RGPD – Límites y Retos en la Gestión de Datos Personales

La gestión de los datos personales, hace tiempo que dejó de limitarse al almacenamiento y explotación de un CRM o una base de datos con información de clientes y posibles clientes, trabajadores, contactos, etc. En este encuentro NWC10Lab tendremos la oportunidad de aprender y debatir sobre normativa, obligaciones, derechos con José Manuel Sanz.

 

A día de hoy, los elementos donde se manejan datos personales son tantos que casi escapan a nuestra imaginación: desde un pulsera marcapasos hasta un robot aspirador. Todo estos dispositivos no hacen otra cosa que almacenar y gestionar datos personales para poder ofrecernos un mejor servicio. Por eso, los retos a los que se enfrentan los usuarios a la hora de proteger su privacidad, han crecido de forma exponencial.

La sesión busca presentar a los asistentes la realidad del nuevo marco normativo en materia de protección de datos y como afecta a las empresas. En concreto, se busca analizar los tratamientos de datos que se realizan en las empresas y ver si estos son los adecuados o si realmente están recopilando más información de la necesaria.

A través de algunos ejemplos, se intentará que los asistentes tengan una primera aproximación a los conceptos de datos pertinentes y datos excesivos, que son fundamentales en el nuevo marco normativo. Otro concepto interesante y que se han de conocer es la limitación del tratamiento, que implica determinar cuando la información recopilada deja de ser útil.

Contenido de la sesión sobre RGPD y Datos Personales

  • Presentación
  • Marco normativo general
  • Obligaciones para las empresas
  • Derechos de las personas
  • Limitaciones del tratamiento; que datos se pueden recoger; cuando son excesivos
  • Ejemplos: datos para MK, datos biométricos, datos de menores, otros ejemplos
  • Preguntas/debate/otros ponentes

Sobre José Manuel Sanz

José Manuel Sanz es ingeniero informático y consultor en materia de privacidad desde el año 2000, tanto en administración pública como en empresas privadas. Auditor Interno ISO 9001-2015 certificado por Bureau Veritas. Participante en diversos proyectos formativos relacionados con la privacidad, como profesor en el master de MK Digital de diversas escuelas de negocio tanto en Barcelona (Instituto Internacional de Marketing) como Valencia (IEMB).

Resiliente Digital

¿Qué es el RGPD y en qué consiste?

En este meetup analizamos el Marco Normativo, llamado realmente LOPDGDD (Ley de Protección de Datos y Garantía de los Derechos Digitales) que da cobertura al reglamento RGPD (Reglamento General de Protección de Datos) de la Comunidad Europea.

¿Cómo apareció el RGPD?

El 5 de diciembre del año pasado, en pleno puente de la constitución, apareció en el BOE la ley, que vino a dar sentido a lo que el reglamento decía.

El Reglamento General de Protección de Datos (RGPD) viene a sustituir una directiva del año 96 que regía los criterios básicos para adecuar las estructuras de la información a la privacidad.

Marco normativo de la RGPD

Marco normativo de la RGPD

7 problemas que amenazan a todas las empresas

¿Cuántos países están sometidos al RGPD?

Ahora hay 28 países que tienen que someterse a este reglamento y se dieron 2 años de plazo, pero no fue suficiente.

La ley lo que ha hecho ha sido clonar el reglamento y sin pararse realmente a ver si se puede aplicar a nuestra realidad como país.

Otros aspectos de la LOPDGDD (Ley de Protección de Datos y Garantía de los Derechos Digitales) para España

También en el ámbito nacional tenemos la Ley de Servicio LSSICE (Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico, que regula el comercio electrónico y nos afecta por el famoso spam. Esta ley lo regula, del año 2002.

¿Qué regula el RGPD?

Derechos de las personas

Derechos de las Personas en el RGPD

Derechos de las Personas en el RGPD

Derecho de Acceso

La norma regula los derechos que tenemos como personas físicas. Son derechos personales, que no se nos pueden arrebatar, como el derecho de acceso. Podemos ir a cualquier empresa para preguntar qué sabe una empresa sobre nosotros. Podemos preguntar a cualquier empresa.

Derecho de Rectificación

Si nuestros datos están mal referenciados o registrados, podemos contactar con la empresa para que los modifique según indiquemos.

Derecho de cancelación

Que nos den de baja y borren nuestros registros de las bases de datos que tenga la empresa.

