RGPD: Novedades en protección de datos para el sector TI

28/05/2018

Llegó la fecha y con ello llegó la revolución. Tras dos años desde la publicación del RGPD (Reglamento Europeo de Protección de Datos) de carácter personal, el 25 de mayo de 2018 ha llegado la implementación y entrada en vigor obligatoria del mismo.

Esto ha supuesto que en los últimos días no paremos de recibir correos electrónicos y avisos informándonos de cambios en las políticas de privacidad de las empresas, de nuestros clientes y nuestros proveedores, pero…

¿Qué cambios trae consigo realmente el Reglamento General de Protección de Datos de la Unión Europea para una empresa del sector TI?

El principal y más relevante es la finalización de la autorización tácita para el tratamiento de los datos de carácter personal. Hasta ahora, con incluir la típica cláusula en letra pequeña por la que se informaba de que los datos iban a ser incorporados a un determinado fichero con una determinada finalidad y que, salvo que se marcase una casilla, se haría de manera automática, era suficiente. Ahora, en cambio, esto no es válido.

Con el nuevo reglamento, el enfoque de la autorización tiene que ser radicalmente contrario. Ahora, no se informa al cedente de los datos de su incorporación, sino que se le pide a este que autorice dicha incorporación de datos al fichero y la finalidad de este, debiendo marcar la casilla para autorizar el uso de los datos, y no para rechazarlo como venía haciéndose hasta ahora.

Además, y, aunque en el ámbito tecnológico esta aceptación de la política de privacidad solía ser visible en los formularios, dicha casilla de aceptación ya no puede venir premarcada, sino que deberá ser el usuario quien voluntariamente la marque, aunque siempre podemos seguir indicando que es de cumplimentación obligatoria para continuar el proceso de registro en el servicio correspondiente, pues si su autorización al tratamiento de datos, no podrá tener acceso a las funcionalidades que se le ofrecen y, en consecuencia, no tendría sentido el registro o contratación.

Adicionalmente, el reglamento general de protección de datos de carácter personal ha incorporado otras modificaciones, como la incorporación como estos especialmente protegidos los relativos a datos genéticos y biométricos (¡Atención las empresas que utilizan sistemas de huella o retina para la identificación de los usuarios!) o la despenalización de no tener lo datos actualizados cuando el responsable ha hecho todo lo posible para que así sea.

De igual manera, se incorpora a los famosos, y ya consagrados en nuestro país, derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) un nuevo derecho: el derecho de potabilidad de los datos, mediante el cual será posible solicitar a una empresa que transfiera los datos de los que dispone a otra, sin tener que estar nosotros encargándonos de estas gestiones. Así, si nos cambiamos de proveedor de servicios, podremos requerir al antiguo proveedor que facilite la información de la que dispone de nosotros al nuevo sin tener que realizar complicados trámites y estando establecido como un derecho más que como una solicitud especial.

Esto para las empresas de tratamiento de datos puede ser, incluso, un interesante nicho de negocio. La información ha de facilitarse tratada al tercero a quien se porta y por ello se necesita de un sistema de tratamiento, almacenamiento y organización de la información que lo permite y, en el receptor, se requerirá igualmente de un sistema de importación de esa información, lo que implica el nacimiento de programas específicos para ello o, en su caso, la adaptación de los sistemas internos actuales para incorporar esta funcionalidad.

Otro elemento de gran relevancia dentro del mundo digital, de las nuevas empresas tecnológicas y de cualquier empresa que monetiza la información de los usuarios es, precisamente, recabar el consentimiento para dicha monetización de la información y finalidad. Es posible que cuando lanzamos un nuevo producto o servicio la intención sea una, pero en el desarrollo de la misma las funcionalidades o las funciones que nos permiten monetizar la información se multipliquen. Pues bien, cada vez que añadamos una finalidad especifica nueva para el uso de los datos de los usuarios, estos tendrán que aceptar dicha finalidad de forma expresa y, en consecuencia, notificarlo al usuario y pedirle que lo acepte, por lo que los abundantes avisos de actualización de políticas de privacidad que hemos experimentado en las últimas fechas puede convertirse en algo habitual cada vez que una empresa actualice sus sistemas o sus funcionalidades incorporando cuestiones que impliquen el tratamiento de datos.

Desde luego que la entrada en vigor del Reglamento General de Protección de Datos Personales ha supuesto una revolución en todos los sectores, pero especialmente en el tecnológico donde el tratamiento de datos es continuo, y la mayoría de las empresas están intentando actualizar sus procesos y sistemas a esta novedad de obligatoria implementación, lo que está conllevando, también por su parte, un auge en la formación en este ámbito así como un pico de trabajo en expertos en estas cuestiones.