POINTS OF A HANDY COMPLIANCE!

3,2,1... RGPD IS HERE!

Exacto, si de algo se caracteriza el tiempo es porque es inexorable. Hace apenas dos años entraba en vigor el Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en cuanto al tratamiento y la libre circulación de datos personales (RGPD). Hace dos años…. Y entonces ¿por qué hay tanto revuelo ahora? Pues porque el 25 de mayo de 2018 (si, el mes que viene) será obligatorio su cumplimiento para los responsables y encargados del tratamiento que este mismo incluye. Fecha que seguramente esté marcada en el calendario de todas las organizaciones en rojo, señalando el antes y el después.

Antes de entrar a analizar el reglamento, me gustaría poner en antecedentes y dar un poco de perspectiva a la ``protección de datos´´. Todo el mundo ha oído hablar de la Ley Orgánica de Protección de Datos, es algo que está ahí, en todos los sitios a los que vas, ya sea descargarse cualquier app en tu Smartphone, contratar algún tipo de servicio, firmar cualquier contrato, suscribirse en alguna página web… En cualquier sitio, sin entender de ámbitos sectoriales de productos ni de servicios. Pues bien, la protección de datos es la facultad de control de la propia información frente a su tratamiento en cualquier soporte que permita la utilización, tratamiento, organización y acceso por cualquier institución.

En España, todo ello estaba regulado por La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD), que tenía por objeto garantizar y proteger, el tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor, intimidad y privacidad personal y familiar. Esta ley se desarrolla fundamentándose en el artículo 18 de nuestra Constitución, sobre el derecho a la intimidad familiar y personal y el secreto de las comunicaciones.

Actualmente, somos máquinas generadoras de datos. Yo mismamente, seguro que ahora mismo publicando este post, esté generando información de ubicación, intereses, multitud de páginas web consultadas, descarga de información, tiempo, frecuencias, posiciones… pero cuando paseo por la calle también, y cuando voy en el metro, y cuando trabajo, cuando voy al supermercado, cuando envío un correo electrónico, etc, etc… y no es porque mi actividad sea de mayor o menor interés, es porque hoy día, cualquier compañía se nutre de todos los datos que generamos automáticamente o les facilitamos por necesidad.

¿Sois capaces de imaginaros un mundo sin este tipo de límite? un mundo en el que no hubiese este tope de canalización de esos datos, quizás seríamos como un pez en una pecera, viviríamos en un escaparate, sería como tener la puerta de casa abierta de par en par. Gracias a la LOPD se crea el organismo encargado de velar porque esas mismas cosas no pasen, la Agencia Española de Protección de Datos (AEPD).

Lo más importante son los derechos que tenemos reconocidos en la propia Ley, los llamados Derechos A R C O (Acceso, Rectificación, Cancelación y Oposición), los cuales permiten saber con exactitud el lugar a través del cual se han conseguido, modificar cualquier información que no sea correcta, cancelar datos que se están tratando y no deberían ser utilizados u oponernos a su tratamiento porque no lo hemos autorizado.

Para ejercer este tipo de derechos, es importante conocer al menos, una serie de aspectos: deben ser ejercitados directamente por el interesado ante la persona responsable y a la entidad que está tratando los datos por cualquier medio que permita acreditar el envío y la recepción de dicha solicitud, como puede ser un burofax. Si la entidad no responde a nuestra solicitud en plazo o lo ha hecho de manera en la que no estemos conformes, entonces nos podremos dirigir en una segunda instancia a la AEPD para que tutele nuestro derecho frente al responsable. Estos derechos ARCO, pueden actuar de manera independiente, su ejercicio es totalmente gratuito y el contenido de la solicitud debe incluir los datos personales, la petición, fecha y firma. La AEPD resolverá mediante una resolución que será recurrible ante los Tribunales ordinarios.

El Tribunal de Justicia de la Unión Europea (TJUE) en su sentencia de 13 de mayo de 2014, reconoce otro derecho, como ya venía aplicando la AEPD en alguna de sus resoluciones, el derecho al olvido. Este no es más que impedir la difusión de información personal en internet cuando no son pertinentes y cuando la información carece de interés público o se ha quedado obsoleta. Es una adaptación del derecho de cancelación y oposición pero aplicados a los motores de búsqueda de internet.

