Upload File

el nuevo reglamento general de ... - empresa global · antigua normativa de protección de datos...

  • Home
  • Documents
  • El nuevo Reglamento General de ... - Empresa Global · antigua normativa de protección de datos («LOPD») re - sidía en los departamentos de tecnología y operaciones (Seguridad
4
mayo 2018 empresa global 3 [iStock]/Thinkstock. Big Data, fintech, globalización y digitalización son con- ceptos con los que estamos familiarizados y que en los últimos años han adquirido una importancia funda- mental. La conocida como «cuarta revolución indus- trial» es ya una realidad, en la que la tecnología afecta de forma directa a la forma en la que vivimos y a las relaciones personales y profesionales. El alcance de los efectos es difícil de determinar, por la escala y la com- plejidad de la transformación. En este contexto, supo- ne un desafío garantizar el derecho a la privacidad, derecho humano fundamental reconocido en distintos tratados internacionales, máxime cuando el dato se configura como activo de gran valor en varios ámbitos. La Directiva 95/46/CE no era suficiente para aten- der las exigencias de la Sociedad de la Información, pues aunque sus principios sean válidos, no otorgaba la suficiente seguridad en materia de protección de datos personales, existiendo un riesgo para las personas físi- cas. Así, tras más de veinte años de avances tecnológi- cos, era una exigencia elaborar un nuevo texto norma- tivo adaptado a la realidad actual, en la que la globali- zación ha ocasionado un incremento de los flujos transfronterizos de datos. Precisamente a esta exigen- cia responde el nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 («Reglamento General de Protección de Datos»), que re- sultará de aplicación a partir del próximo 25 de mayo de 2018. Pero ¿por qué es tan relevante el Reglamento? ¿Re- almente supone un cambio sustancial con respecto a la normativa anterior? La respuesta es, sin lugar a dudas, sí. Hay un cambio estructural en la definición del sis- tema de protección de los derechos de las personas físi- cas en relación con el tratamiento de sus datos personales. Quizá uno de los rasgos más relevantes del Reglamento es la transversalidad del mismo: no solo afecta a las entidades financieras, sino a todas las or- ganizaciones que realicen tratamientos de datos perso- En búsqueda del equilibrio entre tecnología y privacidad, el Reglamento tiene la finalidad de concienciar tanto a los responsables que tratan datos personales como a los propios ciudadanos y supone un desafío importante para la sociedad en su conjunto. Patricia Juárez | Consultora del área jurídica de Afi Beatriz Castro | Consultora del área de Servicios Financieros de Afi El nuevo Reglamento General de Protección de Datos tema de portada

Upload: others

Post on 21-May-2020

3 views

Category:

Documents


0 download

Report

TRANSCRIPT

Page 1: El nuevo Reglamento General de ... - Empresa Global · antigua normativa de protección de datos («LOPD») re - sidía en los departamentos de tecnología y operaciones (Seguridad

mayo 2018 empresa global 3

[iSt

ock]

/Thi

nkst

ock.

Big Data, fintech, globalización y digitalización son con-ceptos con los que estamos familiarizados y que en losúltimos años han adquirido una importancia funda-mental. La conocida como «cuarta revolución indus-trial» es ya una realidad, en la que la tecnología afectade forma directa a la forma en la que vivimos y a lasrelaciones personales y profesionales. El alcance de losefectos es difícil de determinar, por la escala y la com-plejidad de la transformación. En este contexto, supo-ne un desafío garantizar el derecho a la privacidad,derecho humano fundamental reconocido en distintostratados internacionales, máxime cuando el dato seconfigura como activo de gran valor en varios ámbitos.

La Directiva 95/46/CE no era suficiente para aten-der las exigencias de la Sociedad de la Información,pues aunque sus principios sean válidos, no otorgaba lasuficiente seguridad en materia de protección de datospersonales, existiendo un riesgo para las personas físi-cas. Así, tras más de veinte años de avances tecnológi-

cos, era una exigencia elaborar un nuevo texto norma-tivo adaptado a la realidad actual, en la que la globali-zación ha ocasionado un incremento de los flujostransfronterizos de datos. Precisamente a esta exigen-cia responde el nuevo Reglamento (UE) 2016/679 delParlamento Europeo y del Consejo de 27 de abril de 2016(«Reglamento General de Protección de Datos»), que re-sultará de aplicación a partir del próximo 25 de mayode 2018.

