Con las nuevas tecnologías y la digitalización de las empresas nuestros datos personales circulan descontroladamente por la red. El crecimiento de las bases de datos y su uso ha dado vida al Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPD-GDD).
1. Reglamento General de Protección de Datos
El RGPD es la normativa efectiva desde el 2018 en todos los países de la Unión Europea que establece las pautas a seguir en lo relativo al tratamiento de datos personales de personas físicas, además de encargarse de indicar las normas para la libre circulación de dichos datos, protegiendo a las personas y asegurando sus derechos y libertades.
1.1. El RGPD en España
Para adaptar el RGPD en España se ha hecho mediante la LOPDGDD, que adapta al contexto español la normativa europea, manteniendo las líneas generales del mismo, pero introduciendo una serie de novedades importantes, por lo que todas las entidades públicas y privadas deben cumplir ambas regulaciones mediante el seguimiento de los siguientes pasos:
- Consentimiento de los clientes
- Obligación de informar
- Nombrar un delegado de Protección de Datos (DPD)
- Firmar contrato con Encargados del tratamiento
- Contrato de confidencialidad con empleados
- Registro de actividades de tratamiento
- Análisis de riesgos
- Notificación de incidentes de seguridad
- Evaluación de impacto
- Privacidad desde el diseño y por defecto
- Página web
- Nuevos derechos de los usuarios
Contratos de confidencialidad
Desde la entrada en vigor del RGPD se debe garantizar la confidencialidad de los datos, incluyendo las restricciones de acceso no autorizado a los mismos o a equipos para su tratamiento. Se pueden distinguir entre los contratos de confidencialidad:
- Con encargados de tratamiento: Terceros que prestan servicio a la empresa y acceden a datos personales de clientes o empleados.
- Con empleados: Evitar que los empleados revelen información de la empresa y clientes a personas no autorizadas.
2. Consentimiento de uso de datos
Que el cliente facilite los datos a la empresa no quiere decir que da su consentimiento para tratarlos. Previo al RGPD, se entendía que el momento en el que el cliente facilitaba los datos también daba el consentimiento, pero ahora, según el RGPD, el cliente debe otorgar de manera clara su consentimiento para el tratamiento de sus datos, es decir, un consentimiento expreso.
Cuando los datos se usan para distintas finalidades, es importante obtener consentimiento para cada una de ellas de forma independiente.
2.1. Obligatoriedad de informar
Antes de pedir datos personales de cualquier interesado (clientes, empleados, candidatos, usuarios, etc), la empresa debe facilitar información sobre:
- Identidad y datos de contacto del responsable
- Datos identificativos del delegado de protección de datos
- El uso que se dará a los datos
- Quién tendrá acceso a los datos
- Plazo de conservación
- Obligatoriedad de facilitar los datos y consecuencias en caso de no hacerlo
La información debe ser facilitada por escrito estando incluida en el documento donde se solicita información a los clientes.
3. Brechas de Seguridad
Una brecha de seguridad es un incidente de seguridad que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasione destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales. Cuando existe una brecha de seguridad, la empresa debe poner en marcha un plan de actuación, concretando tareas específicas que permitan resolver la brecha, minimizar sus consecuencias y evitar que vuelta a suceder en el futuro.
La normativa europea obliga a la empresa a notificar en un máximo de 72 horas a los afectados y a la Agencia Española de Protección de Datos (AEPD) las brechas de seguridad en los datos que se haya producido, en caso de que constituya un riesgo para los derechos y libertades de las personas.
Para evitar tener brechas de seguridad las empresas deben estar preparadas para esta posibilidad. Es decir, debe establecerse quién y qué acciones se ejecutarán en caso de producirse. Para ello, se debe analizar con detenimiento el tipo de datos personales que se están tratando, con qué medios y qué tipo de riesgos pueden existir de tal forma que permita implementar mecanismos y medidas técnicas y organizativas para garantizar la seguridad del tratamiento en todo el ciclo de vida de los datos.
En caso de sufrir un ataque, si se demuestra a la AEPD que se está haciendo todo lo posible para cumplir con las medidas de seguridad y la ley, las sanciones pueden ser menores.
3.1. Evaluación de Impacto
Es una herramienta que permite a las empresas evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo de los mismos. Cuando el tratamiento de datos supone un alto riesgo para los derechos de los clientes es necesario realizar una evaluación de impacto, cuyo objetivo principal es la identificación de los riesgos detectados sobre la protección de datos para establecer las medidas necesarias y adecuadas para reducir o eliminar estos riesgos.
Factores de riesgo:
- Tratamiento de datos de menores
- Tratamiento de datos sensibles
- Elaboración de perfiles de comportamiento (preferencias de clientes)
- Tratamiento de datos a gran escala, afectando a un gran número de personas o bien cuando se utilizan nuevas tecnologías a gran escala.
- Cuando los datos personales sean objeto de transferencia internacional
- Uso de tecnologías especialmente intrusivas para la privacidad (huellas, reconocimiento facial)
4. Sanciones
- En el RGPD se establecen únicamente dos rangos de sanciones:
- 10 millones de euros o el equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior:
- Consentimiento de menores en relación con los servicios de la sociedad de la información.
- Tratamientos que no requiere identificación de los interesados.
- Protección de datos desde el diseño y por defecto.
- Obligaciones principales de los responsables y encargados del tratamiento.
- Certificación y organismos de certificación.
- Sujeción a Códigos de Conducta.
- Hasta 20 millones de euros o hasta el 4% del volumen del negocio total anual global del ejercicio financiero anterior.
- Principios básicos para el tratamiento, incluidas las condiciones para el consentimiento.
- Derechos de los interesados.
- Transferencias internacionales de datos.
- Toda obligación en virtud del Derecho de los estados miembros.
- Incumplimiento de una resolución o de una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad de control o el no facilitar acceso a la autoridad de control en caso de ser requerido.
Por su parte, la LOPDGDD establece las siguientes sanciones:
- Sanciones leves: hasta 40.000 euros de multa
- Sanciones graves: multa desde 40.001 euros a 300.000 euros.
- Sanciones muy graves: multas desde 300.001 euros hasta 20.000.000 euros.
- 10 millones de euros o el equivalente al 2% del volumen de negocio total anual global del ejercicio financiero anterior:
En Certus te asesoramos en materia de ciberseguridad, protección de datos y derecho digital. No dudes en contactarnos para obtener más información.
Fuente: Ayudaley. (S.F.). Guía del RGPD. 18 Junio 2022, de Ayudaley Sitio web: https://ayudaleyprotecciondatos.es/guia-rgpd/