El derecho al olvido puede ser ejercitado directamente frente al buscador sin acudir previamente a la fuente original (la página web). Ambos realizan tratamientos datos diferenciados y con un impacto diferente. Hay veces en los que no procede conceder este derecho frente al editor pero si frente al motor de búsqueda (Google, Bing, Yahoo…), ya que, éste último realiza una difusión universal lo que provoca un impacto desproporcionado en el bien jurídico que se quiere proteger: la privacidad.

En esta misma sentencia, explica que la información necesariamente no tiene por qué desaparecer de internet. Las fuentes permanecen inalteradas y sólo afectará a los resultados obtenidos en las búsquedas hechas mediante el nombre de la persona, lo que no implica que la página sea suprimida. Seguirá apareciendo esa información pero cuando la búsqueda se realice por cualquier otro término distinto al nombre. Cada caso se estudia de manera independiente, atendiendo a la relevancia del solicitante y del interés que pueda generar en los usuarios o el público en general. Por ejemplo, en la medida que afecten a una personalidad pública no serán admitidas.

El Reglamento General de Protección de Datos (RGPD) tendrá una enorme repercusión en la forma en que las organizaciones tratan los datos de clientes, empleados y terceros. Con el RGPD todas las empresas, gobiernos y entidades del sector público que procesen datos de residentes de un Estado miembro de la Unión Europea deberán cambiar sus planteamientos en relación con la gestión de datos a fin de garantizar el cumplimiento de la legislación y, por tanto, evitar multas cuantiosas y mala publicidad. El reglamento también se aplicará a aquellas organizaciones que alojen datos en la UE, con independencia del usuario final y de su ubicación.

Este cambio sustancial de la normativa se debe a la constante evolución tecnológica, una economía más innovadora y los procesos de transformación digital que sufren las actividades de tratamiento de datos personales. Supone un cambio al modelo tradicional hacia uno más dinámico y proactivo basado en el principio de responsabilidad activa, enfocado a la gestión continua de los riesgos potenciales asociados. De este gran cambio destaca la necesidad de llevar a cabo un análisis de riesgos para poder definir de manera clara los protocolos de seguridad.

LA GESTION DEL RIESGO: la posibilidad de una amenaza y sus consecuencias.

Son actividades enfocadas a controlar la incertidumbre relativa a una amenaza mediante la identificación de las mismas, su evaluación y tratamiento. Es una actividad común que hoy día las compañías utilizan en multitud de ámbitos y con un enfoque dirigido a los potenciales daños a los que se está expuesto siempre a una tipología concreta de amenazas. No es lo mismo que tu compañía se dedique a la compra y venta de buques o aeronaves a que sea una petrolera o mismamente se dedique a la gestión de proyectos publicitarios.

Ahora vamos a estudiar las posibles implicaciones que tiene en la protección de datos. El RGPD busca aprovechar las ventajas que ofrece la gestión de riesgos, centrando su atención en las amenazas sobre los derechos y libertades de los interesados. Este análisis de riesgos debe ser el resultado de una reflexión sobre las diversas implicaciones que estos datos tienen sobre los interesados estableciendo hasta qué punto la actividad puede causar un daño. Este enfoque implica estimar el daño y su tipología.

