El gran reto empresarial, cumplir con los requisitos del RGPD

Entrevista a Rodrigo González Ruíz,
Asociado Principal | IP & IT- Regulatory & Compliance
Deloitte Legal

Por Pedro A. Muñoz

Rodrigo González Ruíz. Asociado Principal | IP & IT- Regulatory & Compliance Deloitte Legal

Cuando en abril de 2016 se aprobó el Reglamento General de Protección de Datos (RGPD) de la UE, los diversos estados miembros comenzaron a trabajar en facilitar la adaptación  a  la nueva normativa cuyo propósito es reforzar la protección e integridad de los datos de los ciudadanos europeos, ya que afecta directamente y de  diversa forma a empresas que recopilan, procesan, almacenan y analizan datos de carácter personal.  Han sido casi dos años de arduo trabajo para el mundo empresarial, Por ello, ¿en qué situación estamos? ¿Hemos logrado los objetivos?

“Que las empresas españolas están enormemente preocupadas para cumplir el RGPD,  sí lo están, y han trabajando mucho y bien en este sentido. Es un tema que resulta difícil de cumplir totalmente dada la inseguridad jurídica que se genera al tener un proyecto de ley y sin contar aún con una norma en vigor en España. No es sencillo  cumplir con toda la regulación que pueda ser de aplicación en el reglamento europeo y además, la norma española, todo ello antes del próximo 25 de mayo, que es cuando el RGPD será de plena aplicación”.

“Desde el punto de vista puramente jurídico, por el momento conviven  tres normativas. Una, la Ley Orgánica de Protección de Datos española, actualmente en vigor; dos, su reglamente de desarrollo del año 2007; y tres, el Reglamente Europeo de Protección de Datos. Tres normas en vigor que en muchos aspectos y más allá de complementarse, pueden llegar a contradecirse” reflexiona Rodrigo  González Ruíz, Asociado Principal | IP & IT- Regulatory & Compliance de Deloitte Legal, durante una conversación con Datágora.

Datagora medio especializado en transición digital, smartcities, digitalización, recursos humanos, sostenibilidad y movilidad Centrándonos en España, ¿Cuál puede ser el impacto a corto en las organizaciones?  

*   El nuevo marco regulatorio del Reglamento Europeo tendrá mucha repercusión en la infraestructura de sistemas de tecnologías de la información en general, ya que todas las obligaciones jurídicas de la norma derivan casi siempre en implementaciones técnicas. Está la obligación de  recabar el consentimiento de los afectados para  tratar  datos con distintas finalidades y lograr una trazabilidad de ese consentimiento, esto implica que todo esto sea desarrollado nuevamente por los departamentos de TI de las distintas organizaciones o corporaciones. Ahora bien, el que haya nuevos derechos dentro de la norma o que los afectados puedan ejercerlos, exige una estrategia o forma de hacerlo desde un punto de vista técnico para que sean operativos.

Las medidas de seguridad no tasadas  en la normativa europea, sí lo estaban en la normativa española actual. En el reglamento europeo no figuran  las medidas de seguridad que deben aplicarse a los distintos tipos o actividades de tratamientos. Es decir, que deben derivar de unas evaluaciones de impacto cuando sea oportuno hacerlas, sin olvidar que la consecuencia de esa evaluación de impacto traerá como conclusión unas medidas de seguridad que, de nuevo, desde la parte de sistemas deben ser implementadas, desarrolladas y aplicadas.

Datagora medio especializado en transición digital, smartcities, digitalización, recursos humanos, sostenibilidad y movilidad ¿A qué se refiere concretamente? 

*    Al departamento de desarrollos informáticos de las distintas compañías, algunas de las cuales pueden afrontarlo de manera propia… Su propio Departamento de Informática, que ya está muy desarrollado, puede afrontar la implementación de todas estas modificaciones consecuencia de cambios normativos, que necesariamente traen como resultado desarrollos importantes.  Sin lugar a dudas, las grandes compañías españolas en el ámbito del sector retail, el sector financiero, sectores industriales…se supone que están precavidos sobre esta normativa, conocen sus consecuencias y particularmente lo que les atañe desde el punto de vista técnico.

