El nuevo GDPR impone unos derechos ampliados de los sujetos de datos, mayores restricciones a la toma de decisiones automáticas y a las transferencias internacionales de datos y nuevos procesos y responsabilidades organizativas.

Seguimos hablando del nuevo Reglamento General de Protección de Datos (GDPR), cuyo cumplimiento empezará a exigirse el 25 de mayo de 2018, y continuamos centrándonos en algunos de sus aspectos más relevantes y novedosos.

Derechos reforzados

El GDPR amplía los derechos de las personas sometidas al procesamiento de sus datos, que pasan a incorporar los siguientes:

  • Derecho de acceso: el sujeto tiene derecho a recibir, en un formato comprensible, una copia de sus datos recogidos y procesados, así como información completa sobre el procesamiento: propósito, categorías, destinatarios, plazos…
  • Derecho de rectificación: el sujeto podrá obtener la rectificación de los datos inexactos o incompletos que le conciernan.
  • Derecho de supresión (“derecho al olvido”): los sujetos de datos pueden solicitar al controlador el borrado de sus datos personales si el procesamiento continuado de esos datos no está justificado o si el sujeto ha revocado su consentimiento.
  • Derecho a limitar el procesamiento: en determinadas circunstancias los sujetos de datos no pueden requerir la supresión de sus datos pero sí limitar los propósitos para los cuales el controlador puede procesar esos datos.
  • Notificación a terceros en relación al ejercicio de la rectificación, la supresión o la limitación: el controlador debe notificar a cualquiera con quien haya compartido datos de un sujeto que éste ha ejercido los mencionados derechos.
  • Derecho de portabilidad de datos: bajo ciertas circunstancias los sujetos de datos tienen derecho a recibir una copia de sus datos personales en un formato comúnmente usado legible por una máquina y a transferir sus datos de un controlador a otro o a hacer que un controlador se lo transmita directamente a otro.
  • Derecho de oposición al procesamiento: los sujetos de datos tienen derecho a oponerse por motivos relacionados con su situación particular a que datos personales que les conciernan sean objeto de procesamiento basado en el interés público o el interés legítimo del controlador. Cuando el objeto del procesamiento es el marketing directo los sujetos de datos pueden oponerse en todo momento a dicho procesamiento, incluyendo el perfilado.

Datos Personales

Perfilado y decisiones automáticas

La redacción del GDPR hace difícil diferenciar entre actividades de perfilado y decisiones automáticas, ya que las suele mencionar conjuntamente. Sin embargo, son muy diferentes, y también lo son las condiciones para realizarlas legalmente. Un procesamiento puede catalogarse como “perfilado” cuando implica usar un proceso automático de datos personales para evaluar ciertos aspectos relacionados con una persona natural, en particular para analizar o predecir aspectos sobre su rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos.

Un tipo de procesamiento muy ligado al perfilado es la toma de decisiones automáticas, sin intervención humana, sobre las personas físicas: se pueden basar en el perfilado o en algún otro tipo de tratamiento automático. Y dentro de las decisiones automáticas merecen especial atención aquéllas que producen efectos jurídicos en la persona o le afecte significativamente de modo similar. Ejemplos de perfilado que no lleva a decisiones automáticas con efectos jurídicos o significativos serían el aplicado a la analítica web o a la presentación de publicidad enfocada; ejemplos de perfilado que sí lleva a decisiones automáticas con efectos jurídicos o significativos serían la concesión automática de una solicitud de crédito o los servicios de contratación laboral en red en los que no medie intervención humana alguna.

El GDPR establece que toda persona tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado que produzca efectos jurídicos en ella o le afecte significativamente de modo similar. Las excepciones son el consentimiento explícito, su necesidad para la celebración o ejecución de un contrato o que esté autorizada por el Derecho de la Unión o de los Estados.