Llegados a este punto es de lógica que nos preguntemos el cómo de ese estudio, qué pasos debemos seguir para un efectivo análisis de riesgos o cuál sería nuestra hoja de ruta. Hay que tener claro, como punto de partida, que la exposición a los estos riesgos se produce desde el mismo inicio del tratamiento de los datos pudiendo evolucionar según el contexto o los elementos que puedan intervenir. El RGPD introduce conceptos como la protección de datos desde el diseño y por defecto, en el apartado 1 y 2 del art. 25 del RGPD, entre otras cosas pone de manifiesto que el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas como la seudonimización para aplicar de forma efectiva los principios de protección de datos con miras a garantizar que, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. De este artículo debemos sacar en claro que, el responsable y el encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado. En el art. 32 se habla del cifrado de datos, garantías de confidencialidad, capacidad de restaurar la disponibilidad y el acceso y valoraciones regulares de la eficacia de estas medidas. Por tanto, corresponde a casa organización, según el principio de responsabilidad proactiva (accountability) decidir el nivel de agregación o segregación para elaborar el registro de actividades de tratamiento, valorando hasta qué punto se corresponde con  finalidades, bases jurídicas y grupos de individuos distintos. Podría ser muy útil, a la hora de realizar este registro de actividades, volver la vista a los ficheros que la compañía hubiera descrito anteriormente, para comprobar si el nivel de separación sigue siendo el adecuado. Con este fin la AEPD ha incluido entre sus servicios la posibilidad de obtener una copia formato Excel o XML del contenido completo de la declaración de sus ficheros.

El siguiente paso en nuestra hoja de ruta, debería ser analizar si nuestra actividad empresarial entraña un alto riesgo con el objetivo de determinar si se requiere una evaluación de impacto relativa a la protección de datos (EIPD), aunque no siempre es necesaria, en cada actividad de tratamiento, se debe valorar la necesidad de llevarla a cabo. Los criterios a seguir para analizar la necesidad de llevar a cabo o no una EIPD se encuentran regulados en el art. 35 del RGPD. El análisis se constituye de dos fases: el análisis de las listas de tratamientos previstos en la regulación y el análisis de la naturaleza, alcance, contexto y fines de tratamiento.

Seguimos desmigajando este entramado de conceptos, en el art. 30 del RGDP, se define lo que es un registro de actividades de tratamiento. En la práctica, puede decirse que es el conjunto de operaciones enfocadas a conseguir un fin que se legitiman en una misma base jurídica. Operaciones como recogida de datos, su registro, organización, estructuración, consulta, o su utilización. Esta identificación de actividades de tratamiento es una necesidad y no solo una obligación, para facilitar el análisis de riesgos.

Las actividades de tratamiento se agrupan en grupos similares, lo que simplifica el análisis y permite establecer medidas de seguridad por defecto. Por ejemplo, las operaciones de almacenamiento de datos están asociados al riesgo de la falta de disponibilidad, por lo que una medida podría ser una política diaria de copias de seguridad definida para todas las bases de datos.

A continuación trataré de elaborar una pequeña lista de los principales riesgos potenciales y las posibles medidas de control que ayudarían a reducir el nivel de riesgo:

- Integridad de los datos personales: el riesgo podría ser la modificación o alteración de los datos aunque no sea de manera intencionada. Las medidas de control podrían ser la segregación de funciones mediante perfiles de acceso o controles de monitorización de amenazas en red.

- Disponibilidad: el riesgo en este caso sería el de la pérdida o el borrado no intencionado de los datos, como medida de seguridad podrían establecerse copias de seguridad automáticas periódicas o su almacenamiento en dos ubicaciones diferentes.

- Confidencialidad: el riesgo seria el acceso no autorizado a los datos personales y la medida de seguridad podría ser  la implantación de mecanismos de control de acceso o la segmentación de la red.

Garantizar una adecuada gestión de riesgos requiere la monitorización continua de los riesgos y la evaluación periódica de la efectividad de estas medidas, porque estos son variables ante cambios en las actividades de tratamiento.

La AEPD y ASCOM (Agencia Española de Compliance) han firmado un protocolo para impulsar la figura del Delegado de Protección de Datos y facilitar a las empresas el cumplimiento del Reglamento. Conscientes de la importancia que tiene la protección de datos para la función de compliance y de la estrecha vinculación que existe entre la figura del Delegado de Protección de datos y el Compliance officer.

Por mi parte me alegra saber que esto ya no es como aquel que decía ´pasen y vean´, pero también creo que no es sólo trabajo de las empresas y de las instituciones públicas por imperativo legal sino que debemos prestar atención y tener cautela de los datos que facilitamos a la hora de realizar cualquier operación. No hay que olvidar que la información, ya sea negativa o positiva, es poder.


Comentarios

No hay ningún comentario

Añadir un Comentario: