El nuevo GDPR se basa en unos principios mucho más exigentes en cuanto a la protección de los sujetos de datos, especialmente en la necesidad de que el consentimiento para su tratamiento sea totalmente libre, informado, explícito y demostrable.

Seguimos hablando del nuevo Reglamento General de Protección de Datos (GDPR), cuyo cumplimiento empezará a exigirse el 25 de mayo de 2018, en este caso centrándonos en algunos de sus aspectos más relevantes y novedosos.

Controlador y procesador

El reglamento distingue entre los papeles del controlador y el procesador de datos. El controlador (“responsable del tratamiento”) es la persona natural o jurídica, autoridad pública, agencia u otra organización que determina, solo o conjuntamente con otros, el propósito (los objetivos que se persiguen) del procesamiento de datos y los métodos (para recoger y procesar) que se van a usar en dicho procesamiento. El procesador (“encargado del tratamiento”) es la persona natural o jurídica, autoridad pública, agencia u otra organización que procesa datos personales en nombre del controlador.

Protección Datos PersonalesSi eres un procesador el GDPR te impone obligaciones legales específicas: por ejemplo, estás obligado a mantener registros de datos personales y actividades de procesamiento y tendrás responsabilidad legal si eres responsable de una violación de datos.

Sin embargo, si eres un controlador, aunque esté involucrado un procesador no estás liberado de tus obligaciones. El GDPR te impone deberes adicionales para asegurar que tus contratos con los procesadores cumplen con el GDPR.

El GDPR refuerza el principio de transparencia y el deber de información respecto a los individuos cuyos datos se recogen y procesan. Como controlador del procesamiento, estás obligado en todos los casos a proporcionar a esos individuos información clara, precisa, inteligible y accesible relacionada en particular con los métodos y el propósito del procesamiento, junto con sus derechos y sus posibilidades para reclamar. Así  que deberías tener cuidado de incluir toda esta información en tu Política de Privacidad, que debe ser también fácilmente accesible en todo momento. Finalmente, cualquier individuo debería podar contactarte eficazmente en relación a cualquier pregunta o queja.

Pertinencia y minimización

El GDPR trata de limitar el impacto del procesamiento de datos, imponiendo (a) que estos sólo pueden ser recogidos y tratados  con unos fines determinados, explícitos y legítimos; (b) restringiendo los datos que pueden ser tratados a aquéllos que son estrictamente necesarios en relación a dichos fines y (c) limitando el plazo de conservación de los datos al necesario para los mencionados fines.

Un consentimiento más exigente

El consentimiento sigue siendo una de las circunstancias en las que se permite el tratamiento de datos personales bajo la GDPR; sin embargo, la definición de consentimiento se restringe significativamente. Esto limitará a quién podemos enviar mensajes (por ejemplo, vía email) y de quién hacemos seguimiento (en nuestras propiedades digitales). Si bien hasta ahora se permitía a los controladores aprovechar un consentimiento implícito y de “opt-out” en algunas circunstancias, la GDPR requiere que el sujeto de los datos exprese su acuerdo mediante una afirmación o una acción explícita realizada libremente, específica, informada y no ambigua.

Como consecuencia, opciones como el silencio, las casillas premarcadas o la inactividad se presumen inadecuadas para otorgar consentimiento. El consentimiento debe ser específico para las operaciones de procesamiento y el controlador no puede solicitar un consentimiento abierto o de “cheque en blanco” para dar cobertura a futuros procesamientos. El consentimiento debe cubrir todas las actividades de procesamiento llevadas a cabo con un mismo propósito y si el procesamiento tuviera diversos propósitos debería otorgarse consentimiento para todos ellos.

Asimismo la nueva regulación mantiene unos requisitos diferentes de procesamiento para ciertas categorías especiales de datos personales, particularmente sensibles en relación al ejercicio de derechos y libertados individuales. También el GDPR introduce restricciones a la capacidad de los menores para consentir el procesamiento de sus datos sin contar con autorización paterna.

Finalmente, el individuo debe poder retirar su consentimiento en cualquier momento, y hacerlo tan fácilmente como lo otorgó. Y por supuesto, esta retirada no tiene efecto sobre la legalidad de cualquier operación de procesamiento que estuviera basada en un consentimiento otorgado con anterioridad a esta retirada (en otras palabras, la retirada de consentimiento no tiene efectos retroactivos).

Cuando el procesamiento está basado en el consentimiento el controlador deberá poder demostrar en todo momento que el sujeto de datos ha consentido el procesamiento de de sus datos personales. Esta prueba de consentimiento debe comprender tres elementos: la identidad del sujeto de datos, el momento en el que dio su consentimiento y el propósito para el cual se dio.

Responsabilidad proactiva

Del mismo modo que “no basta que la mujer del César sea honesta, también tiene que parecerlo” el GDPR impone que el controlador no sólo será responsable del cumplimiento de éste, sino que además deber ser capaz de demostrarlo. Para ello deberá establecer procedimientos y controles diseñados efectivamente para implementar este cumplimiento. “No incumplir”, en el sentido de no llegar a realizar un tratamiento prohibido sobre datos, ya no es suficiente. Unos procesos defectuosos que pueden dar lugar a tratamientos prohibidos, aunque no se hayan ejecutado efectivamente sobre ningún dato, ya constituyen un incumplimiento.

Información y transparencia

Tanto si los datos relacionados con un sujeto son recogidos directamente del mismo sujeto como si no, el controlador le proporcionará información exacta y completa sobre todos los aspectos relevantes, entre otros:

  • La identidad y los detalles de contacto del controlador y, cuando sea aplicable, del representante del controlador.
  • Los detalles de contacto del Delegado de Protección de Datos (Data Protection Officer), cuando sea aplicable.
  • El propósito del procesamiento al cual se destinan los datos, así como la base legal para ese procesamiento.
  • Los destinatarios o las categorías de destinatarios de los datos personales.

Un tema polémico: empresarios individuales y personas de contacto en empresas

El GDPR cambia la consideración del tratamiento de datos personales de empresarios individuales y de personas de contacto en empresas, que hasta ahora quedaban fuera del ámbito de protección de las leyes vigentes. Por un lado el nuevo reglamento explica que no regula el tratamiento de datos personales relativos a personas jurídicas y en particular a empresas constituidas como personas jurídicas, incluido el nombre y la forma de la persona jurídica y sus datos de contacto (aunque no aclara si estos datos de contacto pueden ser de personas).

Sin embargo, por otro lado el Anteproyecto de Ley Orgánica de Protección de Datos (en trámite parlamentario) establece sobre los datos tanto de personas físicas que prestan sus servicios en una persona jurídica como de empresarios individuales, que si el tratamiento se refiera únicamente a los mínimos datos imprescindibles y si la finalidad del tratamiento es únicamente mantener relaciones de cualquier índole con la persona jurídica, dicho tratamiento será lícito si es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero. En conclusión, si este extremo del Anteproyecto resulta finalmente aprobado no será necesario recurrir al consentimiento para tratar datos de empresarios individuales y personas de contacto en empresas.

En el próximo post seguiremos hablando de algunas novedades del GDPR.

El post “El GDPR nos va a obligar a cambiar nuestra forma de hacer marketing (2)” se publicó primero en “Marketing & Innovación”.

[¿Quieres aprender a aplicar estas ideas en tu empresa? Nuestros talleres sobre Marketing estratégico para empresas tecnológicas y El nuevo marketing digital en mercados tecnológicos te pueden ayudar.]

Anuncios