El sujeto que se somete a perfilado y decisiones automáticas tiene derechos y recursos adicionales: el controlador debe informar al sujeto no solo de que va a tener lugar un perfilado, sino también de la lógica aplicada  y de las consecuencias previsibles de dicho procesamiento. Además, las decisiones automáticas no podrán basarse en categorías especiales de datos personales (p.ej., información racial o religiosa) salvo en contadas excepciones. En resumen, los sujetos tienen una serie de derechos con respecto al perfilado, algunos de los cuales –como los de aviso y acceso- requieren procesos similares a los de los procesos que no son de perfilado, pero otros -como el derecho a objetar y detener el perfilado o a evitar decisiones basadas en el perfilado- requerirán de atención y procesos especiales para su cumplimiento.

Transferencia de datos

Las transferencias internacionales de datos de carácter personal adquirieron una mayor relevancia pública tras las revelaciones de Edward Snowden y, sobre todo, con la sentencia del Tribunal de Justicia de la Unión Europea, de octubre de 2015, que invalidó la decisión de Safe Harbour de la Comisión Europea que consideraba que las entidades de EEUU adheridas a dicho sistema proporcionaban un nivel adecuado de protección. Esta sentencia dio lugar a que muchos responsables de ficheros adquirieran consciencia de que estaban realizando transferencias internacionales con motivo de la contratación de determinados servicios, fundamentalmente de cloud computing. Puerto Seguro fue sustituido por Privacy Shield como sistema para poder transmitir datos a los EEUU.

El RGPD establece que sólo se podrán transmitir datos a aquellos países, territorios, sectores u organismos internacionales respecto de los que la Comisión Europea haya considerado que disponen de un nivel adecuado de protección o, en otro caso, se aporten garantías suficientes (entre ellas, las normas corporativas vinculantes) o se den algunas de las circunstancias previstas como excepciones (consentimiento, ejecución de un contrato…), y siempre y cuando se observen los demás requisitos del Reglamento.

Registro de actividades de tratamiento

Excepto para pequeñas empresas y otras excepciones el GDPR requiere llevar un registro de actividades de tratamiento que sustituye a la notificación de ficheros a las autoridades de protección de datos. Este registro constará por escrito, inclusive en formato electrónico, y deberá ser puesto a disposición de la autoridad de control que lo solicite. Tanto en el caso de los controladores como de los procesadores el registro debe reflejar, entre otros, los datos de contacto, los fines, las categorías de tratamientos y las transferencias a terceros países.

Delegado de Protección de Datos

En determinadas circunstancias el GDPR exige a las organizaciones el nombramiento de un Delegado de Protección de Datos (Data Protection Officer), un puesto directivo relacionado con la seguridad corporativa y responsable de supervisar la estrategia de protección de datos y su implementación conforme a los requisitos del GDPR. Entre las funciones de estos delegados están asesorar a la compañía y a sus empleados sobre requisitos normativos importantes, formar al personal involucrado en el procesamiento de datos y realizar regularmente auditorías de seguridad. Los delegados sirven asimismo de punto de contacto entre la empresa y las autoridades de supervisión de las actividades relacionadas con los datos. Sean o no empleados directos de la organización, los delegados deben estar en condiciones de cumplir sus cometidos de manera independiente y rendir cuentas únicamente al más alto nivel jerárquico. No se define una capacitación mínima para desempeñar la función de Delegado de Protección de Datos, aunque su nombramiento se hará atendiendo a sus cualidades profesionales y, en particular, a sus conocimientos especializados del Derecho y la práctica en materia de protección de datos.

En el próximo post hablaremos de algunas medidas que se pueden tomar para asegurar el cumplimiento del GDPR en nuestra organización.

El post “El GDPR nos va a obligar a cambiar nuestra forma de hacer marketing (3)” se publicó primero en “Marketing & Innovación”.

[¿Quieres aprender a aplicar estas ideas en tu empresa? Nuestros talleres sobre Marketing estratégico para empresas tecnológicas y El nuevo marketing digital en mercados tecnológicos te pueden ayudar.]