Derecho de oposición

Derecho que tenemos de oponernos a una parte del uso de los datos, es decir, que si la empresa decide usarlos o explotarlos de alguna manera, nosotros podemos negarnos a ello y salirnos de sus registros. Por ejemplo, cuando decimos que no queremos que nos envíen publicidad.

Novedades que se han incluído en el RGPD

Derecho a la limitación del tratamiento

Es decir, cuánto tiempo vamos a almacenar la información. Esto presenta un problema, por ejemplo si presentamos un presupuesto, puede ser válido, pero tenemos que definir claramente cuánto tiempo vamos a retener la información de los usuarios.

Derecho al Olvido

Hace 3 o 4 años se empearon a mover gente para que se borrara en Google los datos con alguna imagen de peripecias sociales o personales antiguas, y queremos que las borrasen.

Derecho a la portabilidad

Derecho a cambiar de proveedor cualquier servicio de forma transparente e imediata. Por eemplo, si cambiamos de proveedor de gestoría, impuestos, etc. Es similar a lo que hacemos con nuestro servicio de telefonía, pero para todo tipo de servicios.

Principios del tratamiento RGPD y Novedades

Principios del Tratamiento de Datos Personales en el RGPD

Principios del Tratamiento de Datos Personales en el RGPD

Son una guía de cómo usar la infrmación y qué hemos de tener en cuenta. Tenemos que tratar los datos de forma lícita, transparente.

También es importante tener en cuenta la Limitación de Finalidades: Muy importante, sin información no hay consentimiento. Necesitamos el SI efectivo y SER CAPAZ de demostrarlo.

Hasta ahora la LOPD decía que teníamos que informar (tratar datos, mandarte publicidad, etc.. y el usuario daba el OK), pero AHORA NO, ahora tenemos que ser mucho más granulares, pidiendo permiso POR SEPARADO. No podemos decir cosas genéricas como “voy a tratar tus datos para DARTE SERVICIO”.

Minimización de los datos

Usar los mínimos datos necesarios. Si necesitamos nombre, DNI y Email, no podemos pedir ningún datos más extra.

Actualización

Que puedan actualizar su información con un procesimiento sencilo.

Limitación de tratamiento

Analizar qué información tenemos y durante cuánto la manejamos REALMENTE.

Integridad

Respetar que los datos sean válidos en todo momento, que estén gestionados por quien tiene que estar gestionado y no tener varias copias de lo mismo (en diferentes soportes).

Responsabilidad Proactiva

Aunque sea una redundancia, como profesionales debemos establecer medidas de seguridad, qué voy a vigilar y cómo. Y de nada vale montar una estructura de seguridad complejísima sin que los uusarios o empleados sepan usarla.

¿Qué obligaciones tienen las empresas frente a la RGPD?

Obligaciones de las Empresas frente al RGPD

Obligaciones de las Empresas frente al RGPD

Registro de Actividad de Tratamiento

Ha venido a sustituir el registro ante la APD. Ahora es un registro interno y que cada empresa almacena en su entidad, definiendo qué datos tiene, quién accede, etc.

Legitimación del tratamiento

Hay unos supuestos de si puedo tocar la información, quién lo puede hacer. Si se publican, quién lo publica. Cuando hay un consentimiento por parte de un usuario, etc. Siempre hay que justificar el uso y tener el consentimiento.

Información y Consentimieno

Si no hay información, no puede haber consentimienot ni podemos recoger ningún dato.

Análisis de Riesgos

Tenemos la obligación de ahcerlo, en qué situaciones podemos tener un leak de la información, datos de RRHH, de clientes, de proveedores, de posibles contactos del comercial que visita empresas, de videocámaras, de huella digital, De cada uno de esos tipos de tratamiento hay que hacer un análisis y cómo puede influir una incidencia.

Privacidad desde el diseño

Si la empresa va creciendo, y abrimos un departamento nuevo, primero sentarnos a ver cómo la vamos a maneras, qué sistemas vamos a usar, quién tendrá acceso, etc. Cada proyecto nuevo tiene que tener su apartado estudiando esto. Debemos hacer el diseño antes de empezar a trabajar.

Control de Proveedores

Ahora los proveedores deben darnos garantías por escrito que manejan la información como, mínimo, como lo hacemos nosotros.

