El nuevo Reglamento General de Protección de Datos (RGPD) entrará en vigor el próximo 25 de mayo de 2018

El próximo 25 de mayo de 2018 entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD) en la Unión Europea que nos traerá importantes novedades en la regulación para la captura y gestión de datos de carácter personal por parte de las organizaciones.

El objetivo de este nuevo reglamento, aplicable al conjunto de organizaciones de los países miembros de la Unión Europea y a todas aquellas organizaciones, que sin pertenecer a la UE, realicen negocios dentro de ésta, y recopilen, procesen o almacenen información sobre ciudadanos de la UE, así como aquellos que sin ser ciudadanos de la UE residan temporalmente en ésta, es "armonizar la leyes de privacidad de datos en toda Europa, proteger y potenciar la privacidad de todos los residentes de la UE y remodelar la forma en que las organizaciones de la región abordan la privacidad de datos para los residentes de la UE donde sea que trabajen en el mundo".

Este nuevo Reglamento viene a sustituir a la anterior Iniciativa de Protección de Datos 95/46/EC y su objetivo es proteger los datos de carácter personal individuales. Pero, ¿cuáles son los principales cambios y novedades que introduce este nuevo Reglamento?

Datos personales

La UE define Datos personales como "cualquier información relacionada con la identificación de una persona física". Dentro de este tipo de datos, se establece una categoría de especial protección denominada "datos de carácter sensible o confidenciales" que son definidos como "información sobre las personas" como:

• Origen racial o étnico.
• Opiniones políticas.
• Religión o creencias filosóficas.
• Afiliación a sindicatos.
• Datos médicos.
• Vida u orientación sexual.
• Condenas criminales pasadas.

Este nuevo RGPD expande la definición de datos personales para incluir:

• Datos genéticos.
• Datos biométricos (como pueden ser datos relativos al reconocimiento facial o huellas dactilares).
• Datos de localización.
• Datos seudonimizados.
• Identificadores on line.

Mayor alcance

Este nuevo Reglamento delimita de manera precisa el alcance del mismo, no siendo la ubicación geográfica el factor determinante. Éste será aplicado a los datos de cualquier ciudadano de la UE o residente actual, con independencia de si la actividad de la organización tomadora de dichos datos tiene lugar o no dentro de la Unión Europea.

Aumento de las sanciones

Se establecen sanciones en función de la gravedad de la infracción, pudiendo ser de hasta el 4 % de las ventas anuales o 20 millones de euros (la que sea mayor de las dos en cada caso).

Consentimiento explícito

Las organizaciones tomadoras de datos de sus clientes deberán obtener el consentimiento explícito por parte de éstos para recopilar, procesar y almacenar sus datos, y para ello, deben emplear un lenguaje que describa de una manera clara como son usados dichos datos. Por lo tanto, ya no se podrá ocultar la finalidad de los datos recopilados bajo términos de consentimiento en complicados lenguajes técnicos que son difíciles de entender para los consumidores.

Uno de los elementos más significativos de este hecho es que lo formularios de consentimiento deben establecer el consentimiento explícito lo que supone que éstos no deben estar pre-chequedos y deben contener un enlace en todo momento a nuestra política de privacidad y términos de uso.

Además, dicho consentimiento debe ser obtenido para fines específicos, por lo cual, los datos obtenidos para un determinado fin, por ejemplo para descargar un documento, no pueden ser empleados para otro fin que no sea éste, por ejemplo, recibir una newsletter. Para ello, deberemos recibir dicho consentimiento expreso para el propósito indicado.

También deberemos facilitar, en todo momento y de una manera sencilla, que el usuario retire dicho consentimiento.

Registro

Las organizaciones deberán crear y gestionar un registro en el cual se incluirá de manera detallada una descripción de todas las acciones y propósitos que han implicado la utilización de datos de tipo personal almacenados por éstas. Este registro servirá de prueba ante las autoridades competentes del cumplimiento con la norma.

Notificaciones de quiebras en la seguridad de los datos

Las organizaciones deberán avisar en un plazo no superior a las 72 horas de cualquier brecha de seguridad en sus sistemas de seguridad que hayan podido poner en riesgo los datos almacenados relativos a sus clientes. Estas notificaciones deben ser remitidas a las autoridades reguladoras, a los propios usuarios cuyos datos se han visto comprometidos, agencias de informes crediticios, fuerzas de seguridad, etc.

Derechos de acceso

Si hasta el momento todos los ciudadano de la UE tenían el derecho a saber qué datos se están recopilando, cómo se usan, dónde se procesan y quién tiene acceso a ellos, con este nuevo marco regulatorio, las organizaciones, previa petición por parte de un un consumidor o usuario, deben proporcionar una copia electrónica en formato legible por ordenador de los datos recopilados y almacenados de dicho usuario, y de manera gratuita. Los usuarios podrán pedir la rectificación de algún dato incorrecto o su eliminación.

Derecho a ser olvidado

Además del derecho ya mencionado anteriormente a retirar el consentimiento para el uso y almacenamiento de nuestros datos, tendremos el derecho a ser olvidados, es decir, a que se borren nuestro datos y que terceros dejen de procesarlos.

Portabilidad

Este concepto novedoso que introduce el RGPD, significa que los consumidores tienen derecho a solicitar sus datos en formato electrónico para que que éstos sean transferidos a otros servicio o procesador.

Privacidad como diseño

La privacidad de los datos no debe ser un parche retroactivo, sino que debe ser un elemento más en el diseño y arquitectura de los procesos comerciales digitales. En este sentido, un diseño optimo sería aquel que recopila sólo los datos estrictamente necesarios y no todos aquellos que la tecnología le permita.

"Oficiales" de protección de datos

De igual manera a como ocurre con la prevención de riesgos laborales, con este nuevo Reglamento las organizaciones deberán nombrar Oficiales de Protección de Datos calificados (DPO) encargados de supervisar todas las actividades relacionadas con la gestión y almacenamiento de datos de carácter personal. Y como su labor debe ser lo más objetiva posible, se establece la obligatoriedad de que a estos trabajadores se les otorgue una protección laboral especial que impida su "sometimiento" a la empresa en la que realiza su función.

Estos DPO::

• Deben ser nombrados en función de las cualidades profesionales y, en particular, de los conocimientos especializados sobre legislación y prácticas de protección de datos.
• Pueden formar parte de la plantilla de la organización o ser de un proveedor externo.
• Lo datos de contacto de estos DPO deben ser facilitados a los organismos reguladores locales.
• Deben contar con los recursos necesarios para llevar a cabo sus tareas y realizar tareas de formación continua.
• Deben reportar directamente al escalafón más alto de la organización.
• No pueden realizar ninguna otra tarea que pueda dar lugar a un conflicto de intereses.

Conclusión

Como hemos podido ver en este pequeño resumen, se introducen importantes novedades en el marco regulatorio que protege el tratamiento de datos de carácter personal y que obligará a sustanciales transformaciones en el seno de las organizaciones ubicadas o que operen en el seno de la Unión Europea.