Datagora medio especializado en transición digital, smartcities, digitalización, recursos humanos, sostenibilidad y movilidad Cuando habla de cambios normativos se referirá a cambios derivados de algún planteamiento anterior, no de norma aprobada…

*   Sí claro, del RGPD. En España teníamos un enfoque tradicional, unas normas propias de la Ley Orgánica de  Protección de Datos  además del reglamento español de desarrollo de la Ley Orgánica de Protección de Datos que al mismo tiempo derivaban de una directiva, pero lo habíamos transpuesto  aquí, de manera particular y propia. Así es que ya estaban las compañías muy acostumbradas a las auditorías en materias de protección de datos y a contar con  ciertas medidas de seguridad implantadas y enumeradas en la norma.

El nuevo Reglamento Europeo no enumera una serie de medidas de seguridad. Ofrece la posibilidad a cada uno de los responsables de tratamiento (llamado así desde el punto de vista técnico en materia de protección de datos), es decir, a quienes son responsables de tratamiento de datos de personas físicas determinar cuáles son las  medidas de seguridad que serán aplicadas a los distintos tratamientos.

Datagora medio especializado en transición digital, smartcities, digitalización, recursos humanos, sostenibilidad y movilidad Pero esas medidas de seguridad ya no están puestas, enumeradas 

*   No, no lo están. Por lo tanto los departamentos de sistemas junto con los expertos de protección de datos, deberán determinar cuáles son y cuando se determinen, implantar el programa. A partir de ahí ya entramos en el período de aplicación de dos años, que casi han transcurrido, no olvidemos que estamos a poco más de un mes de la fecha en que la normativa sea de plena aplicación. Durante este período hemos comprobado que los cambios o las implementaciones desde el punto de vista de infraestructura de tecnologías de la información, son muy sensibles y mucho más grandes de lo que en un principio podíamos prever. Aunque las compañías han trabajado muy seriamente en este ámbito, están preocupadas, ya que no queda mucho tiempo para poder llegar cuando los desarrollos de sistemas informáticos estén a punto, sin olvidar que todo esto ha llevado cierto tiempo, cierto trabajo, cierta planificación y ciertos recursos para poder sacarlos adelante.

Datagora medio especializado en transición digital, smartcities, digitalización, recursos humanos, sostenibilidad y movilidad Con los actuales sistemas de información que pueden relacionar datos aparentemente inconexos de innumerables fuentes, tal vez el problema estribe en su control  

*    El Reglamento se aplica a cualquier tratamiento de datos. Los hay muy concretos, los hay de poco volumen y poco sensibles…Por ejemplo, nombres y apellidos solo de contactos para gestionar comunicaciones. Nombres y apellidos de un cliente que pueda solicitar una información a través de una página Web. Nombres y apellidos y teléfono de contacto solo para una comunicación operativa en la página Web por una información que haya podido solicitar.

De ahí arrancan finalidades o tratamientos mucho más sensibles, como envío de comunicaciones comerciales solicitadas o no. Hay que verlas con cierto criterio y desde un enfoque garantista, en el sentido que la normativa de servicios de la sociedad de la información ya obliga a que exista un consentimiento expreso para recibir ese tipo de comunicaciones comerciales, salvo que tengas una relación previa con ese cliente y su comunicación comercial, ya sea de lo que tiene contratado o de producto similar o análogo. Es una excepción donde esto se permite, pero la norma general es que, salvo que sean expresamente consentidas, no se pueden enviar comunicaciones comerciales.

Rodrigo González Ruíz. Asociado Principal | IP & IT- Regulatory & Compliance Deloitte Legal
Rodrigo González Ruíz. Asociado Principal | IP & IT- Regulatory & Compliance Deloitte Legal

Datagora medio especializado en transición digital, smartcities, digitalización, recursos humanos, sostenibilidad y movilidad Con lo cual las estrategias de marketing en la red sufrirán fuertes impactos

*   Tendrán que adaptarse a los  requerimientos del reglamento europeo, que también exige un consentimiento expreso para el tratamiento de datos a través de seis bases legitimadoras para el tratamiento de cualquier dato. O tienes el consentimiento o es necesario para la ejecución de un contrato del que la persona física es parte. O se basa en un interés legítimo o en un interés vital del interesado. O una ley te obliga a tratar esos datos. O tienes la posibilidad de demostrar o de invocar que tú como empresa, como responsable, como compañía que comercializa productos, tienes un interés legítimo para realizar envío de comunicaciones comerciales de productos, iguales que los contratados por el cliente que tiene una expectativa de poder recibir o análogos o similares, de los cuales también tiene una expectativa de poder recibir…

Por tanto ahí se conjuga el marketing directo de esos productos, con el interés legítimo que tengo de poder enviar esas comunicaciones comerciales y no necesariamente – aunque en algunos casos sí – el consentimiento expreso nuevamente de todos los clientes. En temas de marketing y de envío de comunicaciones comerciales, habrá que ir valorando cada caso a caso para ver si tengo si tengo el suficiente consentimiento o si puedo utilizar una base legitimadora.

Datagora medio especializado en transición digital, smartcities, digitalización, recursos humanos, sostenibilidad y movilidad Otro sector que trabaja mucho con datos y consecuentemente con información es  la prensa. Sería interesante ver un poco hasta qué punto puede verse afectada

*   Se verá afectada  de igual modo. El RGPD se aplica en toda su estructura sobre los efectos de los tratamientos básicos de cualquier compañía, empleados, proveedores, etc., respecto a sus clientes. En prensa es lo mismo,  respecto al gran análisis de los datos de comportamiento de distintos perfiles de sus lectores o no. Pero hay un régimen muy particularizado de elaboración de perfiles en los afectados cuando sean encasillados, tengan consecuencias jurídicas o no. El tratamiento masivo de datos para encuadrar en perfiles, que una entidad de prensa o un medio de comunicación puede estar considerando valorar, debido a que es un enfoque novedoso, o una comunicación mucho más precisa, está muy regulado, lo que no estaba antes en la normativa europea, en el reglamento general. Ahí, el tema de perfilados no estaba regulado como tal.

Luego está el tratamiento de la información que es “pública” y que incluye las noticias, hay que seguir tratándolas con la misma delicadeza, cuando son actos públicos o notorios, no plantea problemas…Pero cuando una publicación, una noticia se entromete claramente en la intimidad… será como siempre. El balance del derecho a la información o a dar la información, esa lucha va a continuar. Lo que al final el RGPD viene es a defender en mayor medida el derecho a la protección de datos del artículo 18.4de la Constitución y también y de forma complementaria, la propia intimidad de la persona.

Datagora medio especializado en transición digital, smartcities, digitalización, recursos humanos, sostenibilidad y movilidad Con lo cual los departamentos de marketing deberán  afinar sus estrategias a la hora de perfilar posibles suscriptores, enviar gratuitamente ofertas para campañas, en fin… 

*   Así es. Un perfilado que tenga claramente efectos jurídicos frente a un afectado, al que se le pueda dar o no un contrato, permitir o no el acceso acierta información, en fin, que tenga efectos jurídicos de cualquier tipo, es lo más protegido por la nueva normativa. Pero en todo caso, la figura del perfilado en general, también es una de las cuestiones que se regula particularmente…

Precisando más, si como consecuencia del análisis de comportamiento de ciertos grupos de personas lo que ellos están buscando y quieren recibir, es un tratamiento  de este tipo. Entonces el impacto de la propia noticia, de la comunicación, de la revista…es mucho mayor si… lo que sucede es que ese tipo de análisis hay que hacerlo con todas las precauciones de la norma.

Datagora medio especializado en transición digital, smartcities, digitalización, recursos humanos, sostenibilidad y movilidad Hay otro tema que por razones obvias preocupa mucho. El caso de las sanciones económicas. Se habla de porcentajes elevados, diría que durísimas en muchos casos…

*   En efecto, las sanciones económicas son muy elevadas. Aquellas consideradas menos graves, por definirlas de algún modo, son hasta el 2% del volumen de negocio total anual global del ejercicio financiero anterior, que son las máximas de un volumen de negocio con un tope de 10 millones. Este nivel sube a un 4%  con un tope de 20 millones para las más graves. Estamos hablando en términos de máximas, pero desde luego son unos límites de sanciones muy elevados a los efectos de que realmente las compañías se sensibilicen y puedan dar cumplimiento al reglamento, a la normativa de protección de datos en general.

