Una nueva normativa de protección de datos que cambia el escenario

RGPD: ¿está tu correduría preparada?

En los dos años de vigencia del actual Reglamento General de Protección de Datos, hemos tenido tiempo para adaptarnos al cambio de modelo que supone respecto a la actual normativa, ya de por sí exigente. Tanto si hemos sido previsores como si aún estamos en plena adaptación, es el momento de hacer un repaso a este nuevo escenario. De todas formas, en APROMES, conscientes de la importancia de afrontar con garantías este nuevo marco normativo, tenemos previsto realizar diversas iniciativas para todos nuestros asociados.

El Reglamento General de Protección de Datos (RGPD), que está en vigor desde mayo de 2016, comenzará a ser aplicable el próximo 25 de mayo. En esa fecha llegarán nuevos derechos, nuevos protocolos y nuevas sanciones mucho más elevadas que las actuales (en el peor de los casos alcanzarán hasta el 4% de la facturación anual o hasta 20 millones de euros, la mayor de las dos cifras).

Este reglamento es de aplicación directa -no necesita de normas para su trasposición o desarrollo-, aunque el Gobierno quiere aprobar una ley que servirá tanto para desarrollar el RGPD como para aclarar diversas dudas que ha generado este cambio de escenario. Una norma que, todo parece indicar, no estará lista para cuando entre en vigor el propio Reglamento.

Pero, vayamos por partes: ¿por qué estamos ante un cambio de escenario respecto a la actual situación?. Principalmente por dos aspectos por la implantación del principio de responsabilidad proactiva y por su enfoque del riesgo.

Como bien explica la Agencia Española de Protección de Datos (AEPD), “el RGPD supone un cambio del modelo tradicional hacia un modelo más dinámico, adaptado a la transformación tecnológica que se está produciendo en el ámbito del tratamiento de la información personal y enfocado en la gestión de los riesgos potenciales asociados al tratamiento”.

El principio de responsabilidad proactiva significa que nosotros, como responsables del tratamiento, deberemos cumplir las normas y, además, demostrar que las hemos cumplido, desde el mismo diseño del tratamiento de datos. Esto nos obliga a analizar qué datos vamos a manejar, con qué finalidades lo hacemos y qué tipo de operaciones de tratamiento realizamos. También deberemos asegurarnos de que las medidas para cumplir con el RGPD son las adecuadas en todo momento, lo que nos obligará a la revisión y actualización.

En lo referente al enfoque del riesgo, este afecta a la hora de establecer las medidas de seguridad: hay que hacer un análisis del riesgo, que valore el nivel y el tipo de riesgo asumido en función de la naturaleza, el ámbito, el contexto y los fines del tratamiento, que son diferentes en cada empresa.

Herramientas

La AEPD ofrece Facilita_RGPD, un cuestionario online gratuito que de forma ágil nos genera diversos documentos adaptados a la realidad de nuestra empresa, las cláusulas informativas que debemos incluir en los formularios de recogida de datos personales, las cláusulas contractuales para anexar a los contratos de encargado de tratamiento, el registro de actividades de tratamiento y un anexo con medidas de seguridad orientativas consideradas mínimas.

Aquellas organizaciones que por el tipo de datos que manejen necesiten realizar un análisis de riesgos (como es el caso de las que se dedican al sector seguros), la Agencia ha publicado una hoja de ruta y ha confeccionado una ‘Guía de Análisis de Riesgos’ que recoge una metodología adecuada para evaluar el nivel de riesgo en relación con los tratamientos de datos personales que realizan. Esta guía también incluye plantillas y anexos de gran utilidad para empresas y profesionales.

“El análisis y la gestión de riesgos son procedimientos que permiten a las organizaciones hacer un diagnóstico sobre los riesgos para los tratamientos de datos personales y, en ocasiones, aportar información suficiente para decidir si es necesario o no llevar a cabo una Evaluación de Impacto en Protección de Datos”, recuerda la AEPD.

Si fuera necesaria realizar una Evaluación de Impacto en Protección de Datos (EIPD), que es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos, la Agencia también ha editado una ‘Guía práctica para las Evaluaciones de Impacto en la Protección de Los datos sujetas al RGPD’

 

Consentimiento para recabar y tratar datos

Hay otras modificaciones que influirán en cómo recabamos y tratamos los datos. Una de ellas afecta a la forma al consentimiento para el tratamiento de los datos: ahora debe ser inequívoco y explícito y solamente es válido para aquellas cuestiones para las que se nos haya facilitado (por ejemplo, solo podremos enviar publicidad y promociones si nuestro cliente nos ha autorizado explícitamente a ello).

