GDPR (General data protection regulation)

Todos hemos oído hablar de GDPR o RGPD, sobre todo últimamente, ya que el plazo para que empresas e instituciones públicas lo adopten está punto de “caducar”.

Para tener una visión general de lo que es y lo que implica vamos a intentar explicarlo, de manera resumida, en este artículo.

El GDPR es el nuevo reglamento de protección de datos que sustituye a la anterior normativa (aún vigente) la Directiva 95/46/EC. El GDPR se aprobó en el 2016, entró en vigor concretamente el día 25 de Mayo del 2016 y se dio un plazo de 2 años como período de adaptación, por lo tanto, el 25 de Mayo del 2018 es el límite para dejar la antigua directiva y adaptarse a la nueva.

Este nuevo reglamento tiene la particularidad que se aplica a nivel europeo, es decir, que todos los países de la Unión Europea se regirán por él, esto ayuda a armonizar las leyes sobre privacidad de los datos en Europa, ayuda a tener algo homogéneo en todos los países lo que  facilita el traspaso de datos personales y de cara a los ciudadanos europeos es beneficioso porque además de unificar normativas, se centra mucho en que la propiedad de los datos personales son del usuario y es él el que ha de dar explícitamente el consentimiento, es decir, potencia mucho la privacidad de los datos personales.

Antes de hablar de los puntos principales de este nuevo reglamento, ponemos las definiciones más destacadas para poder entender bien los diferentes conceptos de los que trata el reglamento y así evitar posibles confusiones (usamos las definiciones dadas en el reglamento):

• Datos personales: toda información sobre una persona física identificada o identificable (el interesado); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
  El nuevo reglamento contempla también otros tipos de identificadores como son los identificadores en línea facilitados por los dispositivos personales, aplicaciones, herramientas y protocolos, como direcciones de los protocolos de internet, identificadores de sesión en forma de «cookies» u otros identificadores, como etiquetas de identificación por radiofrecuencia
• Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
• Elaboración de perfiles: toda forma de tratamiento automatizado de datos personales consistente en utilizar datos personales para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física.
• Responsable del tratamiento o responsable: la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá establecerlos el Derecho de la Unión o de los Estados miembros.
• Encargado del tratamiento o encargado: la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.
• Seudonimización: el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
• Autoridad de control: La autoridad pública independiente establecida por un Estado miembro con arreglo a:
  • Cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades públicas independientes (en adelante “autoridad de control”) supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento y de facilitar la libre circulación de datos personales en la Unión.
  • Cada autoridad de control contribuirá a la aplicación coherente del presente Reglamento en toda la Unión. A tal fin, las autoridades de control cooperarán entre sí y con la Comisión con arreglo a lo dispuesto en el capítulo VII del reglamento.
  • Cuando haya varias autoridades de control en un Estado miembro, este designará la autoridad de control que representará a dichas autoridades en el Comité, y establecerá el mecanismo que garantice el cumplimiento por las demás autoridades de las normas relativas al mecanismo de coherencia a que se refiere el artículo 63 del reglamento.

Principales puntos a tener en cuenta en el nuevo Reglamento

Explicamos los puntos que nosotros consideramos más relevantes en el nuevo reglamento tanto de cara a las organizaciones que han de cumplirlos como de cara al ciudadano que le ayudará a conocer cuáles son sus derechos sobre el uso de sus datos personales.

• Categorías especiales de datos personales: Lo que el nuevo reglamento llama categorías especiales de datos personales, eran los datos más sensibles (de alto nivel) que se contemplaban en la anterior directiva, es decir los de salud, etnia, religión, política o justicia penal. El nuevo reglamento contempla, además de estos, dos tipos de datos personales nuevos dentro de esta categoría, son los datos biométricos y los datos genéticos. Sobre esta categoría de datos es sobre la que se aplican más controles y restricciones, dado el carácter crítico de estos datos.
• Protección de datos desde el diseño y por defecto: Esta es una de las novedades que contempla el nuevo reglamento y que más aplaudimos, se trata de pensar cuales son las mejores medidas a aplicar para garantizar la seguridad de los datos que la organización va a tratar, es decir, ha de tener en cuenta:
  • Tratar solo con los datos personales que necesitará en cada momento, en cada aplicación y no disponer de todos.
  • Aplicar las mejores medidas técnicas que garanticen la privacidad de los datos, por ejemplo, usar la seudonimización en caso de tratamientos de datos especiales o el cifrado para evitar robo de información en casos de brechas de seguridad.
  • Limitar correctamente los tiempos de uso de los datos personales, es decir, que cuando se haya acabado el período estipulado para un estudio o aplicación en el que se han necesitado dichos datos, estos deberían desaparecer, el estudio debería cerrarse.
• Supresión de la obligatoriedad de inscribir y notificar los ficheros de datos: Desde el 25 de mayo del 2018 ya no será necesario ni obligatorio notificar los ficheros de datos personales a la Agencia de protección de datos pertinente, el nuevo reglamento suprime esta obligatoriedad. Ahora, el peso recae sobre las organizaciones, ellas han de ser proactivas para garantizar que cumplen con el nuevo reglamento y en caso de auditoria o infracciones, poder demostrarlo.
• Registro de las actividades realizadas sobre los datos: Todas las organizaciones han de llevar al día una documentación de las diferentes actividades, procesos y transferencias (por ejemplo, datos del responsable, tipos de tratamientos, fechas límites, medidas técnicas tomadas…) que se realizan con los datos personales, solo quedan exentas aquellas organizaciones donde el número de empleados es menor de 250 y siempre que no traten con datos de categorías especiales. El registro de estas actividades recae más sobre la figura del encargado del tratamiento de los datos que sobre el responsable esto es algo bastante diferencial con respecto a la anterior normativa.
• Obligatoriedad de notificar violaciones de seguridad de los datos personales: Cuando la organización detecte que se ha cometido un acceso no autorizado a datos de carácter personal, está obligada a notificarlo a la autoridad de control, ha de hacerlo el responsable del tratamiento, y dispone de un plazo máximo de 72 horas desde el momento que ha verificado que realmente se ha producido esa violación.
• Delegado de protección de datos (DPO o DPD): Esta figura de la que tanto se habla como algo obligatorio en el nuevo reglamento, realmente no lo es, solo en determinados casos será obligatorio designar un DPO en la organización, esos casos son:
  • Cuando el tratamiento de datos personales lo realizan organismos o autoridades públicas, quedan exentos los tribunales.
  • Cuando se tratan datos personales a gran escala
  • Cuando se tratan datos personales a gran escala y de categorías especiales.

  Cuando la organización tenga un DPO, el responsable o el encargado del tratamiento publicarán sus datos de contacto y los comunicará a la autoridad de control. Las funciones obligatorias de un DPO serán:

  • Informar y asesorar al responsable o al encargado del tratamiento y a los empleados, que se ocupen del tratamiento, de las obligaciones que les incumben en virtud del Reglamento y de otras disposiciones de protección de datos de la Unión o de los Estados miembros.
  • Supervisar el cumplimiento del Reglamento, de otras disposiciones de protección de datos de la Unión o de los Estados miembros y de las políticas del responsable o del encargado del tratamiento en materia de protección de datos personales, incluida la asignación de responsabilidades, la concienciación y formación del personal que participa en las operaciones de tratamiento, y las auditorías correspondientes.
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto relativa a la protección de datos, así como supervisar su aplicación.
  • Cooperar con la autoridad de control.

