¿Aún sin cumplir con la RGPD? ¡No es para tanto!

Es muy probable que te hayas tirado de los pelos en los últimos días y semanas pensando en la gran complejidad del Reglamento General de Protección de Datos y todo lo que le rodea. ¿Es tan difícil cumplir con la GDPR (como se la conoce en inglés) como dicen?

Más información – Así como nos adaptamos a la nueva normativa

A juzgar por lo que he podido leer y oír de muchas otras personas y bloggers de todas partes, sí, el tema es complejo. Muchos de ellos se han quejado de falta de información, principalmente de concreción, a la hora de explicar de forma humanamente entendible los pasos a realizar para que cada cual esté a salvo de las multas.

Quizá penséis que publico esto un tanto tarde, pero seguro que son muchos los que aún no han tomado medidas o lo han hecho solo de forma parcial. Mis disculpas, ya que mi atareada vida no me ha permitido hacerlo antes, pero me gustaría poner mis 2 cent sobre la mesa.

Se puede cumplir con la RGPD sin morir en el intento

Sobre todo si tenemos un blog o sitio web «corriente» en cuanto a lo que a recolección de información se refiere. Si tu página web o blog trata datos poco sensibles -en tu opinión- como podrían ser datos genéricos de clientes o proveedores, puedes elaborar la política a través del Portal Facilita.

Como podréis imaginar no es lo mismo tener un blog de viajes o un foro de automóviles (donde se recaban pocos datos y de poca «sensibilidad») a tener un portal donde se manejan registros médicos, donde se trata registros fiscales, cuestiones religiosas, legales o similares.

Alcance de la normativa

La presente alcanza directamente no solo a todo negocio con soportes de recogida de datos (telemáticamente o en papel) ubicados en la Union Europea, sino a cualquier procesador de datos que preste o se disponga a prestar este tipo de servicios a ciudadanos de la Unión Europea.

Es decir, estamos ante una normativa que en la práctica tiene una repercusión mundial.

Derechos y deberes

De eso va todo este asunto, de una parte (el ciudadano) que gana una serie de derechos o mejoras sobre los que ya tenía y de otra parte (el proveedor, ¿quizá tú?) que gana una serie de obligaciones nuevas.

Grosso modo, podemos resumir las principales novedades para adaptarse en 4 aspectos:

• Deber de información
• Responsabilidad proactiva
• Evaluación del impacto
• Contentimiento/interés legítimo

Lo cierto es que son buenas noticias, o eso creo porque, al fin y al cabo, todos podemos ser usuarios y proveedores al mismo tiempo. Uno de los derechos que se inauguran después de tanto tiempo es el Derecho al Olvido, esto es, a borrar nuestras huellas de Internet.

Derechos de protección de datos personales

Los llamados Derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) te garantizan lo siguiente:

Derecho a conocer

• Para que se utilizan tus datos (quién los tiene, para qué, a quién los puede ceder, si se comparten con otros)
• El plazo de conservación de los datos
• Deben informarte de tu derecho a poder presentar una reclamación ante la AEPD
• Si existen decisiones automáticas, elaboración de perfiles y sus consecuencias

Derecho a solicitar al responsable

• La suspensión del tratamiento de datos
• La conservación de los datos, que puede evitarse en determinadas situaciones
• La portabilidad de tus datos a otros proveedores de servicios

Derecho a rectificar tus datos

• Por inexactitud
• Por estar incompletos

Derecho a suprimir tus datos

• Cuando se traten sin tu consentimiento o de forma ilícita
• Cuando el motivo por el que los cediste ya no aplique
• Cuando ejerces tu derecho a revocarlos
• Cuando ejercer tu derecho a oponerte a que sean tratados

Derecho de oposición al tratamiento

• Por motivos personales, salvo que quien los trata acredite un interés legítimo
• Cuando dicho tratamiento tenga como objetivo el marketing directo

Deberes para cumplir con la GPDR en el Sector Privado

Como te habrás imaginado, vas a tener que poner en marcha los mecanismos necesarios para garantizar que los derechos anteriormente citados se cumplen. No te preocupes, te ayudaré a comenzar con algunas nociones.

1. Designar un Delegado de Protección de Datos (DPD): puede hacerse de forma voluntaria u obligatoria, depende del caso. En caso de NO ser necesario, se identificará a la persona responsable de llevar a cabo la adaptación.
2. Elaborar un registro de actividades de tratamiento (más información)
3. Realizar un análisis de riesgos
4. Revisar las medidas de seguridad necesarias en función del «análisis de riesgos»
5. Establecer mecanismos y procedimiento de Notificación de quiebras de seguridad.
6. Según el análisis de riesgos, realizar si procede una evaluación de impacto en la protección de datos

Otros pasos adicionales que no debes olvidar

Los siguientes pasos no son más importantes que los anteriores, pero quizá sí más visibles, ya que uno de los puntales de la nueva ley es la gran cantidad de información que se debe dar a los usuarios.

• Adecuar los Formularios para garantizar el derecho a la información
• Adaptar los mecanismos y procedimientos para el ejercicio de derechos
• Valorar si los encargados ofrecen garantías, adaptar contratos
• Elaborar una Política de Privacidad

Y por supuesto, si no tenías una política de cookies, también debes redactar una para evitar sanciones.

Información por capas

Merece la pena detenerse un poquito y desarrollar este apartado. ¿Qué significa eso de información por capas? Se trata proporcionar al usuario información en varios niveles.

Pongamos el caso de esta web: tengo una política de Privacidad que cualquiera puede consultar, pero que no puedo (por su gran tamaño) incluir en formularios de suscripción donde se va a recabar cierta información del usuario. Sin embargo, la AEPD dicta que ciertos datos SÍ deben aparecer antes de la recogida.