Más cuestiones importantes para nuestro día a día: no se consideran válidas las cesiones de datos si se han logrado a través de un formulario en el que la casilla ya esté premarcada o la autorización por no oposición por parte del cliente a la cesión. Además, debemos facilitar que quien nos haya cedido los datos pueda retirar ese consentimiento en cualquier momento y de forma sencilla.

¿Y qué pasa con nuestra actual base de datos? ¿No podemos utilizarla? ¿Debemos volver a pedir el consentimiento a todos los que aparecen en ella? De aquellos de los que tengamos sus datos y los hayamos obtenidos siguiendo los requisitos establecidos en el RGPD no será necesario y podremos seguir utilizándolos.


Derechos ARCO y brechas de seguridad

El RGPD mantiene los conocidos como derechos ARCO (acceso, rectificación, cancelación y oposición) para los interesados, con algunos cambios, y fija dos nuevos: al olvido y a la portabilidad de los datos. Este último conlleva que debemos facilitar al interesado copia de sus datos personales en “un formato estructurado, de uso común y lectura mecánica” mientras que el derecho al olvido (o derecho de supresión) está vinculado a la presencia de nuestros datos en Internet.

En el caso de que detectes una violación de la seguridad de los datos personales (también conocida como incidente o brecha de seguridad), debemos informar a la autoridad de protección de datos competente, sin dilación y a ser posible dentro de las 72 horas siguientes al momento en el que tengamos conocimiento de este siniestro.

¿Qué se entiende como incidente o brecha de seguridad? “La destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. En ese caso, debemos informar, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados. Si estuvieran en riesgo gravemente los derechos o libertades de los afectados (por ejemplo, en el caso de que unos ciberdelincuentes hayan accedido a los datos personales de nuestros clientes) además estamos obligados a informar a estos.

La figura del delegado de protección de datos

Las organizaciones y empresas que, según el RGPD, están obligadas a nombrar un delegado de protección de datos (DPD) son:

  • las autoridades y organismos públicos (salvo tribunales de justicia),

  • las que entre sus actividades principales “requieran una observación habitual y sistemática de interesados a gran escala”, o

  • las que realizan el tratamiento a gran escala de datos sensibles (datos de salud, genéticos y biométricos, raza, afiliación política o sindica…) o penales.

Solamente después de la oportuna evaluación de riesgos podremos establecer la necesidad de contar con esta figura, que tiene como principales funciones la información y asesoramiento, pero también la supervisión de que se cumple la ley en materia de protección de datos, cooperando con la autoridad de control.

En principio, no parece probable que la AEPD estime oportuno que las corredurías de seguros, especialmente las pequeñas y medianas, deban contar con esta figura, aunque por el contrario ya ha adelantado que las aseguradoras y reaseguradoras si deberán contar con estos profesionales que deben gozar de tal autonomía en su trabajo que el reglamento garantiza que las empresas no pueden impedir o influir en sus decisiones.

 

Hoja de ruta

Para aquellas empresas y organizaciones a las que no resulte útil Facilita_RGPD, la Agencia ha elaborado una HOJA DE RUTA sobre cómo adaptarse al Reglamento General de Protección de Datos (RGPD), normativa aplicable el 25 de mayo de 2018.

  1. Designación del DELEGADO DE PROTECCIÓN DE DATOS (DPD) si es obligatorio para la empresa o si lo asume voluntariamente. En caso de no ser necesario designar un DPD, identificar a la/s persona/s responsables de COORDINAR LA ADAPTACIÓN.

  2. Elaborar el REGISTRO ACTIVIDADES DE TRATAMIENTO (servicio de solicitud de copia de la inscripción como ayuda), teniendo en cuenta su finalidad y la base jurídica.

  3. Realizar un ANÁLISIS DE RIESGOS (guía práctica)

  4. Revisar MEDIDAS DE SEGURIDAD a la luz de los resultados del análisis de riesgos

  5. Establecer mecanismos y procedimiento de NOTIFICACIÓN DE QUIEBRAS DE SEGURIDAD

  6. A partir de los resultados del análisis de riesgos, realizar, en su caso, una EVALUACIÓN DE IMPACTO EN LA PROTECCIÓN DE DATOS (guía práctica)

Actuaciones simultáneas a los pasos anteriores:

En todo caso, es imprescindible documentar todas las actuaciones realizadas para poder acreditar la diligencia en el cumplimiento del RGPD.

 

Fuentes recomendadas:

Agencia Española de Protección de Datos

Canal del responsable de ficheros de la AEPD.

Guía del Reglamento General de Protección de Datos para responsables de tratamiento