Qué lecciones sacamos tras un año de GDPR o RGPD
Como muchos sabrán, el GDPR o RGPD no es una norma que entrara en vigor el 25 de mayo de 2018 sino que era de aplicación directa desde esa fecha. Esto es, todo el que no la hubiera tenido en cuenta, debía aplicarla a partir de ese momento. Pero la norma, en realidad, había entrado en vigor en 2016, dando un margen de dos años para que las empresas se adaptaran a ella.
Para los expertos en materia de protección de datos como, por ejemplo, nuestro despacho, los años 2017 y 2018, han sido un poco «de locos», con múltiples consultas, servicios relacionados con el cumplimiento del GDPR, prisas, urgencias…
Si bien, por suerte, de momento, hemos sobrevivido y, de hecho, estamos enormemente agradecidos por la confianza que nos han prestado muchos clientes. No obstante, tras un año de aplicación, nos parecía interesante reflexionar sobre las lecciones que hemos aprendido del Reglamento Europeo de Protección de Datos Personales.
Lecciones aprendidas con el RGPD o GDPR
1. Claridad y transparencia en el consentimiento informado, más protección del usuario
Ya la antigua normativa indicaba claramente que los datos son del titular de esa información, esto es, del usuario, cliente, trabajador… esto es, la persona cuyos datos se recaban para ofrecerle un servicio, venderle algo o simplemente, gestionar sus datos para una finalidad concreta.
Si bien, el RGPD insiste en este hecho, reforzando la necesidad de informar detenidamente sobre las prestaciones de servicios que se ofrecen al usuario, exigiendo el detalle, la personalización, la claridad, el enfoque a las personas a quiénes se dirige la información o prestación del servicio… Se debe informar también específicamente sobre los usos que se le van a dar a estos datos, no siendo válidas las informaciones demasiado abstractas o generales. De este modo, el usuario también dará su consentimiento de forma individualizada, no aceptando términos opacos o poco claros, sino siendo conocedor de lo que se le ofrece y discerniendo lo que sí acepta como prestación y tratamiento de sus datos y lo que no acepta.
Por lo tanto, la clave para cumplir con el RGPD en este punto es la transparencia, la información clara y un consentimiento explícito (por regla general) sobre dichos tratamientos de datos personales.
2. Análisis de riesgo previo al tratamiento de los datos personales
Si bien como asesores, nosotros siempre hemos ido por la línea de analizar los proyectos de los clientes y ver si cumplían con el anterior principio de calidad de la normativa de protección de datos; con el RGPD, esto es un hecho. De este modo, se establecen y exigen, en algunos casos, mecanismos, herramientas o soluciones que deben implementarse de forma muy recomendable u obligatoria en función del caso o riesgo para la privacidad que represente el proyecto o negocio.
Estas herramientas son el análisis de riesgos o la evaluación de impacto, cuyo objetivo se centra en revisar cuáles son los circuitos de tratamientos de datos que se van a efectuar, detectar los riesgos y establecer mecanismos, soluciones o vías para evitar o minimizar dichos riesgos o prevenir, hasta cierto punto, lo que pudiera pasar.
Por lo tanto, antes de llevar a cabo tu proyecto; si pretendes abrir una nueva línea de negocio o hacer cambios en la prestación de tus servicios que comporten nuevos tratamientos de datos, te recomendamos que te asesores bien, para ver si es conveniente llevar a cabo un análisis de riesgos previo o bien una evaluación de impacto, más detallada.
Se trata de ver cuáles son tus necesidades, limitando o minimizando los riesgos en que pudieras incurrir en materia de protección de datos personales. Por ejemplo, si tienes previsto recoger más datos de los que hasta ahora recogías; si pretendes llevar a cabo algún servicio nuevo que pretende recoger otro tipo de información o recabar más datos de los que tratabas hasta ahora, es conveniente que te asesores de forma adecuada con expertos en la materia.
3. Proactividad
Una de las claves que impone el GDPR o RGPD es el criterio de la proactividad que toda empresa o profesional que presta un servicio y realiza tratamiento de datos personales, debe tener muy presente.
Proactividad a la hora de regular internamente los procesos
La proactividad en este ámbito significa que, ante todo lo que quieras llevar a cabo desde tu compañía y que comporte un tratamiento de datos, debes tener en cuenta la alerta de si afecta o no a la privacidad de las personas, a los efectos de regular todo bien, asegurarte de que se está respetando la privacidad de la información de las personas; por un lado. Pero también, por otro lado, que en tu empresa, establezcas circuitos, protocolos, modelos para dar respuesta a las diferentes necesidades que existen en la compañía y que tienen que ver con el tratamiento de datos personales.
