Tras las charlas impartidas por Álvaro Gómez Velasco y Néstor Angulo de Ugarte, el pasado miércoles 18 de abril tuvimos nuestro tercer webinar dentro del programa de GoDaddy Pro en el que abordamos el ya famoso GDPR, el reglamento de protección de datos que será de obligatorio cumplimiento para todas las empresas de la Unión Europea a partir del próximo 25 de mayo.
Para analizarlo con detalle, contamos con la presencia de Víctor Salgado, abogado del bufete Pintos & Salgado, especializado en Derecho Informático, Protección de Datos e Internet.
Qué pudimos ver en el webinar “Primeros pasos y mejoras al instalar WordPress”
Acompañando a Mauricio Gelves, desarrollador freelance de WordPress y GoDaddy Pro Brand Evangelist, Víctor nos aclaró las dudas relativas al nuevo Reglamento Europeo de Protección de Datos y las novedades más importantes que traerá su aplicación.
Lo primero que pudimos ver fue la explicación del propio GDPR (RGPD en español), que se tendrá que implementar en toda web que requiera un nivel mínimo de interacción con los usuarios que accedan a la misma. Es una norma genérica que se aplica a cualquier tipo de tratamiento de datos personales, ya sean comentarios publicados en un artículo, foros, archivos en la nube, etc. que de forma directa o indirecta puedan identificar a una persona.
Nuevo GDPR, riesgo inminente
Las sanciones previstas por el incumplimiento de este nuevo reglamento pueden suponer un gran riesgo para cualquier pyme. En España el control e interposición de multas seguirá estando al cargo de la Agencia Española de Protección de Datos (AEPD), con cantidades que pueden llegar a los 20 millones de euros o al 4% de la facturación de la empresa multada.
El objetivo que se busca es crear una cultura de privacidad, es decir, que ante cualquier acción que se tome en el seno de las empresas, se tenga presente la posibilidad de que existan datos personales que proteger desde el punto de vista técnico y comercial.
En este sentido, es habitual hablar de una serie de esferas de protección de datos, relacionadas con la intimidad, englobando la información más sensible de cada individuo; la propia imagen, impidiendo que nadie pueda sacarnos fotografías y sacar partido de las mismas sin autorización previa; y la privacidad, que se diferencia de la intimidad a la hora de abarcar más datos o información que se puedan vincular a una persona (datos de contacto, académicos, profesionales…)
Como dato reseñable, el derecho a la propia imagen es uno de los más vulnerados, en gran medida por la popularidad de las redes sociales, en las que nos sacan fotografías y las publican sin consentimiento con mucha frecuencia. En estos casos según Víctor Salgado, podríamos denunciar dichas publicaciones, abriendo un escenario amplio por la cantidad de denuncias que se podrían poner.
Una privacidad, dos sistemas
Un tema importante a la hora de hablar de privacidad es la existencia de dos grandes legislaciones o sistemas: las leyes vigentes en Estados Unidos y en la Unión Europea.
El sistema estadounidense establece que el derecho a la privacidad no es un derecho constitucional, si bien existe y se ha ido definiendo progresivamente en base a la jurisprudencia. Además, hay que tener en cuenta que no existe una ley específica de protección de datos, lo que ha derivado en que sean las empresas las que deban publicar las políticas de privacidad, ya que son ellas las dueñas de las mismas y se encargan de gestionarlas, informando a los consumidores.
En cambio, en Europa la situación es diferente, ya que se reconoce como derecho constitucional, recogido también en las leyes de cada país miembro de la Unión. Se establecen requisitos y sanciones en caso de incumplimiento y es la persona la dueña de sus datos personales.
Diez grandes novedades del reglamento
Sin duda, este fue el plato estrella del webinar. Con tantos cambios a la vista, es vital tener claros los puntos en los que el nuevo reglamento va a incidir. Por ello, Víctor Salgado nos resumió, en el siguiente decálogo, las novedades a tener en cuenta:
- La “responsabilidad proactiva”
- Privacidad en el diseño y por defecto
- Transparencia y consentimiento reforzados
- Nuevos datos sensibles: genéticos y biométricos
- Nuevos derechos: portabilidad y límites del tratamiento
- “Flexibilización” de las medidas de seguridad
- Ya no hay alta de ficheros -> Registro de tratamientos
- El Delegado de Protección de Datos (DPO)
- Notificación de violaciones de seguridad
- Las Evaluaciones de Impacto en Privacidad
La responsabilidad proactiva
Hasta ahora, sabíamos cómo teníamos que tratar los datos, con medidas precisas y niveles de seguridad. Con la nueva regulación, las empresas van a tener algo más de flexibilidad, pero se deberá justificar que las medidas de seguridad aplicadas a los datos tratados son razonables, proporcionadas y que se implementan correctamente. Según Víctor, se va a generar más burocracia a la hora de acreditar y documentar que se están tomando las medidas adecuadas.
