El checklist de 12 puntos para asegurarnos de que cumplimos con el GDPR
El ICO británico (Information Commissioner’s Office) ha elaborado una suerte de ‘checklist’ de 12 puntos clave a examinar con detalle de aquí a mayo para el cumplimiento del GDPR que van desde la creación de la figura del CPO hasta la protección por diseño o las solicitudes de acceso.
Lo llevamos advirtiendo desde hace ya varios meses en TICbeat: el próximo 25 de mayo entra en vigor el Reglamento General de Protección de Datos (GDPR), una nueva normativa a escala europea que promete mejoras significativas en la forma en que los ciudadanos del Viejo Continente accedemos y compartimos nuestra información personal almacenada en los servidores de las grandes compañías pero, también, en la manera en que estas compañías manejan y protegen estos datos tan sensibles de potenciales filtraciones o ciberataques.
Entre otras medidas se incluyen la protección del derecho al olvido o a la portabilidad de datos, pero también se obliga a las empresas a adoptar la privacidad por diseño, a informar de cualquier vulneración de su información confidencial en un plazo máximo o a comunicar con transparencia de situaciones de riesgo a los propios consumidores. El incumplimiento de estas premisas puede acarrear sanciones de hasta 20 millones de euros o el 4% del volumen de negocio total anual del ejercicio financiero anterior.
Un buen motivo, sin duda, para asegurarnos de que nuestra organización cumple a la perfección con todas las áreas de gobernanza de datos a las que el GDPRatañe. Hacer, en definitiva, una suerte de auditoría interna de los activos, recursos y procesos que tendrán que adaptarse a la nueva regulación.
Para guiarnos en este proceso de autodescubrimiento y análisis introspectivo, el ICO británico (Information Commissioner’s Office) ha elaborado una suerte de‘checklist’ de 12 puntos clave a examinar con detalle de aquí a mayo:
1. Conciencia
Debemos asegurarnos de que los responsables de la toma de decisiones y las personas clave en la organización es consciente de que la llegada del GDPR: necesitan para apreciar el impacto que esto probablemente tendrá e identificar áreas que podrían causar problemas de cumplimiento bajo el GDPR. Sería útil comenzar mirando el registro de riesgos de la organización y asegurarnos de que los equipos y recursos disponibles son los correctos y necesarios.
2. La información que tenemos
Ahora tendremos más motivos que nunca para documentar qué datos personales tenemos, de dónde vinieron y con quién los compartimos. Es posible que debamos realizar una auditoría de información en toda la organización o dentro de áreas comerciales particulares. Recordemos que el GDPR requiere que mantengamos registros de todas las actividades de procesamiento. Algo fundamental no sólo para garantizar que tenemos los datos de los usuarios actualizados sino también para cumplir con el principio de responsabilidad del GDPR, que requiere que las organizaciones sean capaz de demostrar cómo cumplen con los principios de protección de datos al contar con políticas y procedimientos efectivos.
3. Cómo comunicar la información sobre privacidad
También debemos revisar los avisos de privacidad actuales y establecer un plan para hacer los cambios necesarios a tiempo para la implementación del GDPR. Cuando recolectamos datos personales, actualmente tenemos que darle a la gente cierta información, como nuestra identidad y cómo pensamos usar su información. Esto generalmente se hace a través de un aviso de privacidad. Bajo el GDPR hay algunas cosas adicionales que tendremos que comunicarle a la gente como, por ejemplo, la base legal para procesar los datos, los períodos de almacenamiento de los datos o que las personas tienen derecho a quejarse al regulador de turno si creen que hay un problema con la forma en que se manejan sus datos.
4. Derechos individuales
Debemos verificar todos nuestros procedimientos para asegurarnos de que cubren todos los derechos los usuarios, incluida la forma en que podrían eliminar los datos personales o proporcionarlos de vuelta de forma electrónica y en un formato de uso común. Entre otros derechos deberemos prestar especial atención a los de estar informado, de acceso, a la rectificación, a borrar, a restringir el procesamiento, a la portabilidad de datos, a objetar, y a no estar sujeto a la toma de decisiones automática.
