Entradas de la etiqueta: #RGPD

Un año del Reglamento General de Protección de Datos.

Este 25 de mayo se cumplió el primer aniversario de la entrada en aplicación del Reglamento General de Protección de Datos o RGPD. Aprovechando su cumpleaños, nuestro compañero Álvaro Abáigar Domínguez, abogado, asociado y director del departamento de Nuevas Tecnologías y Protección de Datos de ARPA Abogados Consultores ha escrito el siguiente artículo que ha sido publicado en el Número 313 de la revista «Negocios en Navarra» donde comparte unas reflexiones sobre lo que ha supuesto esta norma. Si bien es cierto que vamos a necesitar todavía mucho más tiempo para acabar de interiorizarla, si que podemos hacer un primer balance de las sensaciones que nos deja.

 ¿Freno a la innovación tecnológica?

Hace no mucho escuchaba a un cliente comparar la innovación tecnológica con un coche que circula a una gran velocidad por la carretera. Reflexionaba esta persona sobre el hecho de que a nadie le gustaría montarse en ese vehículo que va a gran velocidad sin garantizarse de que alguien en condiciones se hiciera cargo del “volante” y dirigiera el rumbo. No puedo estar más de acuerdo. Normativas como la de protección de datos nos ayudan a dar orientación a esta gran revolución tecnológica en el tratamiento de datos, no para retrasarla o impedirla, sino precisamente para conducirla al espacio donde pueda ser más útil y provechosa para las personas y la sociedad en su conjunto.

¿Este Reglamento está consiguiendo conducir adecuadamente el coche de la revolución tecnológica? La actual normativa pretende conciliar los diferentes intereses contrapuestos, dotando de mecanismos para adaptarse ingeniosamente a las diferentes situaciones que se le vayan presentado. Buena prueba de ello lo tenemos en la potenciación del denominado “interés legítimo” como vía para poder tratar datos de carácter personal sin el consentimiento del interesado. Sólo el tiempo dirá si ha conseguido su propósito.

¿Desventaja europea frente a otros territorios?

Se puede afirmar sin ninguna duda que la normativa europea se ha convertido en un referente a nivel internacional en materia de protección de datos. Buena prueba de ello es que muchos territorios están preparando actualizaciones legislativas en esta línea.  Pero claro, todo eso va a tardar. ¿Supone esta situación un lastre para nuestras empresas frente a corporaciones ubicadas en otras zonas del mundo? No debería, por lo menos en lo que respecta al mercado europeo, en cuanto que el RGPD recoge expresamente su obligada aplicación a cualquier organización con independencia de donde esté ubicada, siempre y cuando claro está se dirija a ciudadanos europeos.  Es cierto que es toda una declaración de intenciones muy contundente, pero también lo es la necesidad de tener mecanismos y  clara voluntad de hacer cumplir la premisa. En caso contrario las iniciativas empresariales europeas estarán siendo penalizadas injustamente. Este primer año no nos ha dejado la sensación de que este extremo sea una prioridad de las Autoridades de Protección de Datos. Veremos a futuro si cambian las tornas.

 Las sanciones como elemento motivador.

Una de las cuestiones del RGPD que más publicidad se le dio hace un año fue sin duda el régimen sancionador. Simplemente recordar que la normativa establece que se pueden llegar a imponer multas de hasta 20 millones de Euros o el 4% de la facturación (la mayor de las dos magnitudes). Lo cierto es que a fecha de hoy estamos a la espera de conocer el resultado de los grandes procedimientos sancionadores. Las Agencias de Protección de Datos siguen trabajando coordinadamente en numerosas denuncias que se interpusieron el primer día de entrada en aplicación del Reglamente frente a grandes compañías como, por ejemplo, Facebook. Los próximos meses iremos conociendo el resultado de dichos procedimientos sancionadores. Mientras tanto, a modo de aperitivo, sí que es cierto que alguna agencia se ha “adelantado” con algún procedimiento de su exclusiva competencia: CNIL (la Agencia de Protección de Datos de Francia) sancionó a comienzos de año a Google con una multa de 50 millones de euros, lo que algunos quieren interpretar como un presagio de la línea que nos espera.

La publicidad de las brechas de seguridad.

Otro tema ciertamente novedoso ha sido el de la publicidad de las brechas de seguridad. Según la nueva regulación los incidentes de seguridad que afecten a datos de carácter personal tienen que tener una gestión mas transparente. Así las cosas, en algunos casos resulta necesario comunicar a la Agencia Española de Protección de Datos el incidente (en un plazo no superior a 72 horas) e incluso notificar a los propios afectados la situación. ¿La consecuencia? La estamos viviendo a diario con numerosos comunicados y noticias de brechas de seguridad. Las organizaciones han empezado a tomar en consideración esta cuestión desde diferentes ópticas (no sólo desde el temor a ser sancionado sino también a nivel reputacional). No es infrecuente que los usuarios y clientes observemos con mucha atención como una organización afectada por una brecha gestiona dicha crisis. Sobra decir que la confianza de trabajadores, clientes, etc., puede verse quebrada para siempre no sólo por el incidente en si mismo, sino precisamente por la actitud y talante que se ofrezca ante el mismo.

¿Dónde están las medidas de seguridad a implementar?

Si usted decide buscar en el Reglamento General de Protección de Datos una relación de controles a nivel técnico y organizativo a aplicar, deje de buscar. Simplemente no existen. ¡Bienvenido a la orientación al riesgo! En efecto, cada organización tiene que hacer una reflexión sobre qué grado de probabilidad tiene de que se materialice una posible amenaza y las consecuencias que tendría para ella. Eso supone el necesario punto de partida para elaborar un plan de tratamiento de los riesgos que le afecten de forma que se puedan reducir la exposición a los mismos.  En mi humilde opinión, este enfoque es todo un acierto ya que permite superar el anterior sistema basado en niveles de seguridad según los datos (nivel básico, medio u alto) que en no pocas ocasiones planteaba desajustes. Este nuevo paradigma implica que cada organización tiene que descubrir y decidir por su cuenta que es lo que tiene que hacer para reducir su exposición al riesgo hasta un nivel tolerable.  Este enfoque nos debería permitir orientar los esfuerzos hacia los lugares realmente importantes y generar valor en lo que respecta a seguridad de los datos.

 He leído y acepto…o no.

Cuando casi nos habíamos acostumbrado a entender muchos servicios que se ofrecen en internet como un “lo tomas o lo dejas” (en el sentido de tener que aceptar en bloque las condiciones del servicio y las políticas de privacidad), la normativa de protección de datos vuelve a empoderar a los usuarios. Permítanme que me explique. Tomemos por ejemplo una red social. La que ustedes quieran. Ahora piensen en los tratamientos de datos que hacen. Cierto es que habrá algunos tratamientos de datos que serán necesarios para la prestación del servicio; otros por ejemplo impuestos por una concreta normativa (por ejemplo, fiscal). Pero seguro que se le ocurren rápidamente otros que son absolutamente opcionales (por ejemplo, cesiones de datos a terceros para publicidad). Con este último grupo, es decir, los que no son inherentes a la relación, ahora es absolutamente necesario que la red social nos pregunte y pida permiso, y, lo que es más importante sin condicionarnos el acceso al servicio si no estamos de acuerdo. ¿Se imaginan acceder a Facebook sin que esta red social puede utilizar mis datos para ofrecer publicidad personalizada de terceros?

Esta situación puede provocar que algunas organizaciones o modelos de negocio que han sido especialmente voraces con la recogida y tratamiento de datos sin contar con la autorización del usuario puedan verse seriamente comprometidos en este nuevo escenario. Iremos viendo en los próximos meses como se van asentando las interpretaciones y los procedimientos sancionadores que están en curso.

Tratamiento de datos para publicidad.

Una cuestión que no se ha cerrado todavía es la relación futura entre la normativa de protección de datos y la que regula las comunicaciones electrónicas. Es precisamente en esta normativa donde se tratan cuestiones tan importantes como la publicidad por medios electrónicos o el régimen de las “cookies”. Todos confiábamos en una actualización simultánea de los dos cuerpos legales, pero lo cierto es que las instituciones europeas no han sido capaces de ponerse de acuerdo en el texto de la reforma.  Veremos que nos depara el futuro.

 

Hay otras muchas cuestiones que merecen ser comentadas (biometría, delegados de protección de datos, etc.) pero si me lo permiten, me lo reservo para el próximo cumpleaños. Hasta entonces.