Glosario de términos RGPD

El RGPD es un texto ambiguo y está lleno de áreas grises que podrían tener consecuencias de gran alcance para nuestra industria. Si bien muchos de los conceptos y principios del RGPD son parecidos a la norma actual (y por tanto, si estás cumpliendo ahora, es un muy buen punto de partida) el RGPD introduce nuevos elementos, que suponen nuevas obligaciones y nuevos retos. La fecha de aplicación del RGPD fue el 25 de mayo de 2018, y todavía hay muchas cuestiones en el aire. No obstante cada día van apareciendo nuevas orientaciones de las autoridades de control que facilitarán la labor de acometer las modificaciones necesarias en aras al cumplimiento de la nueva norma.

Con esta guía pretendemos ayudar en la ruta de cumplimiento. Es un documento dinámico, y se irá actualizando
con las nuevas orientaciones.

La Agencia Española de Protección de Datos tiene una sección con documentos, orientaciones y directrices que pueden ser de tu interés para adaptarte y entender mejor las novedades y consecuencias del RGPD. Puedes consultarla aquí. (link pendent están fent canvis)

Qué aporta Jibu?

1. Concienciación

El RGPD introduce importantes multas de hasta un 4% de la facturación global anual o 20 millones de euros-. Pero esta no es la única razón por la que los responsables de las organizaciones deben estar al tanto de la nueva norma. Algunos procesos – y quizás incluso productos- tendrán que cambiar como resultado de la aplicación del RGPD. Para muchos negocios en especial de publicidad digital, por vez primera será necesario cumplir con las normas de protección de datos.

2. Revisión y documentación de la ruta de cumplimiento en la Web

Uno de los pilares sobre los que se basa el RGPD es el “principio de responsabilidad proactiva”, siendo el hilo conductor de todo el RGPD. La clave para satisfacer este principio es documentar los tratamientos de datos personales que llevas a cabo e identificar las áreas de riesgo.

Este sería el primer paso por el que deberíamos empezar e implica hacer un inventario de todas las actividades de tratamiento que llevas a cabo en tu compañía.

Qué datos tienes
De dónde vienen
con quién los compartes.

Esto es importante no sólo para conocer con precisión qué datos estás tratando, sino también cómo los estás tratando. Además, el proceso de revisión puede revelar que algún tratamiento requiere precauciones adicionales (por ejemplo, si es de aplicación la disposición sobre elaboración de perfiles).

Elementos a documentar en tus tratamientos de datos

Todas las actividades de tratamientos de datos deben ser revisadas y documentadas identificando “cuando, por qué y quién” realizando un análisis de riesgo en cada tratamiento. También incluye los datos de empleados. A modo de ejemplo, algunas de las preguntas que tenemos que hacernos son las siguientes:

¿Qué información doy en la recogida de datos?
¿Dónde, cuándo y por qué trato los datos?
¿Tengo un fundamento jurídico para tratarlos?,
¿Estoy aplicando los principios del tratamiento de datos?
¿Qué datos se anonimizan, qué datos se seudonimizan?
¿Por cuánto tiempo almaceno estos datos?
¿Con quién comparto estos datos?
¿Cuál es el nivel de riesgo por tratamiento?
¿En qué casos soy el responsable del tratamiento, el encargado o comparto la responsabilidad?
¿Estoy tratando los datos por razones de seguridad?
¿Estoy transfiriendo datos fuera de la UE?
¿Pido el consentimiento solo para mi empresa o para terceros?
¿He revisado y documentado los procesos de seguridad?

Según el RGPD, las violaciones de seguridad de los datos deben ser notificadas a la Autoridad de Protección de Datos dentro de las 72 horas siguientes a la infracción. Si todavía no tienes un plan para esto, es necesario crearlo. Considera la posibilidad de crear una plantilla para enviar esta información.

Recuerda que la definición de datos personales incluidos en el RGPD incluye también el “número de identificación, datos de localización, un identificador en línea”.

Esto es importante porque algunos elementos que se utilizan en la práctica en publicidad digital y a los que actualmente no se aplicaba la legislación de protección de datos, ahora entrarán dentro del ámbito de aplicación de la normativa. Los identificadores únicos (por ejemplo, ID de cookie o ID de publicidad) pasan a ser datos de carácter personal..

Legitimación para tratar datos personales

El tratamiento de datos sólo es lícito si se cuenta con una base legal adecuada. El RGPD ofrece seis alternativas:

  • Consentimiento
  • Contratos
  • Cumplimiento de obligación legal
  • Proteger los intereses vitales de una persona
  • Interés público
  • Interés legítimo

Las dos bases jurídicas más utilizadas en la publicidad digital son el consentimiento y el interés legítimo. Como tal, piensa en las diversas formas en que tratas los datos e identifica cuál es la base jurídica que mejor se adapta a los tipos de tratamientos que llevas a cabo.

En algunos casos, puede resultarte útil utilizar una combinación de consentimiento e interés legítimo, dependiendo del tipo de tratamiento que desees realizar o si deseas tratar los datos para fines distintos a los inicialmente previstos.

Es importante recordar que bajo la actual Directiva ePrivacy, transpuesta a la LSSI, es necesario solicitar el consentimiento para acceder y/o almacenar información en el dispositivo de un usuario. La Unión Europea está redactando actualmente un Reglamento que viene a sustituir la Directiva sobre ePrivacy, que puede dar lugar a algunos cambios en esos requisitos.

Consentimiento

El consentimiento desempeña un papel fundamental en el RGPD. Sin embargo, el consentimiento es, como hemos visto, sólo una de las seis bases jurídicas de las que disponen las empresas para tratar los datos personales en algunos casos no es el fundamento jurídico más adecuado.