La Figura del DPD – Delegado de Protección de Datos

Es una figura que se queda entre la entidad de la empresa, la entidad de control y el uusario. Media cuando hay incidencias o mira que se cumpla la ley.

¿Qué empresas están obligadas a tener un delegado de protección de datos?

Curiosamente el reglamento trazaba 3 escenarios:

  • Entidades públicas
  • Entidades de más de 250 trabajadaores
  • Empresa que traten datos de forma masiva, sin especificar.

La Ley propone 16 escenarios, y añade salud, colegios, universidades, empresas de seguridad, etc.

Evaluación de Impacto

Análisis de riesgo que se hace cuando los derechos fundamentales del usuario se pueden por un problema de los datos…. Derecho como libertad, detc… derechos fundamentales….aplican más para las empresas de salud.

Escenarios de Riesgo de la RGPD

  • 46,42 millones de población en España
  • 54,44 líneas móviles
  • 42,96 dispositivos conectados a internet

La información ya no es sólo en el móvil, está en los dispositivos.

Problemas Potenciales de la RGPD

Exiten multitud de problemas potenciales a la hora de aplicar el reglamento y aquí te listamos algunos de los más comunes:

Aplicaciones de Salud y Deportivas

Por ejemplo para los que hacen deporte. Cuando compartes la ruta y la carrera en redes sociales. Compartimos ubicaciones y horarios. Como un caso en NY donde una corredora murió en un parque. Apple con una App que te hace un electrocardiograma, etc….

Geolocalización de vehículos y personas

La geolocalización debe pasar por aprobación previa del usuario. Telepizza quería poner un proyecto para que los licentes pudieran saber en qué sitio estaba la moto del envío. Al señor de Telepizza se le ocurrió que decirle a los trabajadores, de pedirle el movil, instalar la aplicaición, los sindicatos denunciarios y la Audiencia Nacional determinó que era una vulneración del derecho fundamental y se estralimitaba del control laboral. Si la empresa hubiese dado un móvil con un contrato firmado, se podría haber hecho.

Datos Biométricos

Ahora la ley obliga a controlar cuándo entra y sale el empleado. El reglamento dice que los datos biométricos, que son especialmente sensibles, no se pueden gestionar a no se que haya consentimiento expreso por parte del usuario. El problema es que , cuando hay consentimeinto , reqieren evaluación de impacto y si se produce un problema, se pueden ver afectados los derechos fundamentales de la persona. Por ejemplo un hack de un dato biométrico en una puerta de entrada puede después dar acceso a un banco.

Esto es muy importante porque la huella no es una contraseña, es un identificador. La huella no se puede cambiar cada tres meses. Cualquier patrón para acceder a un dispositivo no es una contraseña, es un identificador de usuario. Se necesitaría adiciolamente una validación con una contraseña o código adicional.

Dispotivos conectados

Electrodomésticos, Televisiones, Juguetes

¿Cómo asegurarnos que los Formularios de Contacto cumplen con la RGPD?

Estas serían las directrices para que nuestros formularios de contacto cumplan con la RGPD:

  • No debemos pedir datos de más.
  • Explicar cómo se almacena la información, quién tiene acceso.
  • Explicar qué se hace con esos datos
  • Documentar el flujo de la información
  • Explicar para qué se usan
  • Y cuánto tiempo los vamos a mantener.

Blockchain y RGPD

Puede parecer muy interesante que Blockchain tiene integridad, pero no permite borrar datos. Se podría hacer un hash encriptado y subirlo a la red, pero…nuevos problemas aparecen.

Servicios de Marca Blanca

Por ejemplo, cuando contratamos un servicio, no podemos decir que es la aplicaicón la responsable del uso de los datos. La herramienta garantiza disponibilidad, pero debe de gerenciar los datos. Este es el caso de servicios como Mailchimp, etc.

Escribir correctamente las Políticas de Privacidad de nuestro sitio Web

Artículo 19 de la nueva LOPD rige para profesionales, contacto de profesionales y personas físicas relacionadas con personas jurídicas y habla sobre la Comunicación Electrónica no Comercial

Resumen

Como ves, hay muchísimos retos e incógnitas todavía y no han comenzado las sanciones o multas a nivel masivo, pero tenemos unas líneas generales para pensar en todos los procesos de nuestras empresas y cómo poder cumplir con la ley de una manera práctica en nuestro día a día.

Déjanos tu comentario:

comentarios

Marketing Automation