Pero ¿por qué es tan relevante el Reglamento? ¿Re-almente supone un cambio sustancial con respecto a lanormativa anterior? La respuesta es, sin lugar a dudas,sí. Hay un cambio estructural en la definición del sis-tema de protección de los derechos de las personas físi-cas en relación con el tratamiento de sus datospersonales. Quizá uno de los rasgos más relevantes delReglamento es la transversalidad del mismo: no soloafecta a las entidades financieras, sino a todas las or-ganizaciones que realicen tratamientos de datos perso-

En búsqueda del equilibrio entre tecnología y privacidad, el Reglamento tiene la finalidad de concienciar tanto a los

responsables que tratan datos personales como a los propios ciudadanos y supone un desafío importante para la

sociedad en su conjunto.

Patricia Juárez | Consultora del área jurídica de AfiBeatriz Castro | Consultora del área de Servicios Financieros de Afi

El nuevo Reglamento General

de Protección de Datos

tema de portada

Page 2: El nuevo Reglamento General de ... - Empresa Global · antigua normativa de protección de datos («LOPD») re - sidía en los departamentos de tecnología y operaciones (Seguridad

nales. Centros docentes, colegios profesionales, entida-des que exploten redes y presten servicios de comuni-caciones electrónicas, centros sanitarios,organizaciones que desarrollen actividades de publici-dad y prospección comercial y la propia administra-ción pública son solo algunos de los afectados en uncontexto en el que el tratamiento de datos personalesestá a la orden del día.

Pero, más allá de esta necesaria actualización, elReglamento tiene la finalidad de concienciar a la so-ciedad en su conjunto, no solo a los responsables quetratan datos personales sino también a los propios ciu-dadanos propietarios de sus datos. En general, estamosmás que familiarizados con la existencia de largascláusulas de protección de datos, pero rara vez las revi-samos con detalle. El lenguaje excesivamente jurídico,el tamaño de la fuente, o la extensión del texto son in-centivos suficientes para que aquellos que, heroica-mente, han intentado pasar del primer párrafo,desistan de tal hazaña. Ya sea en formato electrónico oen papel, se busca el espacio para la firma o el botón de«acepto», y nada más.

Sin embargo, cuando nuestro dispositivo móvil nospide que valoremos el restaurante del que acabamos desalir, sin haber hecho nada «activamente» que le permi-tiera saber dónde íbamos a comer, es normal sentirse encierta medida contrariado, incluso observado: «¿Cómosabe que acabo de comer en este restaurante?» Segura-mente hayas reservado a través de una aplicación, a laque le permitiste acceso a tu agenda, a tus contactos y atu ubicación. De hecho, es más que posible que poste-riormente recibas correos electrónicos solicitando tu va-loración del restaurante, o promociones para ese local, opara otros que, por tus gustos, pueden encajar con tuperfil. ¿En qué momento has autorizado que un innu-merable número de empresas conozcan, evalúen, perfi-len y monitoricen tus preferencias? De forma más omenos consciente, la autorización existe desde que sepulsa el botón de «Acepto» para tener esa aplicación tancómoda que, además, es gratis. Y como se suele afirmar,«si el servicio es gratis, el producto eres tú».

Por esta razón, la concienciación y formación sondos elementos esenciales para el éxito de la implemen-tación del nuevo Reglamento que, junto con la obliga-ción de informar de forma concisa, transparente,inteligible y fácilmente accesible, garantizan de formaefectiva el control por parte de los interesados de susdatos personales. Atrás quedaron aquellas extensascláusulas pocas veces leídas y, en ocasiones, aceptadascon demasiada facilidad.

