El 25 de mayo de 2018 entra en vigor la directiva europea que unifica criterios en todo el territorio, el Reglamento General de Protección de Datos. Y para hablar del tema contamos con un especialista, Alberto González, CEO de la consultora Datagés Consulting.
El nuevo reglamento trata de proteger los derechos y libertades de las personas en cuanto al tratamiento de sus datos. Cada vez las personas cedemos más nuestros datos, voluntaria o involuntariamente a empresas, redes sociales, apps… cada vez hay más flujo de datos y la legislación trata de limitar a las empresas el uso que puedan hacer con los datos.

– ¿La nueva ley en qué mejora a la antigua? ¿Por qué no nos servía la antigua?

La nueva ley viene a unificar las distintas leyes que existían en cada país, ya que hasta ahora, una empresa que operara en diferentes países de la Unión Europea tenía que ir cumpliendo los criterios legales de cada país. Se establece una ventanilla única y al final evita mucha burocracia.

– ¿Qué nuevos derechos para los ciudadanos conlleva la nueva ley?

Siguen los ya existentes de acceso, rectificación, cancelación y oposición, y con la nueva ley se suman nuevos como el de supresión, el derecho al olvido, el derecho a la limitación del tratamiento, el derecho a la portabilidad de los datos y el derecho a no ser objeto de tratamiento por decisiones automatizadas sin habernos consultados previamente si estamos conformes. Por lo que hay un gran avance en las garantías que se ofrecen a los ciudadanos en el tratamiento de sus datos.

– ¿Qué es eso de la responsabilidad proactiva?

Es uno de los principios más interesantes que incluye el nuevo reglamento. Se trata de que seamos muy diligentes a la hora de cumplir con los procedimientos y las medidas técnicas y organizativas que establezcamos en la empresa. No vale sólo con elaborar un documento de seguridad, como se hacía hasta ahora, y que se quedaba en una estantería. Ahora hay que establecer medidas, hay que verificar que se cumplen, hay que mantenerlas actualizadas, y cualquier cambio que se produzca tenemos que tenerlo perfectamente protocolizado.

Responsabilidad proactiva siginifica en definitiva que tenemos que ser diligentes. Tenemos que ser muy activos en nuestra empresa a la hora de tener cumplimiento de esta legislación.

– Me quieres decir que esto no es como antes que lo hacía y me olvidaba de elllo… ¿Tiene que haber un mantenimiento?

Tampoco antes era un lo hago y me olvido, lo que pasa es que eso era una creencia generalizada, igualmente antes en la LOPD te indicaba que el documento de seguridad se tenía que mantener actualizado. Pero no era una práctica muy habitual.

En el nuevo reglamento te lo incluyen como uno de los principios más importantes. Tienes que ser proactivo en todos los protocolos y medidas que implantes en tu empresa y no sólo que diseñes un plan y te olvides de él. Ahora no existe un paquete de medidas para implantar como existía en la antigua legislación, simplemente tienes que diseñarte un plan y tienes que ver que sea eficaz y que con el tiempo sea recurrente en cuanto a la verificación de medidas.

– ¿Y todo esto tiene que estar por escrito y tienes que poder demostrar que lo estabas haciendo?

Esa es una de las novedades. El deber de rendición de cuentas. Las empresa deben poder justificar o demostrar que han obtenido el consentimiento de los usuarios para el tratamiento de sus datos. Puede ser por escrito, puede ser a través de la página web… es decir, lo que indica el reglamento es que debe haber una acción afirmativa y clara por parte del usuario para que podamos tratar la información. Y nosotros debemos dejarle muy claro para qué finalidades estamos recogiendo la información. No te especifica que tenga que ser por escrito, sino que puedas demostrar que has obtenido el consentimiento.

– Avanza la tecnología, aparecen nuevos tipos de datos personales, datos biométricos, genéticos, ¿Qué suponen estos avances? ¿Estos nuevos datos cómo los tratamos?

Son nuevas categorías especiales de datos que se incluyen en el reglamento, como son los genéticos y los biométricos y hay que hacer una análisis de riesgos en cada empresa y valorar qué influencia pueden tener en los derechos y libertades de las personas. En función de eso, quizá debamos hacer una evaluación de impacto sobre el tratamiento que se va a realizar, que también viene recogido en el nuevo Reglamento General, y hay que valorar qué medidas se adoptan y qué tratamiento se está realizando. Así que las nuevas categorías de datos hay que tenerlas muy en cuenta desde luego.