Por ejemplo, puede ser, desde redactar los avisos informativos y de solicitud del consentimiento que se deben utilizar para tratar datos de los clientes y trabajadores, hasta establecer un protocolo para la custodia y destrucción de los archivos o información, también, tanto de clientes como trabajadores. Así, en dichos protocolos se va a determinar cómo se debe hacer dicha custodia y la destrucción, los tiempos, las medidas que hay que implementar, en aras de cumplir con el respeto a la privacidad de esa información y a no custodiar más tiempo del que exige la ley, esa información. De lo contrario, se estaría infringiendo el principio de proporcionalidad de la normativa. Y, ¿cuántas compañías no recaban más de la información estrictamente necesaria y por más tiempo de lo necesario? Piénsalo. Analiza y, si te encuentras en esta situación, revísala para evitar este tipo de riesgos o infracciones.
Proactividad y formación
La proactividad en el GDPR también significa que, por ejemplo, desde tu empresa desarrolles campañas informativas para hablar sobre la protección de datos, por ejemplo, de cara a clientes o trabajadores, así como que les impartas formación, como mínimo, a los trabajadores, para que sean conocedores del significado de la aplicación de la normativa de protección de datos.
Depende cómo, incluso puedes aprovechar para darles otras formaciones – te interesará en función del tipo de servicios que prestes, claro, por ejemplo, agencias de marketing y comunicación, de diseño y desarrollo de software, apps, ecommerce – sobre temas que les puedan afectar. Puedes aprovechar para hacer formaciones sobre propiedad intelectual o derechos de autor, protección del derecho al honor y la imagen de personas y empresas (derecho de marcas) y de buenas prácticas, en general, cuando tratamos con datos de clientes y/o contenidos.
4. Incidencias
Este punto tiene especial relevancia con la aplicación de la nueva normativa. Así, mientras antes, cuando se producía un incidente de este tipo, la empresa debía tomar medidas para solucionarlo y que todo quedase, en cierto modo, en un discreto percance, con la nueva regulación, en determinados casos, no solo estamos obligados a notificar a la Autoridad Competente en materia de Protección de Datos – que sería la Agencia Española de Protección de Datos para empresas que operan en el sector privado, mientras que si son públicas, debería analizarse si en la Comunidad Autónoma correspondiente, hay autoridad competente – sino que en determinados casos también debemos notificar al afectado o afectados.
De este modo, es recomendable que tu empresa disponga no solo de un registro de incidencias sino de un protocolo que determine cómo actuar ante los casos en que se produzca una incidencia para la protección de datos personales, determinando cuándo es obligatorio notificar a la Autoridad competente y al propio afectado.
Por regla general, será cuando se trate de un incidente grave para el usuario o usuarios y que suponga un grave riesgo para su privacidad. Por ejemplo, cuando tengamos un ataque cibernético que suponga una fuga o pérdida de datos personales de buen número de clientes o datos personales; cuando hayamos cometido un error grave que pueda suponer poner en peligro la intimidad y privacidad de los usuarios…
Si necesitas asesoramiento en este tema, puedes contactar con nuestro equipo y te guiaremos sobre ello.
En definitiva, se trata de controlar el riesgo o evitarlo, en la medida de lo posible, implementando medidas técnicas y protocolos que regulen este tipo de situaciones o las prevean, por un lado; y disponer de medidas también técnicas o protocolos que determinen cómo actuar cuando se produzcan este tipo de circunstancias.
5. Buenas Prácticas en materia de protección de datos
Políticas BYOD
El RGPD tiene un enfoque muy interesante respecto de este tema. De este modo, por un lado, traslada a las empresas la obligación de cumplir con la normativa de protección de datos, siendo proactivos en el cumplimiento por parte de los trabajadores de la compañía pero también habla de las políticas de Bring Your Own Device o BYOD. Estas pretenden contemplar, regular y controlar el uso, hoy en día tan frecuente, de los dispositivos personales o propios para fines corporativos.
Y es que muchas empresas permiten que los empleados se instalen el correo corporativo en su móvil personal o se acceda desde dispositivos personales a recursos de la compañía. Luego, ¿Cómo controlas que se están haciendo bien las cosas por parte de dichos trabajadores? Como ves, es preciso regular este tipo de situaciones, estableciendo políticas, prácticas y códigos de conducta que regulen las consideraciones y obligaciones que debe tener en cuenta y cumplir el empleado con relación al uso de sistemas y equipos de la empresa pero también de sus propios equipos para fines de la empresa. También permite contemplar si, por ejemplo, se permite que utilicen los recursos de la empresa para alguna finalidad personal.
Otras políticas necesarias para cumplir con la ley
Desde el Despacho, en estos dos últimos años, hemos estado acompañando a nuestros clientes en procesos que determinaban y regulaban las buenas prácticas que el empleado debía seguir en estas cuestiones, aprovechando para regular otros elementos como el uso de la huella biométrica para el acceso a las instalaciones o control horario; la instalación de cámaras de videovigilancia o incluso el uso de la imagen del trabajador para publicarla en la página web corporativa. Todos ellos son elementos que tienen que ver con la protección de datos y que, una buena adecuación y asesoramiento sobre esta normativa, debería tener en cuenta, además de determinar cómo se usan los dispositivos propios o de la empresa.
