Guía de adaptación al Reglamento de Protección de Datos

RGPD Reglamento Proteccion de Datos

El uso, recopilación y manejo de datos de terceros en un blog o en una página web es un tema muy importante que tiene que estar correctamente regulado, y más con el nuevo reglamento RGPD de protección de datos.

Para tratar este tema, cuento con este artículo de invitado de los chicos de Marketing OnLaw.  Te dejo con ellos:

Muchas gracias Pablo, por la posibilidad de colaborar contigo en este post de invitado.

El nuevo reglamento de protección de datos viene a sustituir a la actual LOPD. Son muchas las dudas que se suscitan al respecto de cómo adaptar nuestro negocio al RGPD, por lo que nunca está de más echar mano de una guía como esta que os traemos para abordar los diferentes puntos que exige la ley al sector privado con respecto al uso de la información personal.

Las entidades del ámbito público o aquellas que hacen uso de datos especialmente protegidos necesitan llevar a cabo una hoja de ruta más específica que la que aquí proponemos. En cualquier caso, los pasos indicados en esta guía son también necesarios para ellos.

1. Identificar la base jurídica

En otras palabras, tener claro la legitimación para el tratamiento de datos.

El tratamiento más común en el ámbito del marketing suele estar basado en el consentimiento de los interesados, en cuyo caso habría que verificar que ese consentimiento reúne los requisitos que exige el RGDP (libre, informado, específico e inequívoco).

De hecho, los consentimientos obtenidos anteriormente y que no cumplan con los nuevos requisitos, tendrán que ser renovados. Aunque esto sea un gran inconveniente, se puede aprovechar para filtrar nuestra base de datos y hacer un poco de marketing de repulsión, como bien dice Néstor Marquinez.

En otros casos, los tratamientos básicos también pueden basarse en la existencia de una relación contractual entre el interesado o el responsable o en obligaciones legales para este, como por ejemplo en el ámbito de la legislación laboral.

También puede haber situaciones en los que exista interés legítimo por parte del responsable. En todos estos casos, el responsable debe asegurarse de que todos los tratamientos que realiza pueden apoyarse en alguna de esas bases.

2. Adaptar políticas de privacidad y formularios de captura de datos

Según la actual LOPD, los datos recogidos, en un formulario en nuestra página web o por otros medios deben ser adecuados, pertinentes y no excesivos.

Es decir, que no pueden usarse para finalidades incompatibles con aquellas para las que han sido recogidos. La información que debe facilitarse a los interesados es la siguiente:

  • La existencia de un fichero o de un registro de actividades del tratamiento.
  • La finalidad de la recogida y los destinatarios de la información.
  • El carácter obligatorio o facultativo de responder a las preguntas planteadas.
  • Las consecuencias de la obtención de los datos o de la negativa a suministrarlos.
  • La posibilidad de ejercitar los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO).
  • La identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Sin embargo, el RGPD añade más información así como nuevos requisitos que deben

cumplirse. Para hacer compatible la mayor exigencia de información que introduce el RGPD y la concisión y comprensión en la forma de presentarla, la AEPD recomienda usar un modelo de información por capas.

Así, para cumplir con el reglamento, hemos de incluir una mini-versión de la política de privacidad en nuestros formularios informando de la identidad del responsable del tratamiento, de la finalidad, de la legitimación o base jurídica, de la existencia de destinatarios o la previsión de cesiones, hacer referencia al ejercicio de derechos y mencionar la procedencia de los datos.