Implicaciones para el sector bancario. Un cambiode paradigma Desde que se publicó el Reglamento en abril de 2016,muchos fueron los que se llevaron las manos a la cabe-

za pensando en cómo afectaría esta nueva normativa ala actividad diaria de cualquier banco. Después de añosinteriorizando la idea de que «el valor está en los da-tos», invirtiendo millones en grandes proyectos para«extraer el valor de los datos», e implementando nue-vas tecnologías que favoreciesen esta tendencia (BigData, modelos predictivos, Machine Learning, computa-ción cognitiva, etc.), el Parlamento Europeo y el Conse-jo de la Unión Europea publican un nuevo Reglamentoque parece que dificulta estos esfuerzos. Durante losdos años que se han otorgado como periodo de adapta-ción al Reglamento, las entidades «más aplicadas» queempezaron a trabajar en su implantación de formatemprana se han enfrentado a numerosos escollos.

En primer lugar, identificar los flujos de datos per-sonales en un banco es una tarea complicada y ambi-ciosa, y es que, en definitiva, el concepto de datopersonal comprende cualquier información numérica, alfa-bética, gráfica, fotográfica, acústica o de cualquier otro tipoconcerniente a personas físicas identificadas o identificables.Por tanto, la mayor parte del trabajo de las entidadesfinancieras se realiza sobre datos personales: las cuen-tas, los movimientos, los productos contratados, etc.

La definición de dato personal es tan amplia queabarca prácticamente toda la información que se utili-za en las entidades financieras, a excepción de dosgrandes categorías: la información anónima y los da-tos referentes a las personas jurídicas. En el primercaso, el Reglamento no resulta de aplicación, si bien enel segundo conviene apuntar una serie de matices.¿Toda la información relativa a las personas jurídicasestá excluida del ámbito de aplicación del Reglamento?En efecto, así sucede con datos como la razón social, eldomicilio, los estados financieros, etc. (sin perjuicio,en su caso de las obligaciones de confidencialidad).Ahora bien, ¿qué sucede con los conocidos como datosprofesionales? La interpretación mayoritaria es clara,y señala que este tipo de datos, característicos del ám-bito mercantil, se encuentran dentro del ámbito deaplicación del Reglamento, pero su tratamiento se en-cuentra amparado por el interés legítimo, conceptoque veremos más adelante.

Una vez acotado el perímetro de aplicación delnuevo Reglamento (tan complejo y tan sencillo a la vezcomo decir «toda la organización») la siguiente pre-gunta es «¿quién se va a hacer cargo de todo esto?» Tra-dicionalmente, el grueso de responsabilidad de laantigua normativa de protección de datos («LOPD») re-sidía en los departamentos de tecnología y operaciones(Seguridad de la Información, Administración Central,etc.), con apoyo de las áreas de Asesoría Jurídica y/oCumplimiento Normativo. Esto tiene sentido si nos pa-ramos a pensar cómo se configuran las obligaciones dela antigua LOPD: declaración de ficheros a la AgenciaEspañola de Protección de Datos (AEPD), elaboración

4 empresa global mayo 2018

Page 3: El nuevo Reglamento General de ... - Empresa Global · antigua normativa de protección de datos («LOPD») re - sidía en los departamentos de tecnología y operaciones (Seguridad

mayo 2018 empresa global 5

de un Documento de Seguridad, procedimiento paragarantizar el ejercicio de los derechos a los interesadosy aplicación de diferentes medidas de seguridad a apli-car de acuerdo al nivel de seguridad de los datos.

Sin embargo, este modelo de gobierno deja de serválido bajo el nuevo Reglamento debido al nuevo prin-cipio de responsabilidad proactiva. Este principio im-plica que las medidas correctivas en materia deprotección de datos no son suficientes, sino que es ne-cesario introducir la protección de datos en la culturade la organización, desde las capas operativas hasta lasde dirección y gestión, de tal forma que todas las medi-das preventivas que se adopten queden documentadaspara poder demostrar el cumplimiento con la norma.Por tanto, el Reglamento supone el cambio desde unmodelo «paternalista», con unas instrucciones más omenos claras para cumplir con la norma, hacia un mo-delo de autorregulación en el que la norma puede re-sultar ambigua (quedando sujeta a la interpretación dela misma, en línea con la Common law anglosajón). Al-gunas de las consecuencias son las siguientes:

• No será necesario declarar los ficheros a la AEPD,pero será preciso elaborar un registro interno de lostratamientos de datos personales.

