en En profundidad

Reglamento europeo y la nueva LOPD

Bueno, pues ya estamos llegando a la fecha límite de aplicación del reglamento europeo de protección de datos RGPD o GDPR (en inglés, como no). Como siempre, los más grandes y los que más dinero tienen llaman a un mega grupo de consultores para que haga los correspondientes planes de adecuación. Otra cosa es que esas adecuaciones se plasmen en cambios de actitud y de prácticas ilegales en lo que a tratamiento de datos se refiere. De todos es sabido que lo grande cuentas con presupuesto para pagar multas.

No es baladí el tema de las multas porque las sanciones pueden alcanzar el 4% de la facturación o 20 millones de €. Entremos pues en materia dejando claro nuevamente que TODO LO DICHO AQUI ES OPINION MIA Y NO REPRESENTA A NINGUNA EMPRESA EN LA QUE HAYA TRABAJADO O TRABAJE ACTUALMENTE

Situación REAL actual

El reglamento entra en vigor el 25 de mayo de 2018 y ACTUALMENTE el legislador español está preparando una nueva LOPD y tal vez un nuevo reglamento. De momento NO HAY nada publicado en el BOE. En una empresa grande es lógico que lleven ya tiempo preparando la adecuación a RGPD pero si usted es una PYME, yo me esperaría a la ley definitiva. Estamos en España y será la propia administración la que tarde en adecuarse a sus propias leyes

Evidentemente cualquier que viva de esto le dirá que tiene que actuar ya mismo

¿Hay que seguir declarando ficheros?

Pues no hay ningún motivo para pensar lo contrario. Me temo que si

¿Sigue eso del nivel bajo, medio y alto?

De momento el RGPD no contempla esos niveles que ahora llama “categorías”. El reglamento habla de CATEGORIAS DE DATOS PERSONALES y CATEGORIAS ESPECIALES las cuales se resumen en: «datos de origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física

¿Como persona física voy a estar más protegido?

Juas juas juas juas.

Lea usted el considerando número 47 que es muy denso y que al final dice

«El tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo

¿Tengo que cambiar muchas cosas?

Si usted se pone a consultar por la red podrá ver muchos documentos del tipo “las 7 claves para cumplir RGPD”, “como adaptarse e RGPD en 3 minutos”, “adecuación al nuevo reglamento sin complicaciones”.

Yo no voy a decirle aquí que tengo la receta mágica de lo que tiene que hacer asi que me limitaré a destacar lo que yo creo que son nuevas formas de ver las cosas, nuevas interpretaciones o cosillas que se deben tener en cuenta

El consentimiento

Basicamente el consentimiento tiene que ser EXPLICITO. Se acabó eso del consentimiento tácito. No puede haber consentimiento en bloque, hay que dar el consentimiento para cada acción que se haga con sus datos. Ya no vale eso de “como usted no se ha negado, se da por otorgado” …… caramba que brillante rima

Si usted tiene datos de carácter personal, tendrá que tener el consentimiento explícito de sus legítimos dueños y debe poder demostrarlo. Por lo tanto, si tiene consentimientos tácitos, tendrá que pedir consentimientos explícitos (y conservar la evidencia). Además el consentimiento requiere que el otorgante haga alguna acción, por ejemplo que marque una casilla. No vale que la casilla venga ya marcada

Ah y debe ser igual de fácil dar el consentimiento que revocarlo ……. juaaaaaassssss juas juas juas

Esto del consentimiento lo explica la abogada Susana González en este enlace

También Jorge Garcia, abogado, ciudadano y padre (no por ese orden necesariamente) tiene un gran artículo sobre el consentimiento aquí

Privacidad desde el diseño

Aqui hay que cambiar la mentalidad y ser pro activo en lo que a seguridad de la información se refiere. Hay que diseñar con mentalidad de “seguridad” desde el principio. No vale lo de “hago las cosas y luego veo si el sistema es seguro”

Intente buscar asesoramiento de un consultor de seguridad que le haga un informe de riesgos, una evaluación de seguridad en el momento del diseño de un nuevo proyecto etc

El delegado de protección de datos (DPO)

El DPO es la persona que dice lo que hay que hacer, pero no tiene porque hacerlo él. El será el interlocutor con la AGPD en caso de denuncia

No es cierto que sea obligatorio tener un DPO. Solo tendrán DPO:

  • Las administraciones públicas (y habrá que ver en qué términos: ¿uno por ministerio?, ¿uno por ayuntamiento? ……)
  • Empresas que realicen tratamientos de datos de carácter personal en gran magnitud o especialmente intensos, bien por el tipo de tratamiento o el tipo de dato. (Esto va por los del Big Data y demás tratamientos masivos)

Además, según el anteproyecto de nueva LOPD deben nombrar DPO:

  • Colegios profesionales,
  • Centros docentes,
  • Telecos,
  • Prestadores de servicios de la sociedad de la información
  • Financieras y aseguradoras, empresas de servicios de inversión,
  • Eléctricas,
  • Gestoras de ficheros de morosos,
  • Empresas de marketing
  • Centros sanitarios,
  • Empresas que emitan informes comerciales sobre personas
  • Sector del juego online,
  • Seguridad privada, detectives privados

Responsabilidad proactiva

Esto es lo que los anglo sajones denominan “accountability»

No solo hay que cumplir la norma, es que además hay que demostrarlo. Aquí si que se abre un buen melón porque hasta ahora, eso de la LOPD «era algo que estaba en una carpeta que hicieron una vez unos que vinieron de fuera”, y se acabó. Salvo que hubiera un nivel medio o algo nadie se volvía a acordar de eso. Cuando era obligatorio hacer una auditoria venían los mismos que hicieron el estudio inicial (muy ético) y nos daban un papel diciendo que todo estaba bien

Genere evidencias de que usted se toma la seguridad en serio. Analice el riesgo, establezca medidas mitigadoras, evalúe si el riesgo residual es admisible

¿Pero si yo soy una empresa de venta de melones que tengo un fichero de 200 clientes?. Pues esto es lo que hay

El interés legitimo

Pues ya estamos con la cantinela de siempre: el interés legitimo de quien tiene los datos versus los derechos fundamentales de los propietarios. ¿Y cuales son los límites?. Vaya usted a saber. Me imagino que eso será algo que tenga que interpretar un juez. En cualquier caso su interés por la protección queda suspendido por el interés legitimo de quien tiene sus datos mientras que no atente con sus derechos fundamentales (toma ya). Y si no estás de acuerdo te buscas un abogado especializado en estas cosas que son muy económicos

Elaboración de perfiles

Los individuos tienen derecho a no ser objeto de una decisión basada UNICAMENTE en el tratamiento automatizado de sus datos, que produzca efectos jurídicos o le afecte significativamente

Siempre se debe dar al usuario la posibilidad de oponerse a este tipo de tratamiento

En mi opinión es uno de los temas más delicados del reglamento europeo y hablar que ver como se trata en la nueva LOPD o reglamento

Notificación de brechas de seguridad

Pues si amigo si. Si le entra un rasomware que le cifra ficheros y le pide dinero para darle la clave, está usted obligado a informar a las autoridades que me imagino se indicarán en la nueva LOPD o reglamento.

De la misma forma, si usted detecta que le han robado datos, también está obligado a informar a las mismas autoridades. Teniendo en cuenta que el tiempo que suele habitar un malware en un sistema viene a ser de unos 200 días, cuesta creer que usted se entere que le han robado datos

Sea como fuere, recuerde, tendrá que informar de sus incidentes de seguridad. ¿Alguien cree que un banco va a informar de eso?. Yo no

Ojito porque las sanciones por no hacerlo pueden ser de 10.000.000 € al 2% de la facturación. Imagino que como siempre, si es Tomates Macario que no informa le calzarán 10.000.000 y si es un banco el caso se perderá en el limbo de las investigaciones

Derecho al olvido

Todo ciudadano tiene derecho al olvido digital, y por tanto, el tenedor de sus datos tiene obligación de borrarle de todos sus sistemas. “Se supone” que si usted hizo una cesión dentro del marco legal, también tiene la obligación de hacer que el que recibió los datos proceda de la misma forma

¿Que sacamos de todo esto?

Las consultoras venderán más. Aquellos que hicieron de la LOPD un negocio también lo harán con este reglamento y la nueva ley. Volverán los de LOPD al peso hechas por becarios, pero claro, usted sabe menos que ellos con lo cual ….

Se seguirán pasando por «salve sea la parte” los derechos de los ciudadanos de la misma forma que se pasan por la bolsa escrotal aquella ley que nos debería proteger de los teléfonos 902 o la ley que nos protege de que nos llamen, sin nuestra autorización, a las 9 de la noche de una operadora de telefonía

Y basicamente creo que no me dejo nada digno de reseñar. Desde luego en la red tienes «cienes y cienes» de sitios de gente más versada que yo en estos temas