28 de Enero: Día Europeo de Protección de Datos
El pasado viernes se cumplieron ocho meses desde que el Reglamento Europeo 679/2016, de 27 de abril, de Protección de Datos empezó a ser de aplicación directa para todos aquellos negocios que tratan con datos personales.
Con ocho meses a nuestras espaldas de la aplicación del RGPD y con la reciente Ley nacional publicada en diciembre, esto es, la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales, pensamos que es conveniente valorar algunas lecciones que hemos aprendido en este tiempo, para que otros, también puedan aprender e implementar mejor sus empresas a la normativa de protección de datos. Te contamos cuatro claves que hemos aprendido para celebrar, de paso, este Día Europeo de Protección de Datos o Data Protection Day.
A continuación, os indicamos cuatro ideas que extraemos de la aplicación de la nueva normativa de protección de datos:
El RGPD significa proactividad
La proactividad es uno de los elementos clave del Reglamento que establece que las empresas o negocios, en su calidad tanto de responsables del tratamiento como de encargados de tratamiento, deben adoptar medidas de forma proactiva con el objetivo de cumplir con la referida normativa.
Este criterio no cambia en la nueva LOPD y, por lo tanto, si desde tu negocio tratas datos personales de personas físicas, lo que debes hacer desde el inicio, es definir qué tipo de información tienes pensado recoger y qué quieres llevar a cabo con la información que recopilas, ver cómo lo tienes pensado hacer, valorando si ello comporta algún riesgo para la privacidad del usuario o la protección de datos y, a partir de ahí, establecer las correspondientes medidas de mejora o corrección.
Lo anterior se podría llevar a cabo aplicando el concepto de Privacy by Design & by Default que significa que tengas en cuenta el tipo de tratamientos de datos que quieres efectuar, viendo si es lógico o presenta algún riesgo para la privacidad de las personas desde su diseño o concepción. Por ejemplo, ¿Recoges más información de la que necesitas para llevar a cabo la prestación de servicios contratada por el cliente? ¿La almacenas en programas o servidores que cumplan con la ley? Son solo algunas de las preguntas que podemos plantear de inicio. Lo cierto es que este concepto debería aplicarse de forma previa a la ejecución de cualquier proyecto o línea de negocio que conlleve un tratamiento de datos, anticipándonos a posibles riesgos pero también a posibles correcciones que el no haber tenido en cuenta determinados aspectos, pudiera suponer.
Si bien, esta no es la única medida a adoptar en aras de cumplir con la proactividad. Así, otra precaución que podrías llevar a cabo sería la realización de un análisis de riesgos o evaluación de impacto que, podríamos resumir muy sucintamente como una suerte de revisiones o auditorías, respectivamente, en las que se analiza todo lo que se quiere llevar a cabo con riesgo para la privacidad del usuario, determinar los riesgos concretos que aquello presenta, así como determinando posibles soluciones para minimizar el impacto en la privacidad del usuario o incluso estableciendo herramientas o mecanismos de mejora o corrección, si cabe.
El RGPD significa protocolizar
Si algo hemos aprendido estos últimos meses es que para acreditar precisamente que se está cumpliendo con la normativa, la compañía debe protocolizar todo. Así, debe disponer de circuitos que recojan todo el tratamiento de datos que se efectúa, pero también de los avisos informativos que el usuario necesita para estar bien informado, así como para solicitar su consentimiento cuando corresponda, así como los protocolos para facilitar el ejercicio de derechos por parte de los usuarios cuando así lo soliciten o el establecimiento de las correspondientes medidas de seguridad dentro de la compañía.
Es necesario documentar todo lo que la empresa lleva a cabo en aras de cumplir con la norma. De este modo, siempre vamos a poder acreditar nuestra buena voluntad a la hora de tratar los datos, así como cuando se produce alguna situación complicada o que haya que solucionar.
La clave es reflejar las acciones que lleva a cabo la compañía para tratar de forma segura y adecuada los datos personales de los usuarios afectados.
El RGPD significa concienciar
Otra cosa que hemos aprendido y conseguido trasladar a nuestros clientes es que la protección de datos no es algo que molesta, como muchos pudieran pensar, sino algo necesario.
