Los recientes cambios en la normativa europea sobre protección de datos personales tienen preocupada a bastante gente. El 25 de mayo de 2018… ¡tendrás que organizarlo todo o podrías arriesgarte a lo grande!
Todos queremos proteger los datos personales de forma responsable, pero también queremos centrarnos en que no nos multen.
Hoy en día, todo el mundo conoce y comprende la importancia de proteger a los ciudadanos de una amplia variedad de amenazas emergentes. Por no mencionar el hecho de que todos nosotros, individual y colectivamente, debemos contribuir a la misma causa.
En su mayor parte, quienes se interesan (o preocupan) por la protección de datos se centran más en el aspecto financiero de las cosas que en la protección real de los datos en su conjunto. Desde una perspectiva empresarial, cualquier tipo de violación de datos puede acarrear enormes multas y sanciones.
Precisamente por eso es de vital importancia que todo el mundo conozca los recientes ajustes realizados en la normativa de protección de datos, para garantizar su total cumplimiento. Estamos entrando en una era en la que la inmunidad frente a la violación de datos no es un concepto realista, pero sigue siendo vital asegurarse de que se aplican todas las medidas preventivas necesarias.
La nueva era digital
En los últimos años, la sociedad en su conjunto no ha tenido más remedio que adaptarse tanto a la rápida evolución como a las nuevas formas de comunicación y relación. Las empresas luchan por seguir el ritmo de los disruptores de la nueva era y mantenerse en la cima. Cada día surgen nuevas tendencias digitales y nuevas plataformas. En consecuencia, los retos a los que se enfrenta la gran mayoría de las empresas en esta nueva era se dejan sentir en varios ámbitos.
Las reglas del juego han cambiado, pero debido a la rapidez de esta evolución en curso, el marco necesario para hacerles frente aún no se ha adaptado. Las empresas se aferran a sus estrategias tradicionales, a menudo rígidas, que están resultando insuficientes frente a las amenazas modernas.
«Adaptabilidad» es la nueva palabra de moda que el mundo no puede permitirse ignorar: quienes lo hagan corren el riesgo de quedarse atrás, o quizá incluso de desaparecer por completo.
La necesidad de cambiar las normas de protección de datos …
Es debido a un avance tan drástico en el panorama digital delsiglo XXI que la Unión Europea tomó la decisión de aplicar cambios radicales. A medida que el mundo se hace más dependiente de los datos digitales, lo más sensato es garantizar su adecuada protección.
Sin embargo, el hecho de que las cosas sigan cambiando a diario complica aún más el asunto. Al fin y al cabo, ¿cómo se puede imponer una regulación y proporcionar una protección adecuada, cuando esencialmente no se tiene ni idea de lo que vendrá después?
Tomemos como ejemplo la piratería. Hubo un tiempo en que se copiaban y vendían películas sin autorización, se hacían descargas todos los días y no había ninguna disposición en la ley sobre cómo actuar en estos casos. A su vez, los piratas se salían con la suya, sin hacer preguntas.
¿Cómo abordaron el problema los reguladores?
En primer lugar, hay que explicar que la piratería de contenidos audiovisuales es un delito económico, que consiste en la utilización ilegal de una obra protegida por los derechos de autor y derechos afines y, en el caso de la reproducción ilegítima de software, por la Ley de Criminalidad Informática.
A los ojos de la ley, la piratería se considera un delito de usurpación.
Cuando quedó claro que los piratas se estaban beneficiando cada vez más a costa de quienes poseían los derechos de autor del material en cuestión, fue necesario redactar nuevas normativas. Lo que a su vez condujo a la prohibición total de la piratería, junto con esfuerzos agresivos para llevar ante la justicia a quienes participaban en tales actividades.
Sin embargo, cada vez que las autoridades apuntan a la comunidad pirata, surgen nuevas técnicas que hacen que sea más difícil o incluso imposible atrapar a los implicados. Además, los avances tecnológicos siguen dificultando aún más el control policial de la piratería, al tiempo que facilitan enormemente la participación de cualquiera en la piratería en su conjunto.
De ahí los retos asociados a mantenerse al día en la era digital.
Protección de datos personales
Uno de los mayores avances tecnológicos de los últimos años ha sido el desarrollo exponencial de la capacidad de almacenamiento y acceso a los datos personales. Basta decir que si alguien pudiera ver realmente cuántos datos se almacenan sobre él a escala mundial, probablemente le parecería bastante aterrador.