Privacidad en el diseño y por defecto
En este punto se recoge el tratamiento de datos y el cumplimiento de las normas a la hora de crear una nueva web o un nuevo producto. Lo ideal sería tratar el menor número de datos posible.
Transparencia y consentimiento reforzados
Informar al consumidor y tener su consentimiento siempre han sido dos aspectos básicos a la hora de tratar los datos personales de cada individuo. Con el GDPR será necesario dar más información y el consentimiento tendrá que ser expreso, no será suficiente solo con el tácito (por ejemplo, la no contestación para oponerse al uso de datos personales).
Nuevos datos sensibles: genéticos y biométricos
Se mantienen los datos que ya se recogían, pero se añaden estos dos, como consecuencia de los avances de la tecnología. Será necesario añadir nuevas medidas de seguridad y mayores restricciones para tratarlos.
Nuevos derechos: portabilidad y límites del tratamiento
Hasta ahora se reconocían los derechos de los usuarios en cuanto al acceso, rectificación, cancelación y oposición acerca de sus datos. El GDPR introduce estos dos nuevos derechos. El de portabilidad establece que una persona puede trasladar sus datos personales entre compañías e incluso que se exporten e importen entre ellas y el de limitación de tratamiento supone un derecho de cancelación temporal, por ejemplo, a la hora de comprobar que los datos son legales.
“Flexibilización” de las medidas de seguridad
Supone, como ya comentamos previamente, la justificación de las medidas implementadas en materia de seguridad aunque se conceda a las empresas una mayor flexibilidad.
Ya no hay alta de ficheros -> Registro de tratamientos
En séptimo lugar, una gran novedad es que en España ya no tendremos que registrar nuevos archivos de datos en la AEPD. Sin embargo, será necesario iniciar el Registro de tratamientos a nivel interno, en caso de que sea solicitado por inspección.
El Delegado de Protección de Datos (DPO)
Es una nueva figura que se incluye en el GDPR pero que no será obligatoria para todas las empresas. Sólo será imprescindible en aquellas entidades que cumplan criterios relacionados con las administraciones públicas o que traten datos a gran escala, entre otros. Todavía no está definido al 100%, aunque próximamente se publicará la lista definitiva de empresas afectadas. Sí será obligatorio comunicar a la AEPD quién será la persona designada como delegado.
Notificación de violaciones de seguridad
Hay expectación en este punto porque, a partir del 25 de mayo, será obligatorio comunicar a la AEPD cualquier violación de seguridad en un plazo máximo de 72 horas. Si se produce una violación de seguridad y esta supone poner en peligro los datos personales de tus usuarios, también deberemos comunicárselo a ellos. Muchas empresas que antes procuraban no informar de estas intrusiones, ahora tendrán que cumplir la normativa si no quieren incurrir en multas.
Las Evaluaciones de Impacto en Privacidad
Por último, el GDPR incluye estos análisis previos al lanzamiento de un nuevo servicio o una nueva campaña de marketing que impliquen tratamiento de datos sensibles a gran escala y que pueda ser un gran riesgo para la empresa. No tendrá aplicación en todas las empresas, pero las que sí deban hacerlo tendrán que acreditar su realización interna y un análisis de riesgos. Habrá que comunicar el resultado de las evaluaciones y esperar a que la AEPD apruebe o recomiende cambios antes de poder sacar el proyecto.
Conclusión
El GDPR supone un antes y un después en materia de seguridad y privacidad. Sin duda, es una regulación muy densa, tanto que no pudimos ver todo lo que Víctor Salgado nos tenía preparado ante el aluvión de preguntas recibidas, algo que os agradecemos porque eso significó que el tema que os propusimos era más que interesante.
Con este webinar, seguimos añadiendo al programa gratuito de GoDaddy Pro nuevos contenidos que complementan a las herramientas exclusivas y gratuitas como Pro Sites o Clientes Pro, dirigidas a aquellos profesionales web que buscan administrar una gran cantidad de proyectos de una forma sencilla y segura.
Próximamente anunciaremos nuestro siguiente webinar, por lo que os recomendamos no perder de vista nuestra página de Facebook y los contenidos publicados en nuestro blog.