La aplicación de la normativa tiene por objeto proteger a los usuarios frente a las indebidas injerencias por parte de terceros y de todo ello falta una labor de educación y toma de conciencia. Hay que ser conscientes de que los datos son del usuario y que la empresa que le presta un servicio solo va a poder utilizar la información para la prestación del servicio; o para enviarle más información, promociones, ofertas… pero siempre que el usuario así lo autorice. Pero el hecho de acceder a datos de una persona, no legitima para nada para tratar esa información con los fines que se quiera o los mecanismos que se desee, debiendo informar por regla general al usuario y solicitar su consentimiento cuando se pretenda llevar a cabo cualquier otra cosa.
El otro aspecto relacionado con la toma de conciencia tiene que ver propiamente con la necesidad de formación en protección de datos que exige la normativa. Así, la formación es necesaria, por un lado, para que las personas que trabajan con datos, conozcan la importancia de tratar adecuadamente la información; por otro, para que conozcan también sus derechos y, por último, porque con todo ello evitamos riesgos innecesarios por el desconocimiento de alguien hacia determinada obligación, su infracción y las consecuencias que ello puede generar para la compañía.
El RGPD significa disponer de un buen asesoramiento a medida
El adecuar una empresa a la normativa de protección de datos, basándonos en el principio de proactividad antes comentado y en el diseño de la privacidad de nuestra compañía, significa que no siempre vale lo estándar y básico para nuestro negocio. Lo cierto es que es preciso que nuestros protocolos y modelos para cumplir con la normativa, se ajusten a lo que nuestra empresa necesita. Ni a más ni a menos, cumpliendo con el criterio de personalización en base a la propia proactividad de que trata el propio RGPD.
Cuando se opta por algo estándar, económico, muchas veces automatizado, no es tan preciso como disponer de un consultor con experiencia que asesore en lo que tu compañía necesita. Desde nuestro despacho, no estamos, para nada en contra del uso de herramientas tecnológicas que faciliten el trabajo (no sería lógico dedicándonos a las nuevas tecnologías) pero siempre es preciso el ojo del experto para determinar si es preciso personalizar algunas medidas, recursos, tener en cuenta algunos aspectos de la compañía, entre muchos otros aspectos que pueden escapar de lo estandarizado o automatizado.
Porque por más que una compañía disponga de un ecommerce, una app, una página web donde preste o presente sus servicios; por más que una empresa y otra se dediquen a lo mismo, siempre existen particularidades y características específicas que un negocio va a tener que deberán ser analizadas por un buen abogado experto en este ámbito. Lo decimos por experiencia, porque no todo vale para todos.
Lo cierto es que hemos aprendido muchas otras cosas como consecuencia de haber asesorado en adecuaciones a varias empresas y startups a lo largo de estos más de cinco años en el mercado de Avatic Abogados y de más de diez en este ámbito por parte de su responsable. Dejaremos esas lecciones para futuros posts. Si necesitas más información sobre lo que hemos aprendido, te invitamos a que nos sigas en redes sociales, donde hoy, en celebración del Día Europeo de la Protección de Datos también estamos publicando noticias e informaciones que pueden ser de tu interés.
También te invitamos a invitar antiguos artículos sobre la materia como el artículo titulado «Reglamento Europeo de Protección de Datos: claves para adaptar tu negocio» o el post «GDPR o RGPD y comercio electrónico» donde ya te detallábamos aspectos relacionados con los nuevos cambios que suponía la normativa.
En todo caso, si necesitas una adecuación a la normativa de protección de datos, un análisis de riesgos o evaluación de impacto en protección de datos o privacidad para tu compañía, formación en protección de datos, específica para empleados o clientes en este ámbito, así como un servicio de Delegado de Protección de Datos a medida, externo y con amplia experiencia, no dudes en contactar con nuestro equipo.
Imagen 1 Freepik: <a href=»https://www.freepik.es/fotos-vectores-gratis/fondo»>Vector de fondo creado por pikisuperstar – www.freepik.es</a>
Imagen 2 Freepik: <a href=»https://www.freepik.es/fotos-vectores-gratis/fondo»>Vector de fondo creado por GraphiqaStock – www.freepik.es</a>