Nuevo reglamento de protección de datos [2018] RGPD / GDPR
El 25 de mayo salió el nuevo reglamento de protección de datos a nivel europeo, RGPD o GDPR, seguramente te suena por que esa semana fue una locura y recibiste 40.000 correos pidiendo te una nueva confirmación para seguir en la lista de suscriptores.
¿Realmente hacía falta ese correo? Hoy entrevisto a Jesús Soler, Abogado y delegado de protección de datos, que nos sacará de dudas.
Hoy vas aprender todo lo que debes saber sobre el RGPD y por si no lo sabias, es un reglamento de obligado cumplimiento. Así que si todavía no te has adaptado o tienes dudas sobre la adaptación, tienes que ver esta entrevista!
Hoy tenemos a Jesús, que nos va a contar muchísimas cosas sobre el GDPR (Reglamento General de Protección de Datos), es un reglamento Europeo, que está por encima de la Ley.
ÍNDICE:
¿Qué diferencia hay entre una Ley y un Reglamento?
Esto sería Ley Española, Ley Orgánica Española, Reglamento Comunitario y Constitución.
Ese es el rango normativo, el Reglamento está por debajo de la Constitución y un poco por encima de la Ley Orgánica, viene de Europa, y lo tenemos que cumplir 27 países.
¿Qué es el RGPD?
El RGPD es la forma de regular para 27 países todo lo que ha pasado desde el año 95 que hubo la última directiva sobre protección de datos.
Por que la tecnología ha sufrido muchos cambios, las bases de datos, la informática ha sufrido muchísimos cambios y estamos pasando del Internet de la información al Internet del valor, antes o hasta ahora es el internet de la Información, en Internet encontramos todo, toda la información que queramos encontrar.
Pero ahora, dentro de Internet además hay datos y esos datos son de la persona y al ser de la persona el único que puede gobernar sobre esos datos, es la propia persona, esos datos al final tienen un valor económico, valen dinero, son un activo.
Como es un activo, vamos a pasar de la Internet de la información a la Internet del valor, donde nuestra información, poco o mucho, valdrá dinero.
¿Cómo?
Por que por fin, hay un sistema de poderlos monetizar, que es a través del blockchain, porque antes no podíamos pagar un céntimo por un dato, pero ahora podemos acabar pagando, más fracciones de céntimos a través de sistemas como las criptomonedas o blockchain, que lo encontraremos de aquí 3, 4, 5 años como plataforma debajo de todo lo que hagamos.
El GDPR, lo que consigue es regular que la persona controle sus datos, obligando a las empresas que informen más, gestionen mejor sus datos, la persona está empoderada para poder ir a la empresa a reclamarle como las gestionan.
¿qué hacen?, ¿cómo lo hacen?, entonces da potestad a las personas para poder controlar, cómo las empresas controlan sus datos y como ganarán dinero a través de nuestros datos y en su día podrá dar una solución para que nosotros podamos gestionar quien tiene los datos y monetizarlos también de alguna forma.
¿Viene a nivel Europeo, y entonces esto tumba lo que ya había a nivel estatal?
Sí, el RGPD substituye a una directiva, esta directiva el año 95 fue traspuesta a la Legislación Española por la LOPD en el año 99, las directivas deben ser recibidas en el ordenamiento Español o reglamento de cualquier país a través de una Ley Orgánica (en este caso), en cambio el reglamento que está por encima es de directa aplicación a cada uno de los países.
Esa norma ya viene de arriba, no hay que tocarla.
Podremos modificar alguna cosa no modificar, ampliar o aclarar alguna de las cosas del reglamento a través de la futura Ley Orgánica que está en el parlamento, está en comisión, están haciendo las últimas modificaciones, se prevé que entre en funcionamiento y tengamos un texto ya definido antes de Navidad.
¿Y eso quiere decir, que tendremos que hacer más cambios para adaptarnos al reglamento?
No, los cambios ya están hechos, la Ley Orgánica lo que nos permitirá es aclarar algunas dudas del reglamento que al final es una cosa genérica. Adaptarlo a la idiosincracia Española, como por ejemplo el tratamiento de menores, no sabemos todavía en qué edad va ha quedar. Los menores ahora en teoría con la Ley Orgánica antigua, pueden dar el consentimiento a los 14 años, el reglamento dice que entre los 13 y los 16 cada país decide.
Entonces hay una duda sobre si el parlamento va a dejar que se haga el consentimiento a los 13 años o 16 años o lo deja en 14.
Entonces, lo del DPO (que luego hablaremos) el reglamento marca quien tiene que tener DPO Pero la Ley Orgánica establece unas 17 actividades de empresas que tienen que tener un DPO (financieras, seguros, hospitales, colegios, empresa pública, etc) lo define un poquito más.
¿Qué es DPO?