El RGPD refuerza las condiciones de consentimiento en comparación con la LOPD. El consentimiento tiene que ser libre, específico, informado e inequívoco. Y el consentimiento debe de consistir en una declaración o una clara acción afirmativa, no admitiéndose por tanto el consentimiento tácito. Este es un cambio importante que introduce el RGPD. En algunos casos, el consentimiento habrá de ser explícito, como sucede si el responsable trata los datos para para elaborar perfiles, si trata datos sensibles o si realiza transferencias internacionales de datos. El RGPD establece que el interesado tendrá derecho a retirar su consentimiento en cualquier momento. Para obtener el consentimiento se pueden usar casillas, pero el RGPD establece que las casillas premarcadas o la simple inacción no constituyen una forma válida de prestar el consentimiento. Además, cuando se vayan a utilizar los datos para varias finalidades, se
tendrá que recabar el consentimiento para todas ellas.

Si usas el consentimiento como base legal es fundamental poder demostrar que lo has obtenido de forma legal y especialmente si otra organización obtiene el consentimiento en tu nombre.

Seudonimización

El RGPD recoge un concepto nuevo, el de seudonimización. La seudonimización es un proceso al que sometemos los datos, por ejemplo, encriptación o hashing, para garantizar que estos ya no están directamente vinculados a un individuo. Los datos personales que no tengan detalles de identificación directa también podrían ser seudónimos en origen. Por ejemplo, un ID de cookie aleatorio que permite que un usuario sea reconocido, pero no identificado directamente.En cualquier caso, es fundamental tener en cuenta que el RGPD establece que los datos seudonimizados siguen siendo datos personales, y, por tanto, será necesaria una legitimación para tratarlos.

Dicho esto, existen beneficios en la seudonimización como medida de privacidad y seguridad, ya que las empresas que seudonimicen los datos, y esta identificación no se pueda revertir (es decir, no se puede reidentificar al interesado) no tienen que cumplir con algunas de las obligaciones del RGPD (por ejemplo, los derechos de los individuos). La seudonimización también puede ayudar a la hora de ponderar nuestro interés legítimo con los intereses y derechos de los afectados, si elegimos esta opción como base para el tratamiento de datos.

Políticas de Privacidad

La transparencia es otro elemento fundamental del RGPD y requiere diferentes niveles de detalle dependiendo de si se obtienen los datos directamente del individuo o no . En todos los casos, el aviso deberá ser conciso, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo. También tendrá que incluir la base de legitimación que habilita el tratamiento y explicar cuál es el interés legítimo en el que amparamos el tratamiento de datos personales, si optamos por utilizar esta base legal.

Elaboración de perfiles

El RGPD recoge el concepto de “elaboración de perfiles” y establece que sólo se podrá llevar a cabo bajo determinadas circunstancias. En ese sentido, establece el derecho de los individuos a “no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar”. El RGPD, como venimos diciendo, establece una serie de bases de legitimaciones para la elaboración de tales perfiles (si lo autoriza una ley, por ejemplo, para fines de prevención de fraude, si es necesario para la ejecución de un contrato entre el interesado y un responsable del tratamiento, o cuando el interesado haya dado su consentimiento, que debe ser explícito) y siempre se debe dar al usuario la posibilidad de oponerse. Respecto a la elaboración de perfiles, el RGPD establece además que se debe prestar atención en evitar posibles consecuencias discriminatorias que puedan surgir debido a criterios sensibles, como raza u origen étnico, opiniones políticas o creencias religiosas, estado de salud u orientación sexual. En cuanto a las obligaciones del responsable, es necesario informar sobre la elaboración de perfiles, la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.

Además, en el caso de que lleves a cabo elaboración de perfiles, es necesario llevar a cabo una Evaluación de Impacto de Protección de datos.

Derechos

El RGPD otorga al titular de los datos una serie de derechos. Estos son:
• El derecho a ser informado
• El derecho de acceso
• El derecho de rectificación
• El derecho a supresión (derecho al olvido)
• El derecho a la limitación del tratamiento
• El derecho a la portabilidad de datos
• El derecho de oposición (derecho a la exclusión voluntaria)
• El derecho a no someterse a la toma de decisiones automatizadas, incluyendo la elaboración de perfiles.

Es necesario que revises todos los procesos para asegurarte de que puedes responder adecuadamente a las solicitudes que puedas recibir. Y recuerda que si seudonimizas los datos, y esta re-identificación no es reversible, se reducirán las obligaciones de dar lugar los derechos de acceso, rectificación, cancelación, limitación del tratamiento y portabilidad, siempre y cuando el individuo no proporcione activamente información adicional para que se le pueda identificar.

Delegado de Protección de Datos

El RGPD estipula que uno de los criterios para decidir si es necesario designar un delegado de protección de datos es cuando “las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala”.

Si esto se aplica a tu empresa, tienes que nombrar a alguien con la responsabilidad de su cumplimiento RGPD. También tendrás que pensar en qué parte de la estructura empresarial se ajusta este perfil. Para ayudar en este tema, las autoridades europeas de protección de datos han aprobado un documento con Directrices sobre el rol del Delegado de Protección de Datos.

El delegado de protección de datos puede ser desempeñada por un empleado o por una persona externa. Además, el RGPD establece que un grupo de empresas pueden designar un DPD siempre que sea fácilmente accesible desde cada empresa. El DPD tiene una protección especial respecto a su empleador, y la organización no puede instruirle sobre cómo llevar a cabo su trabajo.