Datagora medio especializado en transición digital, smartcities, digitalización, recursos humanos, sostenibilidad y movilidad Si las empresas deben poder mostrar que están listas para cumplir con el nuevo reglamento antes del 25 de mayo de 2018. ¿Cómo pueden demostrar que están listas? ¿Qué al menos han cumplido con todo lo que está a su alcance?

*   Existen técnicas, procesos para demostrarlo. Tiene mucha implicación la parte técnica, pero también lo tiene la parte del modificar, el informar a los afectados adecuadamente, el obtener los consentimientos, en realizar cuando sean necesarias las evaluaciones de impacto…Son esos documentos que derivan de todo el proceso y donde el principio de “accountability” o de acercamiento de riesgo a una normativa se han aplicado, es donde se puede demostrar.

En el papel activo que tienen las compañías en ciertos supuestos, de nombrar a un delegado de protección de datos que evidencie que las compañías están realmente  cumpliendo adecuadamente con lo que dispone el reglamento, en formación, como asesores en el cumplimiento de esa norma, que sea un interlocutor válido con el supervisor español o con la agencia de control española (Agencia Española de Protección de Datos), y que hay fórmulas en los documentos derivados del cumplimiento del reglamento, en el inventario de actividades del tratamiento, en las evaluaciones de impacto…Ahí es donde se generan los modelos de gobierno, los modelos de gobierno corporativo, los procedimientos de ejercicio de los derechos que acabamos de comentar, los procedimientos de ejercicio de comunicación de brechas de seguridad, es decir la propia normativa da la oportunidad de poder emitir documentos, trabajados y bien valorados, que permiten demostrar el cumplimiento de lo dispuesto

Datagora medio especializado en transición digital, smartcities, digitalización, recursos humanos, sostenibilidad y movilidad También está el tema de los datos que personales que una persona cuelga y seguirá colgando en la red, como los datos que se piden para una operación, suscripción, consulta…

*  En el primer caso es responsabilidad tuya, siempre y cuando estés suficientemente informado de lo que se  hará con tus datos y cómo, qué período de retención tendrán esos datos, si se van a transferir a países que carecen de un nivel adecuado de protección como el recogido en el Reglamento Europeo. Concretando, debes saber claramente los derechos que tienes para modificar, acceder a esos datos, cancelarlos cuando sea oportuno, oponerte a algún tratamiento, o ejercer el nuevo derecho de portabilidad, ya que los vas a ofrecer o a dar voluntariamente muchas veces, aunque en otras será involuntariamente, por ejemplo a través de tu comportamiento, de las redes sociales o en los buscadores…. Son dos enfoques. Cuando voluntariamente algún responsable de tratamiento los recaba y tú se los ofreces o se los das, y/o los que se tratan de forma indirecta a tu comportamiento. Ambos enfoques ya los prevé también el Reglamento y nuestra norma actual también obligaba a informar adecuadamente a los afectados.

Es necesario informar de muchas más cosas. Por ejemplo, quien tratará los datos, cuál será la empresa, el responsable de datos, con qué finalidades, sobre qué base legitimadora, consentimiento, sustitución de contrato, un interés legítimo que prevalezca frente a tus derechos fundamentales, durante cuánto tiempo va a guardar esos datos, si los envío a un país donde no se ofrece un nivel adecuado de protección…  Todo eso debe figurar cuando se informe sobre los métodos, en su caso consentido o no consentido, pero estar informado de lo que se hace.

Lo mismo en elaboración de perfiles, en datos inferidos, en datos indirectamente proporcionales. En algún momento hay que informar a los afectados, permitir oponerse a esa elaboración de perfiles, a ese encasillamiento por comportamiento….. Al perfilado casi nunca lo van a hacer los responsables del departamento sino que derivará de lo que me dice el propio usuario. Volumen de compras, de sus gustos, de sus intereses, de sus visitas a partes de una página Web, de productos, de consultas… La norma es la misma, indiferentemente si se trata de grandes o pequeños volúmenes. Pero puede suceder en los grandes volúmenes, sobre todo cuando  la decisiones sobre estos se producen de manera automatizada sin que intervenga la mano humana se puede llegar a conclusiones erróneas sobre una persona física, sin que al final la mano humana intervenga para advertir que está equivocado…

Dejar respuesta

Please enter your comment!
Please enter your name here