¿Cumple tu Startup o PYME con el Reglamento de Protección de Datos? 1/2

Guy Kawasaki “Las ideas son fáciles, implementarlas es lo difícil”

El fin del artículo no es otro, que ir viendo, sobre todo de forma práctica, las exigencias de adecuación de las empresas al RGPD, y para ello, en primer lugar nos haremos una pregunta: ¿Fueron necesarios todos los correos electrónicos que recibimos el pasado mes de mayo, solicitando el consentimiento para el tratamiento de nuestros datos? Pues la respuesta correcta sería depende, y como dice la canción de Jarabe de Palo, ¿de qué depende? de según como se mire todo depende……

Que decir tiene que desde el pasado 25 de mayo, como tod@s sabemos por el aluvión de correos electrónicos recibidos, encaminados todos ellos a conseguir el necesario consentimiento para el tratamiento de nuestros datos personales. Ya que tras dos años desde su publicación, el día 27 de abril de 2016, el Reglamento relativo a la protección de datos personales (RGPD),  es de cumplimiento obligatorio.

El fin del artículo no es otro, que ir viendo, sobre todo de forma práctica, las exigencias de adecuación de las empresas al RGPD, y para ello, en primer lugar nos haremos una pregunta: ¿Fueron necesarios todos los correos electrónicos que recibimos el pasado mes de mayo, solicitando el consentimiento para el tratamiento de nuestros datos? Pues la respuesta correcta sería depende, y como dice la canción de Jarabe de Palo, ¿de qué depende? de según como se mire todo depende.

Y por consiguiente nuestra reflexión irá encaminada en dos sentidos, el primero, si la empresa tenía acreditado, es decir, documentado y demostrable, el lícito consentimiento  para el actual ejercicio del tratamiento de datos personales que estaba haciendo hasta ese momento, en este caso, no hubiera sido necesario el envío del correo electrónico solicitando el consentimiento, ya que la empresa corrió el riesgo, si una vez enviado el correo electrónico, el interesado no da su consentimiento o simplemente no responde al mensaje, el responsable del tratamiento, a partir de ese momento, no podrá seguir utilizando la información y en consecuencia los datos personales deberían ser eliminados del correspondientes fichero.

Y en segundo lugar, sí que hubiera sido necesario el correo electrónico solicitando autorización para el tratamiento de datos, cuando la empresa no pudiera acreditar, de forma fehaciente el lícito consentimiento del interesado, o cuando esta aprobación se obtuvo de forma tácita, o por último, cuando la legitimación se obtuvo de forma genérica para realizar varios y/o diferentes tratamientos de datos. En todos estos casos, sí que fue pertinente el correo electrónico, ya que con la aplicación directa del RGPD, desaparece el consentimiento tácito y se exige, al responsable del fichero, que el mismo sea otorgado de forma inequívoca y expresa, para cada uno de los tratamientos a los que se van a someter sus datos personales.

“El lícito consentimiento requiere una acción del usuario, y nunca será válido el obtenido a través de una inacción del usuario”

Pero es verdad que analizando muchos de los correos electrónicos recibidos, los mismos no contenían la información necesaria para otorgar su correcto consentimiento, ya que los requisitos mínimos para que el tratamiento sea válido son los siguientes:

  • Facilitar la filiación de la identidad y los datos de contacto del Delegado de Protección de Datos, o en su defecto la del responsable del tratamiento.
  • Identificar cuáles son los fines del tratamiento, así como adecuar la minimización de los datos personales solicitados para la consecución del  fin del tratamiento.
  • Justificar la base jurídica en la que se legitima el tratamiento.
  • Detallar cuales son los intereses legítimos del responsable en el que basa la solicitud.
  • Indicar de forma clara si los datos van a ser transferidos a un tercero, así como si se van a utilizar para realizar estudios de perfiles personales.
  • Definir el tiempo de conservación de los datos.
  • Argumentar la obligación legal que tiene el interesado en facilitar sus datos personales, y las consecuencias en caso de negarse a facilitarlos, siempre que estos sean requisitos necesarios para la formalización de un contrato.
  • Y por último, facilitar al interesado el ejercicio de la libre elección que tiene sobre sus derechos, como por ejemplo el de oposición, rectificación o supresión, … En caso de incumplimiento por parte del responsable de datos, siempre existe la posibilidad de comunicar los hechos a la Autoridad de control pertinente, en caso la Agencia Española de Protección de Datos.