• Se sustituyen las medidas de seguridad asociadasa las diferentes categorías de datos debiendo llevarse acabo una evaluación de impacto (DPIA, Data ProtectionImpact Assesment, por sus siglas en inglés) y, en funcióndel resultado de este análisis, aplicar las medidas se se-guridad que sean más apropiadas.

• En el supuesto de que se produzca una incidenciade seguridad de datos personales, la organización debe-rá notificar tal hecho a la a la AEPD y, en algunos ca-sos, a los propios afectados. No es suficiente la gestióninterna de la incidencia, aumentando por tanto elriesgo reputacional de las entidades.

Todas estas modificaciones hacen que sea imposi-ble definir una única figura dentro de los bancos quepueda encargarse del cumplimiento del Reglamento,siendo más aconsejable definir un órgano de gobiernomultidisciplinar, compuesto por integrantes de dife-rentes áreas, responsable de supervisar las medidas ne-cesarias para garantizar la adecuada implementacióndel Reglamento. Este órgano, en línea con el caráctertransversal de los tratamientos de datos personales enlos bancos, debería estar formado, al menos, por miem-bros de Cumplimiento Normativo, Asesoría Jurídica,Tecnología y Operaciones, Riesgos, Recursos Humanosy Áreas Comerciales (Negocio, Marketing, etc).

Uno de los fallos más comunes a la hora de imple-mentar el Reglamento es el relativo a las funciones delDelegado de Protección de Datos (DPO, Data Protection Of-fice por sus siglas en inglés). Esta nueva figura que in-troduce el Reglamento, obligatorio para todas lasentidades financieras, debe ser la responsable de su-

pervisar el cumplimiento de la norma y el punto decontacto dentro de la organización, tanto para autori-dades como para interesados, en lo que a protección dedatos personales se refiere.

¿Cuál es el malentendido que se está produciendocon respecto al DPO? Muchas entidades que han desig-nado al DPO le han responsabilizado de la adaptacióncompleta al Reglamento. Se trata de una trasgresióndel modelo de las tres líneas de defensa, por el cual elDPO debería situarse en la tercera línea, al igual quelas áreas de Auditoría Interna, y no en la primera lí-nea de operaciones. Esta confusión genera dentro delos bancos un conflicto de intereses, al convertir alDPO en juez y parte. Por ejemplo, si el DPO establece lametodología de evaluación de impacto de los trata-mientos de datos personales, al supervisar dicha meto-dología estará autoevaluándose, por lo que escuestionable afirmar que efectivamente se aplica uncriterio objetivo.

Pánico a la protección de datos: elconsentimientoAcotado el ámbito de aplicación del Reglamento y esta-blecidas las responsabilidades, llega el momento demáximo pánico dentro de las entidades financieras, alrevisar la nueva definición de consentimiento: «Actoafirmativo claro que refleje una manifestación de voluntad li-bre, específica, informada, e inequívoca del interesado de acep-tar el tratamiento de datos de carácter personal que leconciernen (…) Por tanto, el silencio, las casillas ya marcadas ola inacción no deben constituir consentimiento» [Consideran-do (32) del Reglamento (UE) 2016/679 del ParlamentoEuropeo y del Consejo de 27 de abril de 2016]. Es enton-ces cuando las entidades llegan a la fatídica conclu-sión: «Ya no podemos enviar ninguna comunicacióncomercial a nuestros clientes». Es conveniente matizaresta afirmación pues, en líneas generales, el Regla-mento es más flexible de lo que pudiera parecer y nosupone un impedimento en la práctica para las áreasde comunicación.

Efectivamente, la nueva definición de consenti-miento hace que los conocidos como «consentimientostácitos», derivados de la inacción o el silencio, pierdansu validez. La máxima de «salvo que me indiques locontrario, entiendo que estás conforme» no es sufi-ciente. Además, ya no podemos intercalar las cláusulasrelativas a protección de datos entre los eternos clau-sulados que acompañan a la mayoría de contratos, yconsiderar que la firma de ese contrato en cuestión su-pone un consentimiento expreso. Hay que informar,de manera clara y sencilla de los aspectos clave del tra-tamiento siguiendo el principio de transparencia queintroduce el Reglamento, y obtener un consentimientoactivo y afirmativo. Tampoco se podrá supeditar laprestación de un servicio o comercialización de un

