El pasado 1 de febrero en Palma Activa tuvo lugar la jornada la conferencia «Adiós LOPD, hola RGPD: soluciones y oportunidades a la nueva normativa sobre protección de datos personales» organizada conjuntamente con GsBIT (Asociación Balear de Empresas de Software, Internet y Nuevas Tecnologías). La moderadora fue Tona Pou, gerente de GSBIT, y en ella participaron los expertos Diego Fanjul (Finch Abogados), Miguel Ángel Cerdà i Juanjo Talens (Iuristec) y Jorge Morell (del blog jurídico “Términos y Condiciones”). Aquí tenéis un breve resumen de sus intervenciones.
Diego Fanjul: vivimos un incremento exponencial de la cantidad datos que generamos y usamos y de la capacidad de procesarlos, ahora el almacenamiento es barato. Hay datos por todas partes, por la utilización cotidiana y constante de ordenadores y sensores, y esto seguirá con el internet de las cosas (sensores). Como dijo Bruce Scheneier, «lo que antes era efímero, ahora permanece». Las empresas con más facturación actualmente son tecnológicas (Apple, Alphabet, Microsoft, Amazon, Facebook). Pasamos del derecho a la intimidad (Walden) a la autodeterminación informativa o libertad, poder controlar qué pasa con nuestros datos. Ahora es el momento en que las empresas deben reflexionar sobre el tratamiento datos: Qué datos, para qué, cuánto tiempo los conservamos, dónde y hay de analizar el flujo de datos. El Reglamento es un texto abierto con gran cantidad de conceptos jurídicos indeterminados. Identifica diferentes exigencias en función de los tratamientos de datos y del responsable de su tratamiento. Con el principio de acreditación de cumplimiento, se limita o condiciona la utilización de «documentación tipo». Hay consentimientos diferenciados para tratar datos para diferentes cosas. Persistencia de datos. Si tenéis acceso a bases de datos de clientes necesitáis un contrato. Escalones de cumplimiento por tamaño de empresa según el tipo de datos: hay registro de actividades de tratamiento excepto menos de 250, a no ser que sean datos sensibles (salud). Hay que notificar la violación de seguridad de datos a la AEPD y, eventualmente, al afectado. Obligación de documentarlo (hechos, efectos, medidas correctivas). En resumen, ahora con el nuevo reglamento es el momento idóneo para hacer análisis personalizado del tratamiento de datos que haremos. Se pide proactividad y flexibilidad.
Miguel Angel Cerdá: La mayoría de soluciones informáticas no solucionan los verdaderos problemas de las empresas, no sabemos bien el nivel de seguridad. Deber de informar por capas. Derechos de los interesados: acceso, supresión; limitación del tratamiento: datos a conservar pero excluidos del tratamiento; portabilidad: exportación de datos en formato standard. Exactitud: consistencia en las bases de datos; verificaciones en la entrada de datos; procesos de actutalización. Limitación del plazo de conservación: marcar diferentes categorías de datos, procesos de eliminación. La encriptación de datos personales ahora será habitual, no será excepcional. Transferencias internacionales de datos. Asumir la privacidad desde el diseño y por defecto, no premarcado, requiere consentimiento explícito del usuario.
Juanjo Talens: Diferencia entre el responsable y quien trata los datos. El responsable del tratamiento es el responsable del cumplimiento (principio de responsabilidad proactiva). Cada uno tiene que adaptarse a su empresa. Privacy by design, accountability. Se está produciendo un cambio de paradigma: Antes se hablaba de privacidad analógica, ahora tenemos que hablar de privacidad digital. Principios relativos al tratamiento de datos: licitud, lealtad y transparencia; delimitación de la finalidad; minimización de datos; exactitud; limitación del plazo de conservación; integridad y confidencialidad. La certificación de datos es voluntaria, disponible a través de proceso transparente. No limita la responsabilidad. Expedida por un máximo de 3 años, renovable, en España lo hace la AEPD. Existe también un sello europeo de protección de datos. Códigos de conducta para la correcta aplicación del Reglamento a los que se podrán adherir distintas empresas con características comunes. Conclusiones: Se trata de adaptar lo que ya tenemos, pero requiere implicarse para acreditar su cumplimiento.
Jorge Morell: El nuevo Reglamento será aplicable el 25 de mayo en toda la UE, a la vez aquí cambian la LOPD. El delegado de protección de datos de la empresa puede ser interno o contratarlo externo. También habrá una ley de apoyo al reglamento. El lado positivo de cumplirlo: genera oportunidades de negocio a largo plazo, pero hay que entender el contexto en que nace. Al 76% españoles nos preocupa la privacidad según el CIS. Hay datos personales por doquier. Estamos en la denominada 4ª revolución industrial, con la inteligencia artificial (IA), que se alimenta de datos para automatizar procesos. La IA permitirá por ejemplo, catalogar fotos, segmentar email marketing, chatbots de atención al cliente … El nuevo Reglamento será común en toda la UE, una ventanilla única para facilitar la gestión. Poniéndonos las pilas para adaptarnos al reglamento generará una oportunidad para poner en orden y hacer limpieza los datos que tenemos en la empresa. El Reglamento busca ser más transparente, lo que generará más confianza en el usuario (al que le preocupa su privacidad) y, por tanto, más negocio. La portabilidad o mudanza digital será posible. El reglamento pone al usuario y su gestión de datos en el centro, es una oportunidad para decir qué puede esperar y que decidan qué quieren en caso problemas de ciberseguridad (por ejemplo, puedes ofrecerle descuentos para que se queden … ). Otros ejemplos de oportunidades: un hotel con los datos de los usuarios de la wifi puede generar mapas de calor del tráfico de visitantes para ver carencias y generar oportunidades negocio; también mejorar el e-mail marketing. El reglamento contempla también el uso de datos biométricos a tener en cuenta, cifrar y anonimizar datos para tratarlas y mejorar la atención al cliente. El reglamento será la herramienta de protección de datos de los próximos 10-15 años. En resumen, adaptarnos al reglamento puede servirnos para abrir una nueva ventana y no sólo para evitar sanciones.