• Derechos del usuario: Este es otro de los puntos en los que el nuevo reglamento ha realizado muchos cambios y que, creemos, son muy positivos para el usuario. Destacaremos los siguientes:
  • Derecho de estar bien informado: el nuevo reglamento exige que el organismo que vaya a hacer uso de los datos personales de un usuario le informe de una forma clara y concisa de todos los aspectos claves para él, ha de estar bien informado de que van a hacer con sus datos, quien los tratará, quien será el responsable, los derechos que tiene sobre ellos, etc. Ha de estar bien informado y así poder expresar explícitamente su consentimiento, no como antes que por defecto consentías y en caso de no querer es cuando tenías que especificarlo.
  • Derecho a la portabilidad: El usuario podrá pedir sus datos personales al responsable del tratamiento, éste se los deberá pasar en un formato estructurado, standard y podrá ser transferido de responsable a responsable si técnicamente es posible. Este derecho facilitará el traspaso de los datos entre redes sociales, por ejemplo, podríamos usarlo si queremos dejar de pertenecer a Facebook y pasar a G+, la primera tendría que facilitarnos toda la información sobre nosotros que tenga y pasársela a G+ para que estos puedan crearnos nuestro perfil y no tener que entrar todos los datos de cero.
  • Derecho al olvido: El usuario podrá pedir la supresión de sus datos personales al responsable del tratamiento y éste estará obligado a eliminarlos (lo antes posible) siempre que no haya algún impedimento legal explicito que lo impida.
  • Derecho a la limitación del tratamiento: El usuario puede pedir que se limite el uso de sus datos a ciertos tratamientos, lo puede solicitar en el caso de haber pedido rectificación u oposición de sus datos, en el caso de tratamiento ilícito de los datos (esto supondría borrarlos, peor el usuario no quiere), o en el caso de que el tratamiento ya haya acabado pero el usuario no quiere que se supriman porque los pueda necesitar para algún tipo de reclamación.
    Los derechos ARCO que ya se contemplaban en la LOPD siguen vigentes aquí, es decir los derechos al acceso a la información, a la rectificación de los datos, a la cancelación y a la oposición.
• Evaluación de impacto relativa a la protección de datos (PIA): Una evaluación de impacto relativa al tratamiento de datos personales no es obligatoria en el nuevo reglamento, salvo si esos tratamientos de datos están dentro de los siguientes escenarios:
  • Se está tratando con datos de categorías especiales a gran escala.
  • Se está evaluando sistemática y exhaustivamente aspectos personales de personas físicas que se basa en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar.
  • Se está observando sistemáticamente a gran escala una zona de acceso público.

Una evaluación de impacto consistirá en realizar un análisis de los riesgos que puedan producirse con los mecanismos utilizados en el tratamiento de los datos, es decir, analizar si los procesos automatizados, el almacenamiento, las políticas de backups, etc. cumplen las normativas del reglamento y no presentan puntos débiles que puedan comprometer el acceso no autorizado o la visibilidad de datos personales.

Finalmente indicar que el nuevo reglamento no habla explícitamente de que medidas de seguridad hay que aplicar para asegurar la protección de los datos, cosa que si estaba contemplada en la LOPD , indicaba medidas obligatorias a tomar dependiendo del tipo de dato a tratar. Aunque el nuevo reglamento no lo especifique explícitamente sí que indica que serán el responsable y el encargado de los datos los que apliquen las medidas técnicas adecuadas al tratamiento de los datos para evitar en la medida de lo posible los riesgos que pueda conllevar ese tratamiento.

En una próxima entrada en este blog comentaremos más a fondo este punto y ampliaremos también los relacionados con la evaluación de impactos y las penalizaciones por incumplimiento o violaciones.

Aprovechamos para informar que desde esCERT-UPC ofrecemos un conjunto de servicios orientados a la adecuación de los sistemas de información para el cumplimiento de dicho reglamiento.

Información adicional

• Reglamento de protección de datos
• Reglamento de protección de datos (català)
• Reglamento de protección de datos (english)
• Guía sobre portabilidad de datos
• Guía de evaluación de impacto