DPO es el Delegado de Protección de Datos, es la figura de una persona, que es el supervisor del área de Protección de Datos en una gran empresa.
Es de obligado cumplimiento para las empresas que hacen gran tratamiento de datos, datos de nivel especial, sanidad, colegios.. y cuando hacen tratamiento a gran escala de espacios por ejemplo videovigilancia a gran escala.
Todas las tiendas tienen videovigilancia, tendrán que tener un DPO, por qué estás haciendo tratamiento a gran escala, visualizando espacios públicos, la imagen es también un dato público, es un dato personal, la videovigilancia es un tratamiento de imágenes y más con todo lo que tiene por venir, datos biométricos.
Esto requiere un tratamiento especial y el GDPR dice que hay que aplicar una serie de medidas especiales cuando son datos biométricos.
¿Tan fácil es robar un iris?
No, el problema no es robarlo, el problema es que es un dato que te puede identificar a ti plenamente, sólo con el iris, por ejemplo las empresas, que hacen accesos con datos biométricos, lo que hacen es encriptarlo y anonimizar el dato, entonces cuando tu pones el dedo no se ve tu huella, sino que se convierte en un algoritmo matemático, entonces ya no es tu huella directamente.
Pero hay personas que por ejemplo, no quieren poner el dedo, donde lo ha puesto otro, entonces han ideado un sistema de reconocimiento facial tu acercas la cara al sistema de acceso te la escanea y te permite pasar.
Entonces el problema está, en que no solo te escanea la cara, sino que te puede hacer una foto.
Por ejemplo a través del iris, también se podrían detectar enfermedades y serían datos de salud.
Tenemos una frontera a la que vamos a ir llegando y va a ser muy divertido…
Entonces, el reglamento lo que hace es un entorno regulatorio donde nos va a permitir a las personas tutelar un poquito mejor los datos y va a obligar a las empresas, hacer cosas para gestionar mejor los datos.
¿Cómo controlar los datos de las personas que captas a través de las RRSS, estas redes como se quitan la responsabilidad?
Cuando alguien se pone en contacto contigo, o bien por que se subscribe a una newsletter o en una página o te envía un correo, automáticamente tu ya tienes que poner los aviso de privacidad.
Explicando bien quien eres, para que coges los datos, durante cuanto tiempo, como los vas a gestionar y cual es el procedimiento para darse de baja.
Con estos parámetros, tú ya has dado la información, y tienes el consentimiento bien prestado.
Y hay otra cosa dentro del reglamento que se llama interés legítimo, para efectos de marketing, nos hemos comunicado, aunque no tenga un consentimiento por escrito, hay un interés legítimo y nos podemos comunicar.
¿Cómo diferenciamos si una persona nos comunica que nunca se ha apuntado a una newsletter, ni ha tenido nunca contacto contigo, cómo demostramos que eso es cierto?
Automáticamente tienes que borrar el contacto, lo siguiente sería mirar la antigüedad, si se encuentra en la base de datos o algún correo, en los logs de la web.
Pero cuando alguien te dice que lo borres, borralo.
Al final eso no te va aportar ni dinero, ni nada.
Hay 30 días para eliminarlo, que es lo que marca la Ley.
¿Cuáles son las sanciones del RGPD? ¿No hay inspectores, verdad?
Sí, hay 17, en la agencia cada año hay un plan de inspector de oficio, inspeccionan 2 sectores. Normalmente en una inspección, lo que hacen son recomendaciones, pero si ven algo muy grave, sancionan. Lo siguiente es que le lleguen denuncias, y cuando hacen una denuncia, también abren un diligencias.
Las sanciones, son altas, pero también hay muchas formas de evitar la sanción, primero de todo por que ya de un primer momento te dicen que tienes que ser proactivo.
¿Danos una cifra, de qué estamos hablando a nivel de sanciones?
De un 4% de la facturación mundial.
Han puesto un 4% de la facturación mundial, por que eso ya les hace daño, por que si una empresa, le ponemos un 4% sobre la facturación, no sobre el beneficio, les puedes hacer un roto.
Y el reglamento también habla mucho del daño reputacional, si tu eres una empresa proactiva, has hecho las cosas bien, tienes buena reputación y lo que pretende es que, se genere una buena reputación.
Una de las normas, es que cuando haya una rotura de datos, un hacker, una pérdida de datos, tienes que informar en 72 horas a la agencia de protección de datos y si has afectado a los derechos de las personas, en 72 horas más.
Una cosa muy importante del reglamento, es que además seamos muy conscientes de que es tan importante las normas legales como la seguridad lógica, dentro del reglamento una de las cosas que hay que hacer, es hacer una evaluación de impacto en algunas empresas, esa evaluación de impacto, no solo es como impactan en la privacidad en lo que haces, sino en cómo lo securizar, que seguridad informática tiene, entonces obligará a muchos compañeros a aprender seguridad informática y aprender una serie de términos de seguridad informática y a revisarlos por que con la seguridad jurídica no haces nada, solo tienes la mitad.
