Hemos llegado al acto final de nuestro viaje por las novedades del Reglamento general de protección de datos, que está por publicarse en el Diario Oficial de la Unión Europea. Recapitulemos el camino recorrido juntos:

  • hemos elaborado una panorámica de la nueva reforma;
  • nos adentramos en las novedades del texto de la ley, explorando los primeros cinco puntos esenciales;
  • hemos abierto un paréntesis para detenernos en dos puntos clave de la privacidad a nivel de empresa: la autorización y los perfiles, que también se ven afectados por la reforma.

Solo queda cerrar el círculo, entrando en los detalles de las últimas cinco novedades sustanciales de la reforma europea. Comencemos.

6) Menos burocracia, más sustancia: adiós a la notificación

Hasta hoy, quien llevaba a cabo ciertos tipos de tratamiento (de geolocalización, estudios genéticos, elaboración de perfiles, puntualidad de los pagos y otros tipos de tratamientos particularmente invasivos) tenía que notificar previamente de su actividad al Garante para la protección de los datos personales.

Con la reforma europea, que entrará en vigor en 2018, queda abolida la obligación de notificación al Garante. Considerada demasiado onerosa desde los puntos de vista administrativo y financiero – y nunca realmente eficaz -, la notificación será reemplazado por mecanismos y procedimientos que se centran en las operaciones de tratamiento que presentan riesgos potenciales para los derechos y libertades de los interesados, por su naturaleza, alcance o propósito.

Bajo la nueva regulación, es necesario evaluar el grado de impacto que tal tratamiento puede tener sobre la privacidad de los contactos.

7) Un nuevo protagonista: el Oficial de Privacidad de Datos

Preparémonos para una nueva figura clave para la privacidad de las empresas: nace el Oficial de Privacidad de Datos, también llamado responsable de la protección de los datos personales. Una figura obligatoria en los casos en que:

  • quien procesa los datos es una entidad pública;
  • la empresa procesa un volumen importante de datos personales;
  • la empresa procesa sistemáticamente datos sensibles o judiciales.

El Oficial de Privacidad de Datos, que puede ser un consultor externo a la empresa, debe cumplir con los requisitos de profesionalidad, independencia y autonomía de gasto, convirtiéndose en una especie de auditor interno de los procesos de tratamiento de los datos personales y en el referente para el Garante de la privacidad, la persona a contactar en caso de que la autoridad quiera obtener información u oponerse a determinadas actividades de tratamiento.

Los cometidos esenciales del Oficial de Privacidad de Datos son:

  • informar y aconsejar al titular o responsable del tratamiento en relación con las obligaciones derivadas del reglamento europeo;
  • velar por la implementación y aplicación de las políticas del titular o del responsable del tratamiento en materia de protección de datos personales, incluidas la atribución de responsabilidades, la formación del personal que participa en el tratamiento y las auditorías relacionadas;
  • comprobar la implementación y aplicación del reglamento europeo; la seguridad de los datos; la respuesta a las peticiones de los interesados en ejercer los derechos reconocidos por el reglamento;
  • garantizar la conservación de la documentación relacionada con los tratamientos efectuados por el titular;
  • comprobar que las violaciones de los datos personales sean documentadas, notificadas y comunicadas;
  • comprobar que el titular o el responsable del tratamiento lleven a cabo la evaluación del impacto de la protección de datos y soliciten la autorización o consulta previa en los casos previstos;
  • hacer de punto de contacto entre la empresa y el Garante;
  • comprobar que se lleven a término las demandas del Garante y, dentro de sus competencias, cooperar por iniciativa propia o a petición de la autoridad.

8) Privacidad por diseño, privacidad por defecto

La reforma introduce dos nuevos principios fundamentales: la privacidad por diseño y la privacidad por defecto.

Privacidad por diseño significa que la protección de los datos personales debe planearse y organizarse desde la fase proyectual de la recopilación de información: se hace así obligatorio disponer mecanismos de protección desde que se planifican las actividades y durante toda la gestión del ciclo de vida de los datos; es necesario analizar los flujos de datos vinculados a la actividad que se quiere efectuar, y adoptar criterios que lleven a un mínimo los riesgos del tratamiento y reduzcan la cantidad de datos tratados (lo que se denomina actividad de minimización de datos).

Se entiende como privacidad por defecto la obligación de prevenir la recopilación de datos no necesarios para los fines perseguidos: es necesario evitar la captación de informaciones más allá de los objetivos declarados en la nota informativa.

La privacidad deja de ser un mero requisito legal y se convierte en un elemento intrínseco del proceso de gestión de la información: esta es la verdadera esencia de la reforma, y quien no asuma el nuevo concepto está destinado a vagar en busca de un centro de gravedad permanente.

La privacidad por diseño y la privacidad por defecto se funden en un único precepto organizativo que resulta entonces la auténtica estrella polar en el camino hacia el correcto tratamiento de los datos.

9) La obligación de la autodenuncia de las violaciones

En otros países existe desde hace tiempo, y recibe el nombre de data breach notification («notificación de violación de datos personales»), es decir la obligación de señalar a las Autoridades las violaciones de datos personales ( «personal data breaches») , como la destrucción, pérdida, alteración, divulgación o acceso no autorizado, de manera accidental o ilícita, de los datos personales transmitidos, memorizados o procesados, comoquiera que sea.

Quien trata datos, en caso de violación, debe:

  • notificar lo sucedido a la autoridad de control en un plazo de 72 horas a partir de la violación;
  • señalarlo al directo interesado, sin demoras indebidas.

Este nuevo parámetro de seguridad empuja a las empresas a utilizar programas de software de monitoreo que señalen inmediatamente las violaciones, y a obtener las adecuadas coberturas de seguros para protegerse contra los denominados riesgos cibernéticos («cyber risk» ) , siempre en aumento.

10) Las sanciones de nueva generación

Con la reforma, las sanciones se hacen más rigurosas:

  • hasta 20 millones de euros para personas y empresas que no formen parte de grupos de sociedades;
  • hasta el 4% de la facturación total (consolidada) para los grupos de sociedades.

Se trata de un cambio de ritmo significativo, dictado por la voluntad de hacer mella en las grandes multinacionales que procesan datos en distintas áreas geográficas y tratan de identificar los paraísos legales del tratamiento de datos para evadir la ley, y vigilar su conducta.

Se cierra aquí nuestro viaje por el nuevo reglamento. Entre normativas, actualizaciones y noticias, esperamos haber ofrecido un completo cuadro de la reforma, un marco que te permita actualizar tus actividades de tratamiento de datos personales. ¿Tienes dudas o necesitas aclaraciones sobre la nueva ordenación? No dudes en escribirnos en el espacio para comentarios. Estaremos encantados de ayudarte.

¿Te gustó este artículo? Tenemos muchos otros para ti.

Te mantendremos actualizado sobre las citas de marketing digital.

Lee también

Cookies: reglas para el uso en relación con las normas sobre datos personales

Las cookies y la recolección de datos personales Las cookies son herramientas fundamentales para el funcionamiento de los sitios porque permiten gestionar algunas funciones esenciales (como ...

Sigue leyendo

Email marketing y privacidad: los cambios en el consentimiento y en la elaboración de perfiles

Nuestro viaje de exploración del nuevo Reglamento general de protección de datos personales prosigue centrándose ahora en dos pilares de la mercadotecnia por correo electrónico: el ...

Sigue leyendo

Email marketing y privacidad: el nuevo reglamento en 10 puntos

Se aproxima rápidamente la aprobación de la reforma europea que reescribirá profundamente las reglas para el uso de los datos personales. Si con la primera entrada ...

Sigue leyendo

La protección de los datos personales tiene un nuevo reglamento

El marketing por correo electrónico está en constante evolución, en sus estrategias y en la tecnología que lo respalda. Pero también están cambiando las leyes ...

Sigue leyendo