Page 4: El nuevo Reglamento General de ... - Empresa Global · antigua normativa de protección de datos («LOPD») re - sidía en los departamentos de tecnología y operaciones (Seguridad

6 empresa global mayo 2018

producto a la obtención de un consentimiento que nosea necesario para la ejecución de ese contrato. Porejemplo, un comercial bancario que esté comerciali-zando tarjetas de crédito no puede condicionar la pres-tación de su servicio a la obtención de unconsentimiento para poder enviar publicidad sobre se-guros.

En este punto entra en juego otro principio demarcada importancia en el Reglamento, el principiode minimización de datos, que presenta una doble ver-tiente. Así, la minimización de datos se aplica de for-ma general, tratando solamente aquellos datos quesean necesarios para la finalidad del tratamiento encuestión, y se minimiza la extensión temporal, debien-do retener los datos para su tratamiento por el míni-mo tiempo necesario. En el caso de los bancos, latendencia ha sido la de almacenar a lo largo de losaños todos los datos de antiguos clientes sin que, enmuchos casos, se hayan adoptado medidas para prote-gerlos o aislarlos (seudonimización o encriptación dedatos). Por tanto, en el listado de tareas para la im-plantación del Reglamento se debe definir cómo garan-tizar la minimización temporal de los datos, entreotras cuestiones.

En muchos casos los bancos han tratado de abordarel problema de los consentimientos analizando el esta-do actual de los consentimientos de su stock de clien-tes. Con frecuencia, la dificultad que se hanencontrado es que no contaban con un solo consenti-miento (válido o no) por cada cliente, sino que los con-sentimientos se habían ido recogiendo históricamentepor producto o servicio. Por tanto, cada cliente teníatantos consentimientos como contratos firmados conla entidad. Estos consentimientos variaban en cuantoa forma (digitales o en documento físico) o contenido(diferentes clausulados), haciendo inviable llegar a unestado de situación sobre los mismos. Por tanto, la pre-gunta más repetida en los bancos ha sido, ¿tengo quepedir consentimientos a todos mis clientes?

A estos efectos, el Reglamento establece cuatro ba-ses legales válidas para realizar tratamientos de datospersonales:

• Cumplimiento de una obligación legal (aplicableal responsable), como puede ser la normativa de Pre-vención de Blanqueo de Capitales y Financiación delTerrorismo (PBC FT).

• Ejecución de un contrato en el que el interesadoes parte, o aplicación a petición de este de medidasprecontractuales: por ejemplo, en el caso de un contra-to de cuenta corriente, el banco necesita obligatoria-mente tratar datos personales para poder prestar esteservicio.

• Consentimiento válido, en los términos señaladosen el Reglamento, que será necesario cuando se tratede cualquier tratamiento con una finalidad comercial

(envío de comunicaciones comerciales, cesión de datosa terceros, estudios y perfiles con fines comerciales).

• Interés legítimo. El Reglamento determina queun tratamiento de datos es válido si este es necesariopara satisfacer el interés legítimo del responsable,siempre que no prevalezcan los intereses o los dere-chos y libertades fundamentales del afectado.

Es, precisamente, el interés legítimo el que estágenerando mayor incertidumbre, al configurarse comoconcepto jurídico indeterminado y, en consecuencia,entrar en juego la interpretación en el momento de suaplicación práctica.

La mayoría de los tratamientos de datos persona-les de los bancos se pueden apoyar en la base de la eje-cución de un contrato, exceptuando todos aquellos confinalidades comerciales. Dada la inviabilidad de com-probar la validez de los consentimientos históricos, lasentidades se enfrentan a la disyuntiva de solicitarnuevos consentimientos a todos sus clientes para po-der seguir usando sus datos con fines comerciales, obien basarse en el interés legítimo y seguir tratandolos datos sin obtener nuevos consentimientos. Los másconservadores opinan que tratar de justificar la exis-tencia de un interés legítimo sin que prevalezcan losderechos y libertades de los interesados es difícilmen-te justificable. Otros, en cambio, señalan que, tras ha-ber mantenido una relación comercial con los clientes,durante varios años en algunos casos, justifica ese in-terés legítimo y, por tanto, se puedan seguir realizan-do tratamientos de datos con fines promocionales.