La información por capas nos permite ser más escuetos a la hora de ofrecer información en formularios, mientras cumplimos con la legalidad. Eso sí, desde la primera capa se debe aludir (y poner enlaces) a la segunda capa (nuestra política de privacidad).

En la imagen anterior podrás observar el aviso de privacidad que está disponible, por ejemplo, en la sección de comentarios de esta web.

El enlace entre las capas dependerá del medio mediante el cual se proporcione la información:

• un link a otra dirección web (en el caso de formularios web)
• una locución complementaria con información adicional (en el caso de una entrevista telefónica)
• el reverso de un documento (en el caso de formularios en papel), etc.

NOTA: en mi caso, no he utilizado el campo «procedencia» de los datos, dado que no es obligatorio especificarlo en caso de que los datos procedan directamente de los usuarios.

Para acabar este apartado os dejo una infografía de Alfredo Vela con 10 recomendaciones para afrontar la nueva normativa. Una imagen siempre «entra» mejor que el texto.

Documentación sobre la nueva normativa

La AEPD pone a disposición de todos una serie de documentos que todos deberíamos leer o, al menos, saber si aplican en nuestro caso. Un enlace interesante para mucha gente seguro será la sección Cumplimiento Pymes.

Listado de cumplimiento normativo de la RGPD

Varios de los documentos proporcionados por la AEPD (el de Análisis de Riesgos y el de Evaluaciones de Impacto) hacen referencia a esta guía, que podemos decir que es algo así como una guía general de cumplimiento de la norma, con una serie de tablas y referencias, aplicables a cualquier empresa o individuo.

Este plan general está dividida en 29 bloques en los que se abarcan temas como la transparencia en la información que debe facilitarse a los ciudadanos, los derechos que estos tienen y como facilitarlos, el registro de actividades, las transferencias internacionales de datos o las medidas de seguridad.

Análisis de riesgos

La guía persigue ofrecer directrices y orientaciones para establecer una hoja de ruta que permita
contemplar la privacidad desde el inicio, mediante un enfoque de análisis de riesgos, facilitando
el cumplimiento del RGPD.

Evaluación de Impacto

La guía referente al EIPD es una herramienta que permite evaluar de forma anticipada cuales son los riesgos a los que están expuestos los datos personales de los individuos en función de las actividades de tratamiento que el explotador realiza sobre ellos.

Portal Facilita

El portal Facilita RGPD nos ayudará a cumplir con la ley mediante un asistente de cumplimiento (guiado) que nos ofrecerá una información valiosa: el sistema generará las clausulas legales a informar en base a nuestra información introducida previamente.

Es importante destacar que este recurso valdrá únicamente a aquellas empresas o individuos que realicen un tratamiento de datos personales de escaso riesgo, algo que la propia herramienta determinará cuando la utilicemos.

¿Cómo usar la herramienta Facilita RGPD?

Empezaremos a usar la herramienta accediendo a este enlace de la web de la AEPD y seleccionando la opción Facilita.

Se nos irá pidiendo una serie de datos sobre nuestro negocio y el tratamiento de los datos planeado, iremos paso a paso rellenando los cuestionarios.

Según lo que vayamos respondiendo (en muchos casos) recibiremos el siguiente texto, que indica que nuestro portal almacena datos de escaso riesgo:

Ha respondido de forma negativa a todas las cuestiones anteriores, por tanto, se podría entender que los tratamientos realizados por su entidad entrañan, a priori, un escaso nivel de riesgo para los derechos y libertades de los interesados y por tanto se encontraría en disposición de utilizar el siguiente programa.

Conviene poner mucho cuidado al rellenar la siguiente pantalla, referente a los servicios informáticos, de desarrollo, servicios, etcétera que podamos haber contratado a terceros. Cualquier servicio externalizado afectará sensiblemente a nuestras clausulas, así que es importante ser precisos.

Una vez completado el asistente se nos mostrará una pantalla con información importante. Se generarán unos documentos que deberemos guardar, pero no enviaremos ninguno de ellos si no se nos requiere por parte de la AEPD.

En el documento obtenido se nos facilitarán unas cláusulas tipo, que pondremos a disposición del cliente en nuestro sitio web y/o soportes de medios impresos.

En resumen, aunque hayamos conseguido una serie de documentos que acreditan un cumplimiento mínimo de la legislación vigente, no estaremos cumpliendo de forma efectiva la norma si no elaboramos todos los documentos necesarios, redactamos las clausulas informativas y todo ello es visible como exige la RGPD.

Habrás podido comprobar que resulta relativamente sencillo cumplir con la nueva normativa, gracias a la herramienta Facilita RGPD, siempre y cuando realicemos un tratamiento de información de «baja sensibilidad» o bajo riesgo.

Es importante mantener este documento actualizado con cada cambio en nuestra relación contractual con proveedores y usuarios/clientes.

Portal Informa

El portal Informa de la AEPD se ha creado como una especie de foro, donde podremos plantear dudas a los expertos de la administración estatal. Ten en cuenta, eso sí, que recomiendan haber leído antes la documentación pertinente. No hagas pregunta del tipo «que tengo que hacer» 😛

Otra información de interés

• Descarga la normativa RGPD del Boletín Oficial del Estado
• Guía de Adaptación al RGPD publicada por Autocontrol

Conclusiones

Pues ya está, ¡hemos llegado al final! Si te lo has leído todo, me habrás impresionado bastante. He invertido bastante tiempo recabando información e intentando comunicarlo de una forma sencilla. Espero haberlo conseguido. Si tienes dudas o algo que añadir, en los comentarios 😉