Esta información se detallará posteriormente en la segunda capa, mencionando explícitamente:

Responsable

  • Datos de contacto del Responsable
  • Identidad y datos de contacto del representante
  • Datos de contacto del Delegado de Protección de Datos

Finalidad

  • Descripción ampliada de los fines del tratamiento
  • Plazos o criterios de conservación de los datos
  • Decisiones automatizadas, perfiles y lógica aplicada

Legitimación

  • Detalle de la base jurídica del tratamiento, en los casos de obligación legal, interés público o interés legítimo
  • Obligación o no de facilitar datos y consecuencias de no hacerlo

Destinatarios

  • Destinatarios o categorías de destinatarios
  • Decisiones de adecuación, garantías, normas corporativas vinculantes o situaciones específicas aplicables

Derechos

  • Cómo ejercer los derechos de acceso, rectificación, supresión y portabilidad de sus datos, y la limitación u oposición a su tratamiento
  • Derecho a retirar el consentimiento prestado
  • Derecho a reclamar ante la Autoridad de Control

Procedencia

  • Información detallada del origen de los datos, incluso si proceden de fuentes de acceso público
  • Categorías de datos que se traten

Además, como hemos señalado, el consentimiento debe ser libre, informado, específico e inequívoco, lo que implica el uso de un checkbox sin marcar en el caso de formularios en páginas web.

3. Establecer mecanismos para el ejercicio de derechos

Este punto ya se intuye en el apartado anterior. Aparte de los conocidos derechos ARCO, se añaden algunos nuevos.

Por ejemplo, hemos de tener en cuenta los derechos de supresión y portabilidad de los datos, así como el de limitación del tratamiento, el derecho a retirar el consentimiento prestado o la posibilidad de reclamar ante la Autoridad de Control.

Es interesante señalar el derecho al olvido, por medio del cual podemos solicitar la eliminación de todo el rastro que hemos dejado detrás de nosotros. No obstante, este concepto puede chocar en ocasiones con la libertad de expresión e información.

Pues bien, es necesario informar de todas estas cuestiones antes de recoger los datos, indicando a los interesados tanto la existencia de estos derechos como el modo de ejercerlos, ya sea poniéndose en contacto con el Delegado de Protección de Datos o con nosotros mismos mediante email o de cualquier otra forma.

4. Realizar un registro de actividades de tratamiento

Una de las novedades que introduce el reglamento es la sustitución de la inscripción de los ficheros de datos en la AEPD. En su lugar, no obstante, es necesario llevar a cabo un registro que dé fe del tipo de actividades que se lleven a cabo con respecto al tratamiento de datos. Del mismo modo que ocurría antes, los supuestos para realizar más de un registro son los mismos que en el caso de la inscripción de ficheros (el fichero de CLIENTES no es el mismo que el de EMPLEADOS, PROVEEDORES o el de las cámaras de seguridad).

Este documento puede ser requerido por la agencia en cualquier momento, por lo que hay que elaborarlo con detalle.

Los datos que ha de incluir son los siguientes:

  • Finalidad del tratamiento.
  • Descripción de las categorías en las que se clasifican los interesados
  • Descripción de los tipos de datos personales de los interesados
  • Las categorías de destinatarios a quienes se comunicaron o comunicarán los datos
  • personales. Por ejemplo, la Administración Tributaria o nuestros proveedores.
  • Transferencias internacionales de datos y documentación de garantías para transferencias
  • Cuando sea posible, los plazos previstos para la supresión de las diferentes categorías de datos
  • Cuando sea posible, una descripción general de medidas de seguridad:

También se pueden incluir otros elementos, como la identifica de la base jurídica o los resultados del análisis de riesgo o de impacto. Obviar esta obligación se considera una infracción grave y las sanciones pueden alcanzar los 20 millones de euros o el 4% de la facturación anual. Aquí podéis ver algunos ejemplos de modelos de registro de actividades de tratamiento.

5. Análisis de riesgos

Esta consideración se desprende del principio de responsabilidad proactiva y del concepto de privacidad por diseño y por defecto.

La gestión de riesgos es, de hecho, una actividad recurrente en los negocios y se utiliza para medir la posibilidad de que se materialice una amenaza y el impacto que esta tendría.

Así pues, para evaluar los riesgos, hay que considerar todos los posibles escenarios en los cuales se harían efectivos, así como los daños que implicarían (alto, medio, bajo, insignificante, etc.).

De este modo, el siguiente paso es tomar las medidas adecuadas (contraseñas, seudonimización y cifrado de datos personales, capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidentes, procesos de verificación, entre otros) y establecer mecanismos y procedimientos para la notificación de brechas a la AEPD y, llegado el caso, a los propios interesados.

Los resultados de este análisis deben recogerse en una política general de protección de datos y una política de seguridad de la información, que vienen a ocupar el lugar del actual “documento de seguridad”.

Como norma general cuando se inicia un nuevo tratamiento, recomendamos utilizar la herramienta Facilita RGPD, diseñada por la Agencia de Protección de Datos. Si el tratamiento se ajusta a la herramienta, no harán falta estudios posteriores. En caso contrario, será necesario realizar esta gestión de riesgos (aquí podéis encontrar una guía para llevar a cabo el análisis de riesgos) y, cuando se trate de tratamientos de alto riesgo, será necesario una evaluación de impacto.

6. Valorar la necesidad de un Análisis de impacto

Y hacerlo en caso de que esta exista. un tratamiento de alto riesgo.

La Evaluación de Impacto (EIPD) es una herramienta de carácter preventivo cuyo objetivo es identificar, evaluar y gestionar los riesgos a los que están expuestas sus actividades de tratamiento con el objetivo de garantizar los derechos y libertades de las personas físicas. Su objetivo es establecer las medidas de control más adecuadas para reducir el mismo hasta un nivel considerado aceptable.

Para llevarlo a cabo, conviene contar con una metodología que pase por realizar un estudio de contexto en el cual se describa el ciclo de vida de los datos (las actividades previstas, el tipo de datos, los intervinientes, sistemas implicados, etc.), así como la proporcionalidad del tratamiento con respecto a su finalidad.

Después del estudio de contexto, se llevará a cabo la gestión de riesgos, identificando las amenazas y clasificando su impacto para luego tratar dichos riesgos.

Por último, se llevarán a cabo las acciones de validación, redactando un informe de conclusiones en el que se documenten los resultados y se detallen las medidas de control implementadas y a implementar en un plan de acción.

La Evaluación de Impacto no acaba una vez se han hecho estas acciones, sino que, según el RGPD, los responsables deberán revisar si los tratamientos siguen siendo conformes con la Evaluación a la que hubieran sido sometidos y, en todo caso, hacerlo cuando exista un cambio del riesgo del tratamiento. 

Para realizarla, podéis consultar la guía para le evaluación de impacto que ha elaborado la AEPD.

7. Valorar si los encargados ofrecen las garantías suficientes

Por último, también será necesario adaptar los contratos con nuestros proveedores. Esto es así por el principio de responsabilidad proactiva, que exige que todos los implicados

en el tratamiento de datos velen por su cumplimiento. Si tus proveedores, de email marketing, de hosting, etc., no llevan a cabo sus actividades conforme al RGPD, deberás buscarte otros, pues es responsabilidad tuya. Por otra parte, el RGPD también se aplica al tratamiento de datos personales de interesados que residan en la Unión realizado por un encargado no establecido en la Unión si las actividades que realiza están relacionadas con la oferta de bienes o servicios el control del comportamiento, en la medida en que tenga lugar en la Unión.

La Comisión Europea publica una lista de países con una legislación apropiada en cuanto a protección de datos. Además, puedes echarle un ojo a las entidades suscritas al acuerdo Privacy Shield si los encargados del tratamiento no se sitúan en estos países.

¡Y eso es todo!

Una vez hechas estas tareas, estaremos totalmente preparados para afrontar el nuevo marco regulatorio europeo. No obstante, pueden ser temas complicados y aburridos, sobre todo la elaboración del análisis de impacto o la adaptación de las políticas y mecanismos para garantizar la privacidad y la seguridad.

Por eso, recomendamos que contactéis con profesionales que os asesoren a la hora de realizar estas acciones.