RGPD. Pánico en la red!!!

Hace ya 2 años (25 de mayo de 2016) que entró en vigor el Reglamento General de Protección de Datos (RGPD) y ahora mismo probablemente es Trending Topic debido al bombardeo de cláusulas que estamos sufriendo todos los mortales que utilizamos Internet, ya sea por trabajo o por placer. Pero paciencia, esto es algo temporal hasta que nos hayamos puesto al día y si os sirve de ayuda psicológica, es por el bien de nuestra privacidad.

El pánico puede sentirse en todo aquel que tiene algún negocio en la red. Como suele pasar en Navidad que dejamos la compra de regalos hasta el último momento; es lo que le está pasando a la inmensa mayoría. Sólo faltan unos días para la Aplicación del nuevo RGPD o tal vez llegas tarde y estás leyendo esto cuando ya se está aplicando.

El Reglamento se aplicará por igual en toda Europa (y fuera de ella) y cada país creará su propia normativa adaptada a él.

Sin sustos ni sorpresas. Claves de la RGPD

¡No nos alarmemos! Si bien es cierto que hemos tenido tiempo de sobra para hacer los deberes, aún podemos hacerlo pero hay que ponerse las pilas. Como estarán haciendo nuestros Señores Ministros que aprobaron el Proyecto de Ley Orgánica de Protección de Datos en 2017 pero que todavía está sujeta a modificaciones y que previsiblemente, no será definitiva hasta después del temido día 25 de mayo de 2018, por lo que se extiende el rumor generalizado de que aún se dispondrá un margen adicional de tiempo para ajustarse. Yo de vosotros no haría caso a rumores, el RGPD está aquí y ha llegado para quedarse, aunque pronto habrá algunos cambios más, así que permaneced atentos.

Lo que sí creo firmemente, es que la Agencia Española de Protección de Datos (AEPD) no va a empezar una caza de brujas. Especialmente porque no actuará por su propia cuenta, si no que será necesaria la denuncia de un tercero para que se ponga manos a la obra.

Uno de los grandes cambios que nos trae el Reglamento: El denunciante (cualquier usuario en vuestras bases de datos, BBDD) podrá reclamar una indemnización si ha visto vulnerados sus derechos. Así que mucho ojo con tener a vuestros cuñados en las BBDD. XD

Nuestra actual LOPD (15/1999) es una de las más “duras” a nivel europeo y es por eso que,

  1. La mitad del trabajo ya lo tenemos hecho 😉
  2. El RGPD nace con el objeto de unificar la normativa en toda la Unión Europea
  3. Seguirá aplicándose hasta que no haya sido actualizada, siempre y cuando no contradiga el nuevo Reglamento Europeo.

Como evitar las sanciones

Lo que todo el mundo comenta, las sanciones, ¡SÍ! Son Muy Elevadas o mucho Elevadas como diría el amigo…

Así pues, pueden llegar a suponer hasta 20 Millones de € o el 4% de la facturación (para aquellas empresas a las que 20 Millones les moleste pero no les mate, tipo Google, Amazon o Facebook) para las infracciones más Graves.

Pero claro, amigo Blogger(PYME), estarás pensando que esto podría acabar con tu negocio, tu existencia y hasta la de tus bisnietos. Podría darse el caso, pero eso significaría que has metido la pata (hasta el fondo) a la hora de proteger los datos de tus usuarios, así que, ya sabes… ¡al lío!. Copias de seguridad, Cifrado de Datos, Firewall, en fin, todo lo que se te ocurra. De todas formas, la AEPD tampoco vendrá con la intención de arruinar a media España. Sólo debes demostrar que has hecho lo que técnica y económicamente has podido para garantizar la seguridad y te perdonarán la vida, aunque finalmente puede que te duela el bolsillo.

Un ejemplo de infracción grave: NO COMUNICAR a la AEPD que has tenido una brecha de seguridad.

