamiento de datos relativo a infracciones y sanciones administrativas.
Esta norma también se encarga de las autoridades de protección de datos, en cuya cúspide destaca la AEPD.
Por último, detalla un régimen sancionador, que salvaguarda la garantía de los derechos digitales.
Analicemos las cuestiones básicas de la LO 3/2018.
Tratamiento de datos de contacto profesionales
El tratamiento de los datos de contacto de empresarios individuales y profesionales liberales se presume lícito siempre que se limite a localizarlos para mantener relaciones comerciales. En este sentido, queda excluido el uso de estos datos para establecer relaciones personales.
Sistemas de información crediticia
Son válidos los ficheros de morosos, siempre que respeten las condiciones legales. En particular, los requisitos para que un sistema de información crediticia pueda registrar a un particular son:
Que sea el acreedor quien haya facilitado los datos.
Además, que estos refieran a deudas ciertas, vencidas, exigibles y no disputadas.
Que el acreedor haya informado al deudor de la posibilidad de incluirlo en estos ficheros en caso de impago.
Y que los datos no se mantengan en el fichero más de cinco años, siendo accesibles tan solo a los acreedores que mantengan o vayan a mantener una relación comercial con el deudor.
La ley establece otros requisitos y particularidades, pero básicamente permite que se mantengan ficheros como el ASNEF o RAI.
¿Cómo salir de un fichero de morosos?
Hace un tiempo redactamos una guía sobre cómo salir de los sistemas de información crediticia, cuya lectura recomendamos.
Tratamiento con fines de videovigilancia
La única justificación permitida para tratar datos con fines de videovigilancia es preservar la seguridad de personas, bienes e instalaciones. En cualquier caso, debe limitarse en la medida de lo posible la captación de imágenes en la vía pública.
Además, es necesario que se informe al transeúnte de esta actividad de tratamiento de datos, y que estos sean suprimidos de la base de datos en el plazo máximo de un mes.
¿Puedo instalar un sistema de videovigilancia en mi comunidad de vecinos?
La captación de imágenes dentro del domicilio personal excluye la aplicación de este régimen. Pero las comunidades de vecinos no se encuentran incluidos en esta categoría.
Esto implica que para poder instalar una videocámara de vigilancia en el portal del edificio deberán seguirse todas las previsiones del RGPD, así como las recomendaciones de la AEPD sobre la materia. La responsable de la protección de datos será la propia Comunidad de Propietarios.
Canales de denuncias internas
Con el fin de posibilitar su operativa, la LO 3/2018 establece la licitud del tratamiento de datos en canales de denuncias internas. Sin embargo, las operaciones de tratamiento deben quedar limitadas a quienes desarrollen funciones de control y cumplimiento, debiéndose impedir el acceso de otras personas.
En cuanto terminen las actuaciones de inspección o control o, en todo caso, transcurridos tres meses, deberán suprimirse los datos del canal de denuncias internas.
Sistemas de exclusión publicitaria
Se presume legítimo el tratamiento de datos siempre que su objetivo sea excluir al particular de una lista de distribución de comunicaciones comerciales. En caso contrario no podría evitarse la emisión de comunicaciones indeseadas.
Además, estos sistemas son accesibles, a fin de que el promotor de la acción comercial pueda consultarlos y excluir de su campaña a quienes hayan solicitado ser excluidos de este tipo de acciones.
Régimen sancionador
La LO 3/2018 establece un sistema de graduación de las infracciones:
Infracciones muy graves. Suponen una vulneración sustancial de los arts. 83.5 y 83.6 del RGPD y prescriben a los 3 años.
Infracciones graves. Suponen una vulneración sustancial del art. 83.4 del RGPD y prescriben a los dos años.
Infracciones leves. Suponen una infracción formal de los arts. 83.4 y 83.5 del RGP y prescriben al año.
Además de aplicarse las sanciones ya mencionadas y contenidas en el RGPD, pueden establecerse medidas correctivas e incluso publicar la sanción en el BOE o diario correspondiente.
Conclusión: sobre el cumplimiento de la normativa de protección de datos
En definitiva, el cumplimiento de la normativa de protección de datos no es sencillo. Paradójicamente, una cuestión cada vez más extendida y necesaria se está volviendo también más compleja.
Por eso es importante contratar a consultores en materia de protección de datos, que puedan realizar una auditoría de la compañía para comprobar si está incumpliendo alguna norma. En tal caso podrán proponer medidas correctivas.
Otra de las recomendaciones en esta materia es diseñar un programa de compliance. También conocidos como planes de cumplimiento normativo, estos programas permiten descubrir y prevenir vulneraciones del ordenamiento jurídico antes de que se produzcan.
En caso de ser objeto de una reclamación, la organización deberá contratar los servicios de un abogado especialista en protección de datos. El problema es que, generalmente, la asesoría correctiva es menos rentable que la preventiva.