– ¿Tenéis que estar muy al tanto entonces de las nuevas tecnologías y las nuevas clases de datos que puedan surgir?

Sí, con lo nuevos datos, como los biométricos por ejemplo, una empresa antes de poder realizar un tratamiento de este tipo tiene que valorar muy bien qué riesgos tienen para los usuarios a los que va a afectar este tratamiento y obviamente solicitarles un consentimiento. Si no hay consentimiento no debe haber tratamiento. Y sí, hay que tener muy en cuenta las nuevas tecnologías.

– Háblanos de las sanciones.

Las sanciones se endurecen muchísimo respecto a la antigua LOPD. En la actualidad las sanciones muy graves eran entre 300.000€ y 600.000€. Esto cambia radicalmente en el nuevo Reglamento, que pasan a ser de hasta 20.000.000€ o el 4% de la facturación de la empresa, pero siempre la cantidad más alta de las dos. Esto es un cambio radical. Pero no hay que ver esto como que tengamos que hacerlo porque si no nos van a poder sancionar, sino que es una oportunidad en las empresas de poder establecer una buenas prácticas de calidad en el tratamiento de los datos.

– Son un poco desproporcionadas. ¿Piensas que puedan estar pensadas para las grandes empresas tecnológicas como Facebook, Googles, Amazon o Apple?

Desproporcionadas si te impusieran la máxima sanción, lógicamente. El hecho de que haya un margen tan amplio para que la administración o la autoridad de control pueda sancionar, hace que las empresas que más datos puedan tratar son más susceptibles de poder tener sanciones más amplias. La Agencia de Protección de Datos tendrá en cuenta el volumen de datos tratados, quiénes son los afectados… y lógicamente no será lo mismo una empresa pequeña que una empresa grande que trate más datos como puede pasar con las grandes tecnológicas. Por esto veo poco probable que una pyme reciba una sanción de 20.000.000€.

– Escuché que a las grandes tecnológicas les salía a cuenta pagar una sanción de 600.000€ por los ingresos que estos datos le generan.

Sí, con esto se busca que no les salga a cuenta la sanción, que los ingresos que generan con esos datos no sea superior al importe de la sanción. Por eso se han endurecido tanto las sanciones.

– Uno de los puntos más importantes es el consentimiento. ¿Qué novedades hay en este sentido?

La principal es que a partir de la entrada en vigor del nuevo Reglamento el 25 de mayo, el consentimiento debe ser expreso, ya no vale el consentimiento tácito. Ya no nos valen las cláusulas informativas, que hasta ahora eran válidas, donde simplemente con indicarle al usuario, salvo que fueran categorías especiales de datos, que íbamos a tratar sus datos, era suficiente.

Ahora no, ahora el consentimiento debe ser una acción afirmativa y clara y donde la empresa pueda demostrar que ha obtenido ese consentimiento. Por lo tanto es un cambio muy radical, porque no es lo mismo que nos indiquen que si yo no digo nada, pueden utilizar mis datos para la finalidad para la que están siendo recogidos, a que ahora me soliciten mi consentimiento, quizá eso a mi me haga pensar si voy a darlo o no. De la otra forma, por comodidad muchas veces ni nos leemos la cláusulas.

– Además ahora hay que cuidar el lenguaje, que sea claro y sencillo para que lo entienda la gente normal de la calle.

Correcto. Se hace referencia expresa a que sea un lenguaje claro y conciso, que se pueda entender y que no sean cláusulas farragosas, para evitar cláusulas que se diseñan para que no se puedan entender. Dejar bien claro para qué recogemos los datos, cuáles son las finalidades y conocer cuáles son mis derechos.

– Nos fijamos mucho en nuestros clientes, pero ¿Qué pasa con nuestros proveedores?

Si son proveedores de servicios con acceso a datos, debo firmar con ellos un contrato de prestación de servicios con acceso a datos. Es otra de las medidas que ya estaba implantada en la actual LOPD. Que tiene unas modificaciones en cuanto a los requisitos que se necesitan, o que impone el nuevo reglamento, pero que es un contrato que debo firmar con el prestador de servicios y que tiene que acceder a los datos para que pueda prestarme ese servicio. Esto es algo indispensable y que todas las empresas tienen que tener muy en cuenta.

– Imagínate que tenemos una brecha de seguridad y una violación en nuestros datos. Nos los roban, perdemos el móvil… ¿Qué tenemos que hacer?

