Ley de protección de datos europea (General Data Protection Regulation)

A partir de las empresas europeas, que trabajen en europa o aquellos usuarios que lo hagan van a estar sometidos a la nueva regulación de protección de datos aprobada a . Esta nueva regulación, que sustituye la de 1995 y que viene dada principamente por el terrorismo y todos los cambios digitales de estas dos últimas décadas, va a ser aplicada “tal cual”, sin que los países tengan que adaptarla a su legislación propia (creo que es de las pocas vece que esto ocurre).

Esta nueva legislación afecta, por ejemplo, a todas aquellas empresas exteriores a la UE que poeren con usuarios europeos, además, obviamente, de estandarizar la legislación de datos a todos los países miembros. El incumplimiento de esta legislación puede alcanzar un 4%-5% de la facturación mundial de las compañías que la incumplan.

¿A quién afecta?

Este reglamento afecta a todo aquel que recopile datos de residentes en la UE, ya sea el responsable del tratamiento, el procesador de ellos o el titular de los datos, sea de donde sea (o sea, tiene aplicación internacional si afecta a un europeo)

Según la Comisión Europea:

Datos personales son cualquier información relativa a una persona, ya se trate de su vida privada, profesional o pública, que puede ser cualquier cosa, desde un nombre, una dirección de casa, una foto, una dirección de correo electrónico, un banco, información sobre los sitios web de redes sociales, información médica o dirección IP de un ordenador.

Aplicación estatal

Cada estado miembro creará una Autoridad de Supervisión independiente (SA) para conocer e investigar las quejas, sancionar los delitos administrativos… Estos organismos, obviamente, cruzarán datos internamente. En el caso de que una empresa tenga varias sedes, se definirá la SA principal en uno de los países (en principio el principal de la compañía).

Responsabilidad

A la hora de informar, se tendrá que hacer con más datos. Por ejemplo cuánto tiempo se van a almacenar los datos de la persona, la persona responsable del tratamiento de datos y de la protección de datos (que deberá registrarse).

Además, la personalización (o toma de decisiones individualizada automatizada) como podría ser la elaboración de perfiles podrá ser rebatida por los ciudadanos, pudiendo cuestionar las decisiones automatizadas.

Las empresas y organismos deberán tener documentado las medidas que cumplen los principios de protección de datos por diseño y protección de datos por defecto, quedando en manos del responsable del tratamiento. Esto implicará la pseudonimización de datos personales, por parte del responsable del tratamiento.

Consentimiento

La recoipilación de datos deberá ser explícita, lo que significa que en todo momento habrá que informar al usuario de qué datos se disponen. En el caso de los niños, deberá quedar registrado los datos de los padres o tutor legal de manera demostrable y verificable, ya que los controladores de datos deben ser capaces de probar el “consentimiento” (opt-in), pudiendo este ser retirado.

Data Protection Officer – DPO (Director de Protección de Datos)

En el caso de empresas privadas, si la gestión de datos es un elemento principal, se deberá disponer de un director de Protección de Datos que se haga responsable de los mismos. Deberá ser una persona con conocimientos especializados en materia de legislación y prácticas de protección de datos y debería ayudar al responsable del tratamiento o del procesador a supervisar el cumplimiento interno del presente Reglamento.

Además, encontramos la figura del Compliance Officer, que será la persona técnica competente en la gestión de procesos de TI, seguridad de datos (incluyendo el tratamiento de ataques) y otros asuntos críticos de continuidad de negocio alrededor del procesamiento de datos sensibles o personales.

Pseudonimización

Los datos deberán almacenarse de tal manera que no se puedan atribuir a un sujeto en concreto sin información adicional. Un sistema podría ser el cifrado de la información, que requiera una clave externa, y que impida incluso a los propios responsables de los ficheros de su acceso sin ella y de forma controlada.

En caso de que los datos sean pseudonimizados con políticas y medidas internas adecuadas, entonces se considera anonimizado y no sujeto a controles y sanciones del GDPR. Un ejemplo de ello es que los datos deberán pseudonimizarse lo antes posible, encriptar los datos localmente y mantener de forma separada las claves de cifrado.

Hackeos

En caso de que alguien externo consiga hacerse con una fuga de datos, se deberá comunicar en un plazo de 72 horas a la Autoridad Supervisora. En caso de que pueda afectar a los usuarios, también se les tendrá que comunicar. Esto sólo es en caso de datos personalizados, pero no afectaría a los datos anónimos (analítica).

Derecho al olvido

El sistema de derecho al olvido (o borrado) queda sustituido por este reglamento. Un usuario puede solicitar toda su información de la plataforma, ya sea por incumplimiento legal o por uso que sobrepasa los derechos y libertades fundamentales. EJEMPLO: Google Spain v AEPD and Mario Costeja González.

Portabilidad de datos

Una persona puede transferir todos sus datos de una plataforma a otra mediante sistemas de Estándar Abierto estructurados.

Aquí supongo que iremos viendo lo que se consideran estándar, ya que cada sistema, software o concepto puede tener unos requisitos propios.

Privacidad, de facto

Toda plataforma deberá estar diseñada e implementada con la privacidad como punto báse y clave, desde su inicio. Además, sólo se deberá hacer uso de los datos personales en los momentos en los que sea necesario para un propósito específico.

Registro de actividad

Cada vez que se haga un tratamiento en el procesamiento de datos se deberá almacenar un registro que indique qué actividad se ha realizado, con qué fin y qué plazos se han utilizado. En caso de que la Autoridad Supervisora lo solicite, se les deberá entregar.

Si bien es cierto que esta regulación estaba muy pensado para el “cloud”, las “redes sociales” y todo eso, va a generar una serie de problemáticas en muchas empresas, principalmente PYME. Las empresas grandes ya suelen tener a una persona responsable de los datos, pero las empresas pequeñas no. Además, tampoco queda muy claro cuando se habla de la pseudonimización y encriptación de datos si simplemente es mantener la base de datos encriptada (como tener un MySQL con SSL/TLS) o directamente hay que encriptar la información, lo que generaría una complejidad excesida en los sistemas.

La Comisión Europea ha lanzado un sitio web en el que se trata este tema, eugdpr.org, que, como curiosidad, no funciona sobre HTTPS. También la Agencia de Protección de Datos ha lanzado una sección en la que publican bastantes documentos para explicar cada uno de los detalles a cumplir.

Deja un comentario