¿Hay mucho intrusismo en protección de datos, verdad?
Ha habido y habrá. Pero como todo, siempre estarás mas cubierto con aquel abogado especializado en el campo.
¿Con el nuevo reglamento era necesario borrar la base de datos antigua?
Si tenias la base bien captada, no la tenias que borrar, por que tenias el consentimiento bien captado, si habías comprado una base de datos que no sabias de donde, o hacia muchos años y habías utilizado siempre la misma base y no la habías depurado, era el momento de volver a tener un consentimiento bien hecho.
Lógicamente, de una base de, pongamos, 100.000 que no habías impactado a penas y que era muy mala al final te contestarán 10.
En aquel momento debías también informar, de que habías cambiado tú políticas de privacidad y hubo muchos que se preocuparon en hacer otros consentimientos mal hechos.
Pero, las empresas si habían hecho bien el trabajo, y habían segmentado bien la base de datos, podrán utilizarla perfectamente, si no la habían segmentado y no sabían de dónde venían esos datos o se habían captado mal había que depurarla por que utilizar una base de datos sin consentimiento y tratar esos datos incumpliendo el reglamento, puede ser objeto de sanción.
¿Qué debemos hacer para cumplir el GDPR?
En la página web tenemos que poner exactamente la política de privacidad cambiando la información, indicando quien es el responsable, para que vas a utilizar los datos, durante cuánto tiempo los vas a utilizar, si se los vas a ceder a alguien o no, si los vas a enviar al extranjero o no, en qué plazo los vas a borrar y cómo van a ejercitar sus derechos.
Delante de quien tienen que ejercitar los derechos y que también tienen derecho de ejercitar los derechos frente a la agencia.
En la página puedes poner una información más detallada, más gráfica, con un enlace a una página donde lo expliques todo.
El mensaje tiene que ser claro, asequible y muy visual.
¿Qué diferencia hay entre RGPD, LOPD y LSSI, todavía sigue vigente?
La LSSI sigue vigente, hasta que entre en vigor la eprabasi, algunas cosas de la LSSI cambiarán, por ejemplo una parte de las Cookies, posiblemente ya nos obligará a que las Cookies ya las tengamos que aceptar por cada una de las modalidades, ahora aceptamos las Cookies en general y mucha gente no las tenía identificadas unas de otras. Pero todavía está por llegar.
¿Qué le dirías a la gente que te dice de comprar una base de datos?
Si se la certifican, han hecho bien los consentimientos, muestras de los consentimientos, los procedimientos que han obtenido y un disclaimer de responsabilidad que la compren, sino que no la compren, por que la responsabilidad salta al que la utiliza, no al que la vende.
Y si la base no ha sido bien captada, podrá ser sancionado por utilizar datos sin consentimiento.
¿Alguna otra consideración que tengamos que tener en el GDPR, hablábamos de la figura del DPO?
La figura que ahora va a supervisar en grandes empresas o grandes actividades o grandes tratamientos o videovigilancia a gran escala que todo se cumple bien, entonces la figura que va a supervisar o aconsejar a la dirección de la empresa de cómo va a funcionar todo, como tiene que operar en protección de datos y es la que va a interrelacionar a la agencia de protección de datos y con los interesados.
Es una figura que es especialista, que encima tiene que hablar directamente con dirección y es una figura muy especializada, con una formación determinada, formación jurídica, técnica, que sea proactivo, buen comunicador por que tiene que relacionarse con los interesados, con la administración, es un mediador.
Es una figura que vamos a empezar a encontrar por todas partes. La gente ya se está formando para ser DPO.
Solo es necesario para empresas con más de 50.000 clientes.
¿El reglamento especifica cuando necesitas un supervisor DPO?
Habla de actividades que lo requieren, como ya hemos comentado anteriormente.
¿Entonces la multinacional escoge tenerlo?
La multinacional puede escoger en qué país lo tiene, pero evidentemente lo requerirá, por el gran volumen de datos.
¿Ahora tu eres DPO?
Si, yo ahora soy DPO de 4 empresas.
¿Algo más que tengamos que saber sobre el RGPD?
No, de momento hay trabajo ahí.
Y lo mejor es contratar el servicio a alguien que sepa. Es mejor ser proactivo que reactivo.
Al final es una inversión.
Pues nada Jesús, espero tenerte aquí otro día para hablar, por que Jesús también es experto en criptomonedas y ojalá puedas venir otro día y nos expliques más cosas.
¡Muchas gracias Jesús por estar aquí, y ilustrarnos con todo tu conocimiento!
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!