No obstante, aunque se opte por la vía del interéslegítimo, debido al principio de transparencia previa-mente comentado y a los nuevos requisitos de informa-ción recogidos en el Reglamento, será necesario que lasentidades realicen, al menos, una comunicación infor-mativa a todos los interesados.

No cabe duda de que la adaptación al Reglamentosupone un desafío para la sociedad en su conjunto.Empresas, administración pública y ciudadanos en ge-neral deben concienciarse y conocer el valor de los da-tos, y el efecto de difundir o ceder información noautorizada. La experiencia de Facebook con el escánda-lo de Cambridge Analytica, las dimisiones de altos car-gos por la difusión de información referente a losmismos o el incremento de las amenazas de seguridad,son solo algunos de los casos que ponen de manifiestola necesidad de controlar los datos personales para ga-rantizar el derecho a la privacidad de las personas. Esfundamental implementar las nuevas exigencias, puesde lo contrario la Sociedad de la Información quedarádesvirtuada. Y, en este punto, es de nuevo el Regla-mento el que en su Considerando (4) nos recuerda que«El tratamiento de datos personales debe estar conce-bido para servir a la humanidad» y, por tanto, en nin-gún caso las personas están al servicio de los datos ::


05-El Nuevo to de La LOPD

LOPD - lasalina.es

Infraccions i Sancions de La LOPD

De leyes y pacientes. lopd y 2.0

Ley de protecion de datos lopd

LOPD: CÓMO CUMPLIR CON LA LOPD EN TU EMPRESA

Conceptos Aplicacion LOPD

RESUMEN LOPD 02 - legadata.com · 900 87 87 97 CONSULTORÍA ESPECIALIZADA LOPD RESUMEN LOPD El objetivo de la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD),

LOPD servicios

Trabajo lopd

Presentación de PowerPoint · seguridad (art. 9 lopd) control independiente (arts. 35 y ss. lopd) reglamento general de protecciÓn de datos (capitulo ii) proyecto de lopd (titulo

CHARLA DE SENSIBILIZACIÓN SOBRE LOPD

Informe de cumplimiento de la LOPD en Hospitales

Mapas de Los Departamentos Departamentos

Fundamentos básicos Las empresas y la LOPD de la LOPD … · Ley de Protección de Datos . Cómo le afecta la LOPD . TODAS LAS EMPRESAS y ENTIDADES que tengan y realicen tratamiento

Servicios de LOPD y asesoría legal

Auditoria de seguridad informática lopd

Servicio LOPD de Conversia

Conceptos Básicos LOPD

Lopd Brochure

AGM Abogados - Ley de proteccion de datos LOPD

Noticias LOPD 2015 - Edor Team NOTICIAS LOPD 2015.pdf · Noticias LOPD 2015 PRESENTACIÓN: A través del presente boletín trasladamos una exposición detallada de las noticias, actividades

Fundamentos básicos Las empresas y la LOPD de la LOPD y del … · 2019-11-06 · de la LOPD y del RDLOPD . Fundamentos básicos . de la LOPD y del RDLOPD . Ley de Protección de

IMPLANTACIÓN DE LA LOPD - vectore.es · Por ello es necesario saber qué es la LOPD La Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal (LOPD) y el ... Qué tenemos

LOPD - III

Aplicación LOPD

LOPD - Asturias

Cartel Lopd

La LOPD en las entidades Públicas y Privadas. AGENDA Los Datos Personales LOPD. Historia Conceptos Básicos AEPD - Problemática de no cumplir con la LOPD

Apuntes Lopd

Lopd lozoyaytorres

Plan de Adecuación LOPD Servicio Andaluz de Salud

Aaa Normativa Sobre Proteccion de Datos LOPD

Auditoria LOPD Sinergia ISO 27001 - Luis Vilanova · PDF fileAuditoria LOPD Sinergia ISO 27001 Revisión y enfoque práctico de auditoría LOPD ... A tercero, tras la firma de prestación

LOPD - Ley Orgánica de Protección de Datos