A partir del mes de mayo serán plenamente aplicables las obligaciones establecidas por el Reglamento General de Protección de Datos y, a pesar de ello, son muchos los que aún desconocen las implicaciones que se derivan del mismo.
El RGPD persigue, entre otras cuestiones, unificar la multitud de normativas existentes hasta la fecha en los países que componen la Unión Europea, permitiendo la existencia de un marco común que facilite la interpretación normativa, especialmente en sectores en los que, por su actividad, tengan presencia en varios estados de la UE (por ejemplo, empresas del sector retail o ecommerce en general).
Con carácter general, las novedades introducidas por el RGPD se articulan sobre dos pilares fundamentales:
El primero de ellos, es que dota a los usuarios de un mayor control sobre el destino de sus datos, objetivo que es perseguido por una doble vía. De una parte, se establece una obligación de transparencia a la hora de recabar datos de carácter personal, que implica facilitar a los interesados información clara y concisa, fácilmente comprensible por sus receptores. Dicha información, deberá orientarse al tipo de público al que se dirija, especialmente cuando estos son menores. De otra parte, en aquellos supuestos en los que el interesado deba prestar su consentimiento para que sus datos puedan ser tratados, este consentimiento debe ser, en todo caso, expreso. Esto quiere decir que debe procederse a la marcación de una casilla, a la firma de un documento o a la declaración verbal de su aceptación al tratamiento.
El segundo pilar sobre el que recae el RGPD es el principio de responsabilidad proactiva (accountability). Este principio, que se ve reflejado en diversas obligaciones establecidas por el RGPD, supone un cambio en la mentalidad de las organizaciones, a las que ahora se les exige adoptar mecanismos de gestión del cumplimiento de la normativa.
Uno de los principales campos en los que se ve reflejado este principio es en la adaptación de medidas de seguridad. Hasta la fecha, nuestra normativa actual venía a establecer tres niveles de seguridad – básico, medio y alto- en función del tipo de dato tratado. Asociado a cada uno de estos niveles, el Reglamento de Desarrollo de la LOPD establecía las medidas de seguridad que debían ser adoptadas, tanto para aquellos tratamientos que se realizaran por medios automatizados como en los no automatizados (documentación física). Conforme a lo anterior, debían ser adoptadas idénticas medidas con independencia de la ubicación donde se almacenara, del desarrollo tecnológico y de la finalidad para la cual serán tratados los datos.
El RGPD, por su parte, no establece un listado tasado de medidas que deban ser adoptadas. Así, el principio de accountability traslada a las empresas la determinación del nivel de seguridad y las medidas asociadas a este que deben implantarse para garantizar la protección de la información y que deberá efectuarse a partir de un análisis de riesgos que evalúe aquellas que son adecuadas teniendo en cuenta la tecnología disponible, la naturaleza del riesgo, el alcance, contexto y los fines para los que son tratados los datos. En particular, el nivel de seguridad determinado deberá contar, entre otras, con las siguientes:
- Seudonimización y cifrado de datos;
- Capacidad para garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas;
- Capacidad de restaurar la disponibilidad y el acceso a los datos de forma rápida en caso de incidente técnico o físico;
- Proceso de verificación, evaluación y valoración regular de la eficacia de las medidas técnicas (auditoría periódica).
La determinación de las medidas de seguridad que deben ser adoptadas será fruto de un estudio pormenorizado de los flujos de información que se producen internamente en cada organización, así como de los sistemas de información empleados y las medidas que constan al momento.
Las conclusiones obtenidas permitirán identificar los riesgos concurrentes y las medidas que deberán adoptarse para evitar su producción. A la hora de determinar estas medidas concretas que deben constar en cada sistema, sin duda será un buen medio recurrir a la metodología y a las recomendaciones establecidas por prestigiosos estándares de seguridad internacionales, como la norma ISO 27001 o las directrices proporcionadas por ENISA.
Tanto en lo referido a las medidas de índole técnica que hayan sido adoptadas como en lo que afecta a aspectos puramente jurídicos, deberá documentarse la totalidad de las políticas y procedimientos que sean adoptados, en aras de poder acreditar el cumplimiento del principio citado.
El RGPD refuerza las sanciones que pueden ser impuestas a causa del incumplimiento de las obligaciones enunciadas
Consecuencia de lo anterior, el RGPD incorpora además la obligación de notificar aquellas brechas de seguridad que puedan producirse en los sistemas en los que sean almacenados datos de carácter personal a la Agencia Española de Protección de Datos. Esta notificación, que ya venía siendo de aplicación para sectores específicos, se generaliza para todos aquellos incidentes en los que se vean afectados datos de carácter personal, con independencia del sector de actividad de la organización.
La notificación anterior es reforzada con la obligación de poner en conocimiento de los titulares de los datos la producción de dichos incidentes, en los casos en los que puedan afectarles sustancialmente.
Además, el RGPD refuerza las sanciones que pueden ser impuestas a causa del incumplimiento de las obligaciones enunciadas (llegando, en algunos supuestos, al 4% de facturación o 20.000.000 de Euros), importes a los que deberán sumarse aquellos que se derivan de los daños reputacionales que puedan darse consecuencia de la obligación de hacer público los incidentes señalados.
Teniendo en cuenta todo lo anterior, es evidente que la aplicabilidad del RGPD marca un antes y un después en la gestión de la normativa de protección de datos, que exigirá a las empresas analizar y evaluar los riesgos para la privacidad de los usuarios y la adopción, por defecto, de los medios más adecuados para poder probar su cumplimiento.