Es decir, que te roben algún PC o que un hacker haya hecho de las suyas en tu servidor. Todo aquello que afecte a la Confidencialidad, Disponibilidad y/o Integridad de los datos DE CARÁCTER PERSONAL. Imagina que cada vez que un pc desaparece en España, la Agencia recibe el aviso; ¿No lo ves factible verdad? Mucha gente tampoco, por lo que se prevé que esta norma cambie. ¡Pero tú avisa! Teóricamente si los datos han sido cifrados o son inaccesibles de alguna forma, podrías no tener que avisar.

Datos personales, especiales, religiosos…….

Dicha comunicación ha de ser – ”sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas física”¡Pero tú avisa!  más vale que te den una palmadita en la espalda por haber hecho tus deberes y no que te metan un multazo.

Y si como dice, constituye un riesgo para los afectados, a ellos también debes comunicarlo. Imagina que los datos de tu tarjeta de crédito los tiene algún gamberro… Seguro que querrías anularla cuanto antes.

protección de datos

Hay que matizar que los datos de carácter personal de los que trata el RGPD, hacen referencia a personas físicas (ciudadanos o residentes de la UE), es decir, puedes guardar todos los datos que quieras de empresas o de tu tía de Wyoming. Además, se añade la categoría de Datos especiales o sensibles con los que hay que tener más atención. Estos Datos especialmente protegidos son los que “revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física”.

El Reglamento también considera que se deben manejar los datos mínimos necesarios para el servicio que se preste, o lo que es lo mismo, no me preguntes hasta el día que perdí la virginidad si yo lo que quiero es comprar unos zapatos. ¿Lógico verdad? ¡Pues gracias RGPD!

¿Y que pasa con los usuarios?

Los derechos ARCO (Acceso Rectificación, Cancelación, Olvido) se han visto ampliados, de forma breve, plásmalos en tu Aviso Legal, Política de Privacidad o lo que sea que tengas en tu web ¡pero hazlo! Debe quedar visible, así como una forma de contactar contigo para ejercerlos. Estos ya no son los 4 Jinetes del Apocalipsis, estos ahora son más y peores. Y serán los responsables de la denuncia de tu cuñado. Por ejemplo, el derecho de portabilidad, como hacen las operadoras telefónicas que se pasan tus datos de una a otra si decides cambiar de compañía. De la misma manera tienes que poder hacerlo tú (fácilmente, en un Excel por ejemplo) si te solicitan que mandes los datos a tu competencia.

En tal caso, imaginemos que ya tenías a tu cuñado en tu BBDD. Debes enviarle un Email informándole que tienes datos suyos y que puede ejercer sus derechos en cualquier momento. Advirtiéndole de que en caso de no pronunciarse a tal efecto se entenderá que consiente el tratamiento. Así, si en su día recogiste esos datos de forma lícita puedes seguir usándolos mientras no te notifique lo contrario en 30 días (sólo aquí se permite el consentimiento tácito).

Pasado el tiempo, resulta que solicita dejar de aparecer en tus ficheros (siempre identificándose con documento de identidad). En el momento tú tienes constancia de ello, tienes un plazo 1 MES para solucionarlo o seguramente pronto tendrás noticias de la Agencia, que te dará una advertencia y 10 días para arreglarlo si no quieres una sanción.

Otra de las novedades de la RGPD: El Consentimiento.

A partir de ahora, desaparece el consentimiento tácito o por omisión en el momento de la recogida de los datos. “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal”.

Las cookies por ejemplo, es un dato de carácter personal. Lo primero que debes tener en cuenta para tu web, es la redacción de una nueva política de cookies en la que aparezca una casilla (checkbox) SIN ESTAR PREVIAMENTE MARCADA para que sea el propio usuario el que marque AFIRMATIVA Y LIBREMENTE esa casilla. Además de informar lo más concretamente posible, quien hará uso de esos datos y su finalidad y durante cuánto tiempo (como el resto de datos que puedas almacenar). En este aspecto y dado el extenso uso de WordPress en la red, a estas alturas ya dispondrás de un buen número de Plugins adaptados a la nueva normativa como ya ocurrió con la LOPD. Han aparecido muchos plugins para WordPress sobre este tema,  Adaptación RGPD / LOPD puede que sea uno de los últimos en aparecer.

El formulario que el usuario rellene, debes guardarlo bien y a poder ser que indique la fecha, hora e incluso la IP desde la cual se hizo puesto que la Agencia podría requerirlo si quiere buscarte las cosquillas.

Hablando los Plugins, esos grandes amigos que nos hacen la vida más fácil y hacen parecer nuestra web mucho más Pro, el RGPD tiene especial preocupación por el movimiento de los datos entre fronteras, particularmente, fuera de Europa. Se Deberá informar de la ubicación en caso de que los datos sean almacenados, tratados, etc… en el exterior. Así que empezar a hacer una lista de los plugins que traten los datos de vuestros usuarios e interesaos sobre   dónde se almacena esa información porque os afecta (un ejemplo común es MailChimp). Hasta el punto de que, sin daos cuenta, les estáis nombrando Encargados del tratamiento.

¿¿Encargados del tratamiento??. Nace una profesión

Efectivamente. El Reglamento habla de las figuras de Responsables del tratamiento,  Encargados del Tratamiento, y como gran novedad, del Delegado de Protección de Datos (DPD en español; DPO en inglés) cuya misión dentro de la empresa de garantizar que no se vulneran los datos personales y que sólo será obligado en casos como en empresas con más de 250 empleados o que traten un volumen de datos a gran escala (Todavía por determinar qué quiere decir esto)o si tratan los citados datos especialmente protegidos… Esta figura la puedes contratar externamente si fuese necesario.

rgpd social media

Esto con ejemplos se entiende mucho mejor. Supongamos que tengo una empresa (con o sin Web) en la que tengo mi lista de clientes, mi lista de proveedores o incluso mi lista de empleados.

Voy a tener que firmar un contrato con cada uno de ellos para almacenar, tratar, bla bla bla… todos sus datos personales de los que yo seré el Responsable del Tratamiento y además informar de que esos datos los voy a ceder a un tercero, véase una asesoría que me hace las nóminas de los empleados, que será el Encargado de tratar esos datos, asegurando que este cumple con el RGPD. Este ejemplo nos sirve para todas aquellas empresas que van a tratar los datos por mí, como MailChimp que va a enviar por correo electrónico, información comercial de forma automatizada.

Documentación en papel. Nada se libra

Es más, voy a tener que firmar un contrato incluso con el que venga a dejarme un Currículum en mano o por email ¡OJO! Por no mencionar los datos que se incluyen en facturas, presupuestos… ¡Añade más cláusulas! Y al almacenar todos estos datos en papel también tienes que garantizar que no se van a perder o puedan ser robados o que la señora de la limpieza (con la que también deberías firmar un contrato de confidencialidad) no le eche una foto a algún documento o vaya usted a saber…

Ya os vais haciendo la idea de la cantidad de documentación que esto supondrá por lo que más vale que os pongáis en manos de consultoras especializadas o bufetes de abogados.

Si sois de los valientes, con una empresa modesta o que no trata un gran volumen de datos, la AEPD puede facilitaos las cosas con guías más comprensibles que el propio Reglamento o también, herramientas como “Facilita” que después de responder una serie de preguntas en su web, os generará un documento básico con el Registro de actividad, cláusulas para clientes, para proveedores, etc…

El Registro de actividad es como el antiguo fichero que se debía enviar a la Agencia Española pero ahora ya no hay que enviar. En él deben figurar las diferentes BBDD que puedas manejar y sus particularidades entre otras cosas. Te ánimo a que uses “Facilita” para que te hagas una idea más clara y que indagues también por la web del Incibe que puede generarte algún documento más en materia de seguridad y que podrás sacar a relucir si la Agencia llama a tu puerta.

A grandes rasgos estos son algunos de los detalles más relevantes que trae el Reglamento. Por supuesto, tiene mucha más miga, pero alguno ya se ha dormido en el camino, por lo que os invito a que dejéis vuestras dudas en los comentarios y a compartirlo con aquellos a los que les pueda venir bien.

También puedes contactarnos y estaremos encantados de ayudarte

¡Suerte!

Deja un comentario