6. El Delegado de Protección de Datos
El papel del Delegado de Protección de Datos
El Delegado de Protección de Datos o Data Protection Officer es una figura que exige el RGPD cuando se dan ciertas circunstancias, como las que ya te contamos en su día en los artículos «GDPR: ¿Qué empresas necesitan disponer de un DPO según el nuevo Reglamento Europeo» y «Reglamento Europeo de Protección de Datos: claves para adaptar tu negocio», donde te hablábamos sobre cuándo es preciso disponer de un DPO en tu empresa.
No obstante, en realidad, se trata de una figura muy importante y recomendable tener en tu empresa cuando, por ejemplo, tratas muchísima información de tus clientes, tienes muchas dudas o consultas por parte de los clientes, peticiones de ejercicio de derechos o llevas a cabo muchas iniciativas donde constantemente recoges datos personales de clientes o interesados.
La figura del Delegado de Protección de Datos, te recordamos que debe ser una figura imparcial en la empresa y que puede ser tanto personal interno como externo. Si no sabes si es conveniente disponer de una figura de este tipo, puedes contactarnos y te asesoraremos sobre ello.
Otras figuras como el Compliance Officer o el Ethics Advisor
Por lo que hemos visto, junto a esta figura, aparecen otras como el Compliance Officer que no solo se ocupa de la protección de datos sino del control de cumplimiento normativo dentro de tu empresa. De este modo supervisa también otros circuitos de riesgo como los que tienen que ver con prevención de blanqueo de capitales, supervisión de contratos para que estén al día y sean lo más adecuados posible a tu compañía, entre otras funciones.
Otra figura que cada vez se exige más y que es necesaria en función del tipo de proyectos que llevas a cabo o servicios que prestas, es la figura del Ethics Advisor o Ethics Mentor. Esta figura se suele exigir mucho para proyectos que optan a financiación del Programa Horizon 2020, por ejemplo. Se trata de una figura que también debe velar por el cumplimiento de la ética y por ende, de la normativa, dentro de la empresa. Por lo tanto, tiene una vinculación muy estrecha y, en ocasiones, puede coincidir, con la figura del DPO dentro de la empresa. Desde el despacho, ofrecemos este tipo de servicios por lo que, si tienes dudas, contáctanos sin compromiso y te orientaremos al respecto.
Estos son algunos elementos y lecciones que sacamos de la aplicación del RGPD en este último año. En otra ocasión, te hablaremos de otros puntos clave a tener en cuenta como el uso de herramientas en la nube y el Privacy Shield, consejos a tener en cuenta a la hora de formalizar contratos de encargados de tratamiento y otros aspectos con mayor detalle. Te invitamos a que nos escribas, incluso y nos digas qué te preocupa sobre protección de datos o el RGPD para que lo tratemos en un post.
Por ahora, en resumen, indicarte que como ves y seguramente pensarás, sí es cierto que hay mucha norma que tener en cuenta y que, aparentemente, eso dificulta el día a día de tu empresa. Si bien, esto no es nuevo ni ha cambiado tanto desde la aplicación del RGPD o GDPR.
Hablando desde la experiencia, podemos decirte que esto es algo un tanto costoso y complejo solo al principio y que también depende de las dimensiones de la empresa y de los tratamientos de datos personales que efectúa, porque exige que pienses mucho más en los circuitos, riesgos, medidas a tener en cuenta, controles de seguimiento a llevar a cabo… No obstante, te podemos asegurar que, una vez implementado y siempre que sigas siendo consciente de su importancia, solo es ir haciendo ajustes y mejoras que contribuyen, a medio plazo, en la mejora de la organización y efectividad de tu empresa. Llevamos más de 10 años asesorando en estos ámbitos por lo que sabemos de lo que hablamos. Si quieres que te demos mayores detalles, contacta con nosotros y te contamos por qué es importante esta normativa para tu negocio en concreto.
También te invitamos a que nos sigas en redes, donde vamos a publicar algunos consejos y recomendaciones a tener en cuenta con motivo de la celebración del primer aniversario del RGPD o GDPR (#HappyBirthdayGDPR, #AvaticGDPR1year #AvaticRGPD1año) y/o leas los siguientes artículos sobre la materia o relacionados:
- GDPR o RGDP y Comercio Electrónico, donde te contamos qué tiene que ver el GDPR con el comercio electrónico y la importancia de disponer tanto de unos buenos avisos legales para tu página web o ecommerce como de implementar las medidas de seguridad dentro de tu empresa
-
Protección de Datos: Hoy se celebra el Día Europeo que protege la privacidad, donde te hablamos sobre la necesidad de concienciar y protocolizar en el ámbito de la protección de datos, entre otros aspectos
- Términos y condiciones: ¿Qué textos legales son esenciales para mi web, tienda online o app?, donde te contamos justamente lo que indica el título
Imagen 1 – Principal Freepik: <a href=»https://www.freepik.es/fotos-vectores-gratis/cumpleanos»>Foto de cumpleaños creado por freepik – www.freepik.es</a>
Imagen 2 Freepik: <a href=»https://www.freepik.es/fotos-vectores-gratis/negocios»>Vector de negocios creado por freepik – www.freepik.es</a>