Álvaro Gómez Vieites, consultor de Seguridad Informática en INPROSEC
En la Unión Europea, el marco normativo de la protección de datos personales ha estado determinado por la directiva 95/46/CE del Parlamento Europeo, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de los mismos entre empresas de la Unión Europea.
A su vez, en España el artículo 18.4 de la Constitución ya contempla que el Estado debe limitar el uso de la informática para garantizar el honor, la intimidad personal y familiar de los ciudadanos y el legítimo ejercicio de sus derechos. La publicación de la Ley Orgánica 15/1999, de 13 de diciembre, sobre Protección de Datos de Carácter Personal (LOPD), obligó a la implantación de importantes medidas de seguridad informática a las empresas que realizan tratamientos de datos personales. La posterior aprobación del Reglamento de desarrollo de la LOPD (Real Decreto 1720/2007, de 21 de diciembre) ayudó a puntualizar ciertos aspectos de la Ley y a definir de forma detallada cuáles son las medidas de seguridad de índole técnica y organizativa que garanticen la integridad y seguridad de ficheros automatizados y en soporte papel, centros de tratamiento, locales, equipos, sistemas, programas, así como de las personas que intervengan en el tratamiento de los datos.
Tratamiento masivo de datos personales
Sin embargo, en estos últimos años la irrupción de tecnologías de Big Data, que hacen posible el tratamiento masivo de datos personales, así como la expansión del comercio electrónico y las técnicas de marketing digital, acompañadas del uso generalizado de los smartphones y las redes sociales por parte de una amplia mayoría de la población, está planteando nuevos retos y amenazas a la privacidad y la protección de los datos personales. Por este motivo, y tras varios años de trabajo, el 27 de abril de 2016 se aprobaba el nuevo Reglamento General de Protección de Datos (Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016), también conocido por sus siglas en inglés GDPR. Este Reglamento será aplicable a partir del 25 de mayo de 2018 y derogará la Directiva 95/46/CE de Protección de Datos.
Principales aspectos del nuevo Reglamento
de Protección de Datos
El GDPR se aplica al tratamiento (automatizado o no) de datos personales de personas físicas, independientemente de su nacionalidad o de su lugar de residencia. Por lo tanto, al igual que la actual legislación vigente, no se aplica a datos de personas jurídicas ni al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica. En este contexto, el GDPR define los datos personales como “toda información sobre una persona física identificada o identificable” y define tratamiento como “cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, entre ellos, recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción”.
El nuevo Reglamento General de Protección de Datos consagra el Derecho Fundamental a la Protección de Datos en la UE y plantea los siguientes principios fundamentales de los tratamientos de datos personales:
- Los datos deben ser tratados de manera lícita, leal y transparente, para lo cual se debe contar con el consentimiento expreso del interesado, salvo que el tratamiento sea necesario para la ejecución de un contrato en el que el interesado es parte. O cuando el tratamiento sea necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.
- Los datos deben ser recogidos con fines determinados, explícitos y legítimos.
- Los datos personales sometidos a tratamiento deben ser adecuados, pertinentes y limitados en relación con la finalidad del tratamiento.
- Los datos personales deben ser exactos y, si fuera necesario, actualizados. Para ello, se deberán adoptar medidas razonables para suprimir o rectificar los datos personales que sean inexactos con respecto a los fines para los que se tratan.
- Los datos personales sólo se podrán conservar durante el tiempo necesario para los fines del tratamiento.
- Los datos personales deben ser tratados garantizando su seguridad.
Consentimiento del interesado
En este sentido, el GDPR refuerza el requisito del consentimiento del interesado, que ha de ser siempre libre, específico (para una finalidad concreta), informado e inequívoco, recayendo la carga de la prueba sobre el consentimiento en el responsable del tratamiento. Deja de ser válido el consentimiento tácito, por lo que las empresas deberán revisar los procedimientos que seguían hasta la fecha para solicitar el consentimiento de los interesados.
En cuanto al tratamiento de los datos de menores de edad, se plantea la edad mínima de 16 años para que sea lícito. Por debajo de esa edad será necesario obtener el consentimiento expreso del titular de la patria potestad o tutela sobre el menor de edad. En la actualidad, en España esta edad mínima es de 14 años, tal y como fue establecida por el Reglamento de Desarrollo de la LOPD en 2007.
La protección de datos y los derechos de los ciudadanos
Por otro lado, el nuevo reglamento considera categorías especiales de datos aquellos relacionados con el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física. Estos datos ya eran calificados en España como de Nivel de Seguridad Alto por la LOPD y su Reglamento de Desarrollo.