Con unos volúmenes tan enormes de datos personales y privilegiados almacenados sobre casi todos los seres humanos del mundo, pronto se hizo evidente la necesidad de proteger estos datos. Las leyes de protección de datos existentes simplemente no se acercaban a cubrir las necesidades del ciudadano del siglo XXI que vive en la era digital.
Como tal, ahora existen normas y reglamentos que rigen a quienes recopilan datos personales y trabajan con ellos. Pero, no obstante, es inevitable que las cosas tengan que dar varios pasos significativos hacia adelante, para seguir el ritmo de la cara cambiante del almacenamiento y uso de datos.
A partir de ahora, las empresas deben adaptarse al nuevo marco jurídico, mientras que se aconseja a los ciudadanos que se familiaricen con sus derechos.
¿Qué es la protección de datos personales?
No hay dos maneras de decirlo: intentar comprender la ley puede ser aburrido y a menudo muy complicado. Afortunadamente, la normativa que nos ocupa nos proporciona unos cuantos términos y definiciones concretos, que hacen que todo sea mucho más fácil de entender y cumplir.
Datos personales
La información relativa a una persona física identificada o identificable («interesado»); Se considera identificable a una persona física, directa o indirectamente, en particular por referencia a un identificador, como un nombre, un número de identificación, datos de localización, identificadores por medios electrónicos o a uno o varios elementos específicos del identificador. La identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física;
Tratamiento de datos personales
Operación o conjunto de operaciones efectuadas con datos personales o conjuntos de datos personales por medios automatizados o no automatizados, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de comunicación, comparación o interconexión, limitación, supresión o destrucción.
Limitación del tratamiento de datos
La inserción de una marca en los datos personales conservados con el fin de limitar su tratamiento en el futuro;
Definición del perfil del cliente
Cualquier forma de tratamiento automatizado de datos personales consistente en la utilización de dichos datos personales para evaluar determinados aspectos personales de una persona física, en particular, para analizar o predecir aspectos relacionados con el rendimiento profesional, la situación económica, la salud, las preferencias personales, los intereses, la fiabilidad, el comportamiento, la ubicación o los viajes;
Seudonimización
El tratamiento de datos personales de forma que ya no puedan asignarse a un interesado concreto sin utilizar información complementaria, siempre que dicha información complementaria se conserve por separado y esté sujeta a medidas técnicas y organizativas que garanticen que los datos personales no puedan asignarse a una persona física identificada o identificable;
«Consentimiento» del interesado
Una manifestación de voluntad libre, específica, informada y explícita por la que el interesado acepta, mediante una declaración o un acto positivo inequívoco, que se traten los datos personales que le conciernen;
Violación de datos personales
Una violación de la seguridad que provoque, de forma accidental o ilícita, la destrucción, pérdida, alteración, divulgación o acceso no autorizados a datos personales transmitidos, almacenados o tratados de otro modo;
Datos genéticos
Datos personales relativos a las características genéticas heredadas o adquiridas de una persona física, que proporcionan información única sobre la fisiología o la salud de dicha persona física y que resultan, en particular, de un análisis de una muestra biológica de la persona física en cuestión;
Datos biométricos:
Datos personales resultantes de un tratamiento técnico específico relativo a las características físicas, fisiológicas o de comportamiento de una persona física que permita o confirme la identificación única de dicha persona física, en particular, datos faciales o dactiloscópicos;
Datos sanitarios
Datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios sanitarios, que revelen información sobre su salud;
Las consecuencias del enfoque anticuado
La mayoría de las organizaciones se rigen por sus propias y exclusivas políticas de protección de datos, que pueden haber permanecido inalteradas durante años o incluso décadas. Hagan lo que hagan, lo hacen así porque siempre lo han hecho así.
Pero las nuevas modificaciones de la normativa sobre protección de datos exigen cambios significativos en los procedimientos, para evitar consecuencias potencialmente drásticas.
El incumplimiento de las nuevas normas de protección de datos podría acarrear enormes multas de hasta 20.000.000 de euros.
Así pues, dado el tiempo que probablemente necesite una institución para adaptarse a las nuevas normas, el legislador ha fijado un plazo de sólo un año para que todas las empresas se incorporen a la normativa.
Antes del 25 de mayo, todas las instituciones tendrán que adaptarse a los cambios, sin excepción.
¿Qué empresas/instituciones tienen que adaptarse?
Las nuevas modificaciones de la normativa se aplican a todas las entidades que tratan datos personales, es decir, las que realizan cualquier tipo de operaciones con datos personales. Estas entidades pueden ser las que determinan los fines y los medios del tratamiento de datos personales, pero también las que realizan estas operaciones en régimen de subcontratación.
Geográficamente, el reglamento se aplica en todo el territorio de la Unión Europea. Sin embargo, el artículo 3 (1) establece una excepción: «El presente Reglamento se aplicará al tratamiento de datos personales efectuado en el marco de las actividades de un establecimiento de un responsable del tratamiento o de un subcontratista situado en el territorio de la Unión, dentro o fuera de la Unión.»
Traducido a grandes rasgos, el hecho de que no se traten datos personales en el territorio cubierto por el reglamento no implica que no se aplique, siempre que la institución esté situada en él.
Cómo evitar una multa colosal
- Acepta la necesidad de proteger los datos personales de forma más proactiva.
- Sigue las nuevas normas de protección de datos y todo irá bien.
- Mira la lista de control que hemos preparado y ¡empieza ahora mismo!
Aunque las instituciones cumplan las nuevas normas con la debida diligencia, no puede descartarse una violación involuntaria de datos personales. Como ya se ha dicho, la inmunidad absoluta no es una posibilidad realista.
Me ha pasado a mí… ¿Y ahora qué?
Entonces, cuando las cosas van mal, ¿cómo debe proceder una institución en estos casos?
Todas las violaciones de datos personales deben estar plenamente documentadas, incluyendo los hechos relacionados con ellas, sus efectos y la solución adoptada.
Consulta algunos ejemplos de las preguntas más frecuentes sobre el tema:
¿Cuáles son los «nuevos» derechos de protección de datos?
Con los cambios en la normativa de protección de datos, asistimos a la aparición de nuevos derechos que los ciudadanos pueden ahora «reclamar» a su discreción.
El derecho al olvido
Este nuevo reglamento cubre el derecho a borrar los datos («derecho al olvido»), lo que significa que el sujeto tiene derecho a obtener del responsable del tratamiento la supresión de sus datos personales sin demora indebida.
Derecho a la portabilidad de datos
El derecho a la portabilidad de los datos permite a las personas obtener y reutilizar sus datos personales para sus propios fines en distintos servicios. El sujeto puede transferir, copiar y trasladar libremente su información personal entre sistemas informáticos de forma segura y conveniente.
Derecho de rectificación
El titular de los datos tiene derecho a obtener del responsable del tratamiento la rectificación (corrección) de los datos personales inexactos que le conciernan. Con respecto a la finalidad del tratamiento de datos, el titular de los datos tiene derecho a que se completen sus datos personales incompletos, incluso mediante una declaración adicional si fuera necesario.
Castigo potencial…
Es difícil no sentir cierto pavor al leer las disposiciones del artículo 83 del Reglamento, que se refieren a la aplicación de multas.
Veamos algunos detalles clave:
El incumplimiento de las obligaciones del responsable del tratamiento y del subcontratista y el incumplimiento de las obligaciones del organismo de supervisión estarán sujetos a multas administrativas de hasta 10.000.000 de euros o, en el caso de una empresa, de hasta el 2% de su volumen de negocios mundial anual correspondiente al ejercicio anterior, si esta cifra es superior:
Sin embargo, las multas más elevadas se reservan para quienes infrinjan las siguientes disposiciones:
- Los principios básicos del tratamiento, incluidas las condiciones del consentimiento;
- Los derechos de los interesados;
- La transferencia de datos personales a un destinatario en un tercer país o a una organización internacional;
- Obligaciones derivadas de la legislación del Estado miembro adoptada en virtud del Capítulo IX;
- Incumplimiento de una orden de restricción temporal o definitiva relativa al tratamiento o a la suspensión de los flujos de datos dictada por la autoridad de control o no facilitar el acceso;
En tales casos, la infracción de las disposiciones estará sujeta a multas administrativas de hasta 20.000.000 de euros o, en el caso de una empresa, de hasta el 4% de su volumen de negocios anual a escala mundial correspondiente al ejercicio anterior, si esta cifra es superior:
En resumen: ¿cómo puede tu empresa/organismo cumplir estos cambios necesarios en la normativa de protección de datos personales, para evitar estas multas?
- Tómate unos minutos para estudiar el tema con el detalle necesario.
- Introduce/adapta a tus empleados y a las tecnologías de tu institución a la nueva normativa.
- Sé consciente de cualquier infracción y comunícala a tiempo.
- Designa a un Responsable de Protección de Datos para que revise tus procesos de protección y seguridad de los datos personales.
Esperamos que este artículo sobre la nueva normativa europea sobre protección de datos personales que entrará en vigor en mayo de 2018 te ayude a preparar tu organización y a evitar que te multen.
Si necesitas más información o quieres compartir tu opinión con nosotros, ¡no dudes en ponerte en contacto!