El nuevo reglamento nos indica que en el plazo de 72 horas debemos comunicárselo a la autoridad, siempre y cuando haya afectado a los datos personales y por tanto a los derechos y libertades de las personas, si no es el caso de haber afectado a datos personales, no sería necesario. Hay que comunicárselo en dicho plazo a la autoridad de control esa violación de seguridad.

– Es decir, que si pierdo mi móvil y hay datos personales de clientes ¿Se lo tengo que comunicar a la Agencia de Protección de Datos?

Eso podría ser un caso de comunicación, si hubiera datos personales. Y como medida te recomendaría que utilizaras dos moviles, uno personal y otro de empresa. Pero sí, se puede considerar una violación de seguridad siempre que afecte a datos personales de clientes o de otro tipo de usuarios.

– Imagínate que soy un corredor de seguros, no tengo ni idea sobre este tema, no sé por dónde empezar ¿Qué hago? ¿Por dónde empiezo?

Puedes empezar por una empresa externa que te ayude y quizás puedas recibir una ayuda rápida. Si no es así existen herramientas en la propia página de la AEPD como son guías, o un programa que es el Facilita, que te pueden ayudar en unos pasos muy básicos sobre cómo cumplir con el nuevo Reglamento de Protección de Datos y dicho esto, empieza por tener en cuenta todo el ciclo de vida de los datos. Desde que tú recabas la información, hasta que tienes la obligación de suprimirla. Un análisis de riesgos es indispensable y a partir de ahí establecer las medidas técnicas y organizativas que se determinen en base a ese análisis de riesgo.

– Imagina que soy un agente de seguros, los datos no son míos porque son de la compañía ¿No tengo que hacer nada, no?

Bueno, si eres una agente de seguros, por lo tanto eres una empresa diferenciada a las propias compañías de seguros, tienes que hacer un análisis de riesgos, y en base a esos riesgos, establecer unos determinados procedimientos y medidas, empezando, por ejemplo, por el gestor que te lleva las nóminas en tu agencia de seguros, pues no se las lleva ni a Mapfre, ni a Axa, ni a Pelayo… te las lleva a ti. O que a los empleados les paga la agencia, no les paga ninguna compañía de las antes mencionadas. Por lo tanto tú tienes que hacer un análisis de riesgos y tienes que establecer las medidas propias para tu empresa, siendo independiente si eres un agente de seguros de una compañía, o un corredor de seguros de muchas compañías.

– Como usuario de Google, de Facebook, de Instagram, de Amazon, de las redes sociales… ¿Qué beneficios tiene el nuevo RGPD para mi?

Tienes que valorar qué beneficios te reporta a ti el tener esas herramientas digitales. Y a partir de ahí, entiende que las que son gratuitas, entre comillas, el precio es tu información. Entonces hay que ser consciente cuando le das tus datos a Google, te abres una cuenta, te compras un smartwatch, o tienes un wearable, que son las prendas que monitorizan tus pulsaciones, o bien tu rendimiento deportivo, que te marcan los pasos, cualquiera de estos múltiples artilugios que van saliendo, tienes que tener en cuenta que toda información o que todo lo que se ponga a tu disposición que es gratuito, el último fin es obtener información. Y tus datos van a ser utilizados para lo que estas compañías determinen. El usuario, la ventaja que tiene con este nuevo Reglamento es que te tienen que informar muy bien qué van a hacer con esos datos y si se los van a ceder a alguien, y tú debes consentirlo. Y si no lo consientes, pues probablemente no podrás disfrutar de alguna de esas aplicaciones pero tú tendrás el control sobre tus datos. Y si para ti no es tan importante, porque prefieres disfrutar de esas aplicaciones , por lo menos que tengas un conocimiento claro de qué se está haciendo con tus datos. Evita un poco el oscurantismo, las cláusulas complicadas, pero sobre todo a nivel usuario decir, oiga, me voy a descargar esta aplicación ¿Descargármela, qué implica? ¿Van a utilizar mis datos, mis fotos, mi vídeos? Si yo consiento eso, pues adelante. Así seré consciente de los riesgos que corro. En la actualidad no existe todavía la conciencia, preferimos la operatividad de la aplicación tan maravillosa que se nos propone pero no valoramos qué se va a hacer con nuestra información. También, nosotros como ciudadanos tenemos una responsabilidad con nuestra información, y tenemos que ser conscientes de que cada nueva aplicación, diseño, software que es gratuito implica que hay un precio a cambio. Nadie hace las cosas gratis. Todo lo que es gratis indica que el precio somos nosotros, nuestra información, nuestros datos. Ese es nuestro valor, que hoy en día es muy cotizado. Por lo que tenemos que tener responsabilidad, y si nos conviene, pues adelante, a disfrutar de todas estas aplicaciones, pero con conocimiento.