En cuanto a los derechos de los ciudadanos, el GDPR establece el derecho a la información sobre el tratamiento de sus datos personales, el derecho de acceso, el derecho rectificación y supresión (“derecho al olvido”), derecho a la limitación y a la oposición al tratamiento, así como el derecho a la portabilidad de los datos personales. De todos estos derechos, el más novedoso es precisamente este último, en virtud del cual “el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado”.
El GDPR obliga a los responsables de tratamiento a aplicar medidas técnicas y organizativas apropiadas, a fin de garantizar y poder demostrar que el tratamiento cumple con el Reglamento, por lo que se establece de este modo el principio de “compliance” (demostrar el cumplimiento de la normativa). Asimismo, se requiere la protección de datos desde el diseño y por defecto.
Protección de datos en los contact center
La relación con encargados de tratamiento, como los contact center, deberá estar regulada mediante un contrato (como ya establecía la LOPD en España), y el encargado debe ofrecer garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento cumpla con los requisitos del Reglamento y garantice la protección de los derechos del interesado. Como novedad destacada en este aspecto, el GDPR establece que tanto el responsable como el encargado de tratamiento deben llevar un registro de todas las actividades de tratamiento efectuadas que contenga:
- El nombre y los datos de contacto del encargado y de cada responsable por cuenta del cual actúe el encargado.
- Las categorías de tratamientos efectuados por cuenta de cada responsable.
- En su caso, las transferencias de datos personales a un tercer país u organización internacional.
- Una descripción general de las medidas técnicas y organizativas de seguridad.
La obligación de registro de los tratamientos no se aplicará a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos personales.
Medidas de seguridad
En cuanto a las medidas de seguridad, el GDPR requiere que tanto el responsable como el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que incluyan:
- La seudonimización y el cifrado de los datos personales.
- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
- Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Injerencias en los datos personales
El GDPR obliga a la notificación de una violación de la seguridad de los datos personales a la autoridad de control de cada Estado miembro, en un plazo máximo de 72 horas, indicando la naturaleza de la violación de la seguridad de los datos personales, las categorías y el número aproximado de interesados afectados, así como las posibles consecuencias de la violación de la seguridad y las medidas adoptadas para mitigar los efectos negativos. Además, cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida, utilizando un lenguaje claro y sencillo.
De igual manera, el GDPR obligará a los responsables de ciertos tipos de tratamiento a llevar a cabo una Evaluación de Impacto relativa a la protección de datos (PIA, Privacy Impact Assessment): cuando se traten categorías especiales de datos, o en aquellos casos en los que se lleve a cabo una evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles.
Cabe destacar, también, la figura clave del Delegado de Protección de Datos, establecida por el GDPR para cierto tipo de organizaciones: autoridades u organismos públicos, organizaciones que lleven a cabo tratamientos sistemáticos de datos personales a gran escala o tratamientos categorías especiales de datos personales. Este nuevo puesto dentro de una organización se encargará de informar y asesorar al responsable o al encargado del tratamiento y a los empleados que se ocupen del tratamiento de las obligaciones que les incumben, y supervisará el cumplimiento de lo dispuesto en el Reglamento, ofreciendo su asesoramiento acerca de la evaluación de impacto relativa a la protección de datos y supervisar su aplicación, entre otras funciones.
Transferencia internaciones de datos personales
En cuanto a las transferencias internaciones de datos personales, el GDPR establece que éstas podrán realizarse a un tercer país u organización internacional cuando la Comisión haya decidido que el tercer país, un territorio o uno o varios sectores específicos de ese tercer país, o la organización internacional de que se trate garantizan un nivel de protección adecuado. Si no estamos en el caso de una transferencia basada en una decisión de adecuación de la Comisión, el responsable o el encargado del tratamiento solo podrá transmitir datos personales a un tercer país u organización internacional si hubiera ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas.
En ausencia de una decisión de adecuación de conformidad o de garantías adecuadas de conformidad, una transferencia de datos personales a un tercer país u organización internacional únicamente se realizará si el interesado ha dado, explícitamente, su consentimiento a la transferencia propuesta, tras haber sido informado de los posibles riesgos para él de dichas transferencias, debido a la ausencia de una decisión de adecuación y de garantías adecuadas. O bien cuando esta transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento.
Por último, en cuanto al régimen sancionador por incumplimiento del GDPR, se tendrá en cuenta la naturaleza, gravedad y duración de la infracción, atendiendo al número de interesados afectados y al nivel de los daños y perjuicios que hayan sufrido, así como el grado de intencionalidad o negligencia. Las multas administrativas serán de 20.000.000 de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior.