5. Solicitudes de acceso
En base al GDPR también tenemos que actualizar nuestros procedimientos y planificar cómo gestionaremos las solicitudes de acceso de los usuarios. En la mayoría de los casos, no podremos cobrar por cumplir con un solicitud y tendremos un mes para dar respuesta positiva, en lugar de los 40 días actuales. Lo que sí recoge el Reglamento es que podamos rechazar o cobrar por solicitudes que son manifiestamente infundadas o excesivas. Igualmente, si se rechaza una solicitud, ha de decirse a la persona por qué y que tienen derecho a presentar una queja ante la autoridad de control y a un proceso judicial.
6. Base legal para procesar datos personales
Por otro lado, debemos identificar la base legal para nuestra actividad de procesamiento dentro del GDPR, documentando y actualizando el aviso de privacidad para explicarlo. Y es que, bajo el nuevo Reglamento, los derechos de algunos individuos se modificarán dependiendo de su base legal para procesar sus datos personales. El ejemplo más obvio es que las personas tendrán un derecho más fuerte para que sus datos sean eliminados en aquellos casos en que se usa el consentimiento como base legal para el procesamiento.
7. Consentimiento
El GDPR también nos obliga a revisar cómo busca, registra y gestiona el consentimiento. Según la nueva norma, el consentimiento debe ser otorgado libremente, específico, informado y no ambiguo. Ahí nos encontramos ante una aceptación positiva; en tanto que el consentimiento no puede inferirse del silencio, cuadros marcados o inactividad. También debe estar separado de otros términos y condiciones, y tendrá que presentar formas simples para que la gente se retire consentimiento.
8. Menores
Por primera vez, el GDPR traerá protección especial para los datos personales de menores de edad, particularmente en el contexto de servicios comerciales de Internet como las redes sociales. En el caso de que nuestros servicios online vayan dirigidos a este público, es posible que necesitemos que un padre o tutor de su consentimiento para procesar los datos personales del infante de manera legal. De acuerdo al GDPR, la edad en que un niño puede dar su consentimiento a este procesamiento son los 16 años (aunque esto puede reducirse a un mínimo de 13 en el Reino Unido). Si un niño es más joven, entonces necesitará sí o sí el consentimiento de uno de sus padres o tutores y, por nuestra parte (como empresa), estaremos obligados a verificar dicha identidad.
9. Infracciones de datos
Así mismo, hemos de asegurarnos de tener los procedimientos correctos para detectar, informar e investigar una violación de datos personales. El GDPR introduce la obligación en todas las organizaciones de informar de cualquier violación de información sensible a las autoridades y, en algunos casos, a los propios consumidores. Una obligatoriedad que se extiende a todas las situaciones en que haya un riesgopara los derechos y libertades de las personas, como discriminación, daño a la reputación, pérdida financiera, pérdida de confidencialidad o cualquier otra desventaja económica o social significativa.
10. Protección de datos por diseño e impacto de la protección de datos
La privacidad por diseño es la principal novedad del GDPR en materia de prevención a la hora de proteger a los consumidores europeos, junto a las evaluaciones de impacto o la figura del DPO (Data Protection Officer). Para ser más exactos, este precepto está recogido en el artículo 25 del Reglamento General de Protección de Datos y especifica que las empresas deben incorporar medidas técnicas que protejan la privacidad en el propio diseño de los sistemas TIC y de las aplicaciones, así como a que solo se almacene o procese la cantidad mínima de datos personales que sean estrictamente necesarios.
11. Data Protection Officer (DPO)
Conviene aclarar que el Data Protection Officer es una figura necesaria para las entidades, empresas, instituciones o cualquier agente que procese datos personales. Si bien en la práctica sería la persona ocupada de las cuestiones sobre protección de datos y privacidad, su designación no exime a la propia institución u organización de responsabilidad de cuanto se haga con los datos de las personas ni del cumplimiento de las normas del GDPR. Es un cargo obligatorio en caso de ser una autoridad pública, organizaciones dedicadas como actividad principal a la gestión o monitorización de datos personales y aquellas que traten con información sensible (salud, criminalidad).
12. Escala internacional
Si nuestra empresa opera en más de un estado miembro de la UE, tendremos además que determinar qué autoridad supervisora de protección de datos nos compete y documentarlo correctamente. Será, por defecto, aquella en donde tengamos nuestra sede principal o bien el lugar donde llevemos a cabo las decisiones en materia de gestión de datos, que no tiene que ser necesariamente el emplazamiento donde tengamos nuestro centro de datos o los sistemas tecnológicos de recopilación, procesamiento y análisis de la información.(TB).