Este año que comenzamos también tiene su 25 de mayo; pero no va a ser un 25 de mayo cualquiera, va a ser el día que ya sea obligatorio para cualquier empresa en la Unión Europea -tenga el tamaño que tenga- la securización del uso que haga de los datos que tenga de clientes, empleados, proveedores y socios.
El RGPD describe un principio de responsabilidad proactiva como la necesidad de que se apliquen medidas técnicas y organizativas apropiadas a fin de y poder demostrar que el tratamiento es conforme con el Reglamento. En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.
A partir de este conocimiento, deben asegurarse de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión. En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
Por fortuna, y sin que sirva de precedentes, las empresas españolas parten de una cierta ventaja: la LOPD, que lleva muchos años implantada, lleva concienciando a las empresas sobre esta necesidad de proteger los datos privados que se manejan, teniendo a la AEPD asesorando, inspeccionando y sancionando oportunamente. Por lo cual el cambio al nuevo RGPD no va a ser tan traumático, y además, podrá contar con el concurso de empresas externas especializadas para alguna de las normas obligatorias, como por ejemplo la creación de la figura del CDO/DPO o responsable de datos digitales.
Hay que tomárselo como una mejora proactiva y una oportunidad, y no como una rémora burocrática más
Hay que tomárselo como una mejora proactiva y una oportunidad, y no como una rémora burocrática más. Todos somos también en algún momento clientes, ciudadanos, consumidores y pacientes, y vamos a querer que nuestros datos en manos ajenas estén asegurados o no estén. La concienciación sobre el tratamiento de datos y sus consecuencias se impone en un mundo cada vez más digitalizado, y a su vez, las empresas que quieran sacar más valor a sus datos necesitarán blindarse y hacer un uso responsable de los mismos. Digitalización de servicios y nuevos modelos de negocio serán inviables si no se garantiza el correcto empleo de datos privados o convenientemente anonimizados.
Así que la preocupación máxima de los responsables de las compañías está en conocer si sus sistemas informáticos cumplen con estas exigencias. A partir de ahora no entrará en el circuito nada que no lleve el principio de protección de datos por defecto y desde el diseño. El RGPD también establece dos principios, el de responsabilidad (accountability, “quién la paga”) y el de transparencia (trazabilidad). Tanta, que en caso de robo de datos hay que comunicarlo a las autoridades antes de pasadas 72 horas.
El RGPD trae nuevos derechos al ciudadano, además de la obligación de transparencia y señalar en cada momento el recorrido de la información, desde que se genera y cómo se genera, hasta su almacenamiento (custodia, recuperación, tratamiento, cesión, venta). Los más destacados se refieren a la necesidad de obtener consentimiento explícito para su recogida, a tener una limitación temporal este tratamiento (no es eterno), y como mayor novedad, el derecho “al olvido” y al borrado definitivo. Está claro que vamos a ampliar el ámbito de la privacidad, y por ejemplo, ahora los datos personales sensibles se extienden a más allá de las creencias religiosas, datos sanitarios o étnicos, y llegan a los datos biométricos y genéticos.
Con la nueva normativa, las empresas estarán obligadas a implantar medidas preventivas, en especial para reducir el riesgo de fuga de información y salvaguardar los derechos de los ciudadanos. Serán necesarias herramientas de reporting, cifrado, monitorización y auditoría que marquen la trazabilidad de los datos. La encriptación para asegurar la ilegibilidad de los datos es fundamental, y no solo recomendable, pues la cuantía de las multas en caso de brecha se incrementará notablemente si los datos robados son además visibles. Además, habrá que tener elaborado un plan de contingencia en caso de ataque, con protocolos de recuperación y validación de los datos.