– A todos nos ha ocurrido que nos llaman, que nos ofrecen créditoso ciertos productos y no sabemos de dónde han sacado los datos. Cuéntanos algún ejemplo práctico para evitar que te vuelvan a llamar con un simple email, o preguntádoles lo del derecho de acceso. Cuéntanos algún ejemplo práctico de esto.

A todo el mundo se le da la circunstancia de que te llamen a las 15h y nos preguntamos cómo esa gente tiene nuestros datos, de dónde los han sacado. Con que nos leamos cualquier contrato que tengamos con un proveedor de gas, de luz, de agua, de teléfono, en la cláusula donde viene la protección de datos, en la parte de atrás normalmente, te dice, vamos a utilizar sus datos con la finalidad de prestarle el servicio contratado, y además le informamos que sus datos podrán ser cedidos a empresas relacionadas con el sector de la industria eléctrica, y además de la automoción, y etc etc… Y si uno se pone a valorar cuántas empresas tienen relación con la indicadas en las cláusulas, se da cuenta que son infinidad de empresas las relacionadas con estos sectores, desde compañías de seguros, automoción, asientos, neumáticos, antenas… de todo que se nos pueda ocurrir. Si ellos me han informado, me han pedido permiso, y yo no me he opuesto, yo obviamente he cedido los datos con consentimiento. A mi me han informado, que es lo que se les exigían a las empresas. ¿Qué sucede? Que también puedo cambiar de opinión y entonces, con un simple ejercicio de derechos, puedo ejercer mi derecho de acceso para saber qué datos míos tienen, y saber si se los ceden a terceros, y puedo ejercer mi derecho de oposición para que no se traten los datos con alguna finalidad en concreto si soy cliente de una empresa, y si no lo soy, directamente derecho de cancelación.

– Pero cuando estás en medio de esa llamada es un poco complicado ejercer el derecho de acceso.

Por teléfono es complicado, porque las personas que te llaman para hacerte una oferta están adiestradas en el sentido de simplemente formalizar esa oferta, o realizar la venta. Siempre les puedes decir que te manden la oferta por email, y así ya tienes una dirección a la que dirigirte para ejercer tus derechos.

Existen herramientas legales hoy día para limitar el tratamiento o directamente impedirlo en las empresas. Con el nuevo Reglamento exactamente igual.

– Vamos acabando ¿Quieres añadir alguna cosa?

Me gustaría que hubiese en la ciudadanía mucha concienciación al respecto de tomar en cuenta esta normativa. No es solamente otro sacadineros, que es lo que normalmente se cuenta, sino que haya concienciación desde el punto de vista ciudadano. Como empresas, es verdad que vamos a tener que adoptar una serie de medidas pero debemos ser responsables como ciudadanos. Y como ciudadanos el RGPD nos ofrece muchísimas ventajas para limitar o directamente cancelar el tratamiento de los datos con empresas con las que no estemos conformes, que tengan nuestra información. Y las empresas deben ser muy responsables a la hora del tratamiento, ser muy transparentes y dar un servicio adecuado a nuestros clientes, indicándoles para qué recogemos sus datos, recoger los datos indispensables y no una cantidad desmesurada. Y a partir de ahí todo irá bien. Para mi es una normativa que nos viene muy bien a los usuarios, que al final somos todos.

–  ¿Podemos decir que es positiva?

Sí sí, desde luego. Yo creo que es muy positiva. Simplemente tenemos que tener más conocimiento sobre las herramientas que la legislación pone a nuestra disposición y a nuestro servicio. Muchas veces la gente se queja porque le llaman o escriben pero no utilizan las herramientas para solucionarlo. Y yo te puedo garantizar, que he utilizado el ejercicio de derechos en numerosas ocasiones y me ha funcionado siempre y no tiene por qué haber ningún problema y seguro que con el nuevo Reglamento es mejor.

– Muchas gracias Alberto por esta conversación donde nos has dado mucha información de calidad y muy útil. Si tienen dudas ¿Dónde te pueden encontrar?

Nuestra página web es www.datagesconsulting.com . El email es info@datagesconsulting.com. También en redes sociales, Twitter @datagescon, o Facebook.

 Puedes seguirnos también en nuestro canal de YouTube aquí

Déjanos un comentario, una duda no resuelta, cualquier cosa que se te ocurra y te responderemos.