Una vez que ya tenemos el consentimiento lícito de la información de nuestro fichero de datos, tenemos la obligación y el deber de informar sobre la existencia del mismo, pero no a la Autoridad de control con el registro del fichero correspondiente, ya que con la entrada del RGPD no es necesario la inscripción de ficheros, pero si es obligatorio, en caso de que tengamos página web corporativa, dar esa información en las respectivas condiciones legales y políticas de privacidad; y en cualquier caso en el documento donde se solicitan el consentimiento  al tratamiento de nuestros datos personales.

“Principio de accountability, está basado en la responsabilidad proactiva, la asunción de responsabilidades y el rendición de cuentas”

Y en este sentido la Agencia Española de Protección de Datos (AEPD), ha elaborado una Guía para el cumplimiento del deber de informar, en la cual nos indica que la forma más idónea para facilitar la información al interesado, es a través de lo que se conoce como capas o niveles, incluyendo en un primer nivel la mínima información sobre la identificación del responsable, finalidad del tratamiento, legitimación, derechos que se pueden ejercer, …; y después en un segundo nivel , en el que se podría acceder a través de un hipervínculo web se pueda consultar a la información de forma más detallada.

¿Qué tienes que hacer para garantizar el correcto ejercicio del derecho de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad? Pues la respuesta es la que estáis pensando, y no es otra, que facilitar, a través de un medio ágil el libre ejercicio de los derechos, bien a través del correo electrónico, tras acreditar la inequívoca identificación del interesado,  o bien a través del envío de la pertinente documentación  en formato papel, y responder a los requerimientos de los interesados en el mínimo plazo de tiempo posible, y siempre antes de los 30 días siguientes al conocimiento de la solicitud del ejercicio de algún derecho.

Anteriormente ya hemos hablado de responsable del tratamiento, que según el Reglamento es la persona, física o jurídica, que determina los fines del tratamiento, y la cual está obligada a aplicar las medidas técnicas y organizativas, para la consecución del fin del tratamiento, y minimizar los riesgos de los datos personales, garantizando el libre ejercicio de los derechos y libertades de las personas físicas. En este sentido la AEPD ha elaborado una guía práctica para el  análisis de riesgo de los tratamientos de datos personales, en la cual se pueden estudiar las medidas necesarias para la adecuación al tratamiento, con base al nivel del riesgo de la información.

Una de las principales funciones del responsable del fichero del fichero, es realizar una correcta evaluación del análisis de riesgos, que no es otra cosa que, la identificación de las potenciales amenazas. Del resultado del análisis corresponde aplicar las medidas de seguridad necesarias para su cumplimiento, y comprobar si sería necesaria la necesidad de tener que realizar lo que se conoce como evaluación de impacto. En este sentido la AEPD también ha creado una guía para ayudar a su implantación.

“RESILIENCIA en Protección de Datos, recuperación del Sistema, en el mínimo plazo de tiempo y con la mínima perdida de información”

Un tema de máximo interés para las Startups es la aplicación de las políticas de protección de datos desde el diseño y por defecto, exigidas por el RGPD. Todas estas medidas van orientadas a la minimización de los riesgos, respecto a perdida y/o robo de información. Unos ejemplos de estás políticas de seguridad serían, por ejemplo, la seudonimización de los datos, la encriptación de la información, la programación de forma regular de copias de seguridad de la información, cálculo del algoritmo HASH, lo que nos permitirá garantizar la integridad y autenticidad de los datos, …; todas estas medidas van encaminadas a dotar al Sistema de información de una rápida capacidad de resiliencia, es decir, recuperar el Sistema de información en el mínimo plazo de tiempo posible y con la mínima pérdida de información.

*Lo puedes leer completo en la web de Loogic

Siguenos en Twitter: @fernandez_jcar @tecnogados #PruebaTecnologica


Profesional con perfil jurídico e investigador tecnológico. #PruebaTecnologica #CadenaDeCustodia @fernandez_jcar @tecnogados

Related Posts

Deja un comentario