BAQUIA

¿Qué cambia con la nueva ley de protección de datos personales?

El pasado 14 de abril el Parlamento Europeo aprobaba finalmente el Reglamento General de Protección de Datos (RGPD), una nueva normativa común para los Estados Miembro que viene a actualizar el marco legal que rige el tratamiento de datos personales que se mantenía casi intacto desde el año 1995 con la Directiva 95/46/CE.

Este RGPD, que trae importantes novedades en relación a las garantías y límites en la protección de datos personales, algunas de ellas con un impacto directo en el sector tecnológico, entrará en vigor en los próximos días, si bien no será de aplicación hasta mayo de 2018.

El primer punto importante que tenemos que tener en cuenta es cuándo este RGPD desplegará sus efectos y el ámbito de aplicación territorial. Ahora, las normas de protección de datos vigentes solo entran en juego cuando el responsable del tratamiento, esto es, por ejemplo, la empresa que trata nuestros datos personales, esté establecida en la Unión Europea. Si la empresa que trata nuestros datos personales no tiene un establecimiento en Europa, la normativa comunitaria y la nacional no podrán entrar en juego, por lo que las garantías y límites que establecen no pueden ser aplicados (con algunas excepciones que ahora no vienen al caso).

Pero con la nueva ley de protección de datos nos encontramos ante una situación que pretende proteger los datos personales de los ciudadanos europeos frente al tratamiento que hacen, especialmente, las empresas tecnológicas extranjeras. Cuando sea de aplicación el RGPD, éste será de aplicación por cualquier empresa, con independencia de dónde esté ubicada, siempre que trate los datos personales de un ciudadano de la Unión y cuando las actividades de ese tratamiento estén relacionadas con la oferta de bienes o servicios a estos ciudadanos en la Unión, independientemente de si a estos se les requiere un pago o no. Igualmente, será de aplicación si el tratamiento se realiza para controlar el comportamiento de los ciudadanos de la Unión.

Así por ejemplo, a empresas como Google, Facebook, Linkedin, etc, aunque no estuvieran establecidas en la Unión Europea, les sería de aplicación nuestro RGPD.

Esto viene a corregir una situación no prevista en el año 1995 (fecha de la actual Directiva de protección de datos) en la que, ante el surgimiento de los grandes gigantes de Internet desde empresas ubicadas en Estados Unidos, los datos personales de los ciudadanos europeos se podían ver desprotegidos o al menos no con las mismas garantías que si los tratase una empresa europea, dado que no era exigible, con carácter general, la aplicación de nuestras garantías y derechos a estos gigantes extranjeros.

Pero como decimos, ahora esto cambia, y si una empresa no europea quiere tratar datos personales de europeos para los tratamientos antes descritos, deberá hacerlo bajo nuestras reglas de protección de datos.

Acceso a datos en las Apps: el justo y necesario

Para los diseñadores de aplicaciones surge una importante novedad; el RGPD establece ahora que cuando se prevea o se vaya a producir un tratamiento de datos personales, se deberán aplicar las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad.

En la práctica esto significa que a la hora de desarrollar una aplicación y ponerla en funcionamiento, los parámetros activos por defecto deberán garantizar un tratamiento de datos personales mínimo y necesario para el fin que se persigue. Pongamos el siguiente ejemplo para entendernos: imaginemos la típica aplicación “linterna” para móvil. Esta aplicación deberá venir por defecto configurada de forma que el tratamiento de datos personales que realice sea el imprescindible para hacer funcionar el led correspondiente de la cámara, por lo que si la aplicación accede, por ejemplo, a nuestros contactos, nos encontraríamos con una aplicación ilícita desde el punto de vista del RGPD.

Otra novedad importante es la obligación de notificar una violación de la seguridad de los datos personales. Con el RGPD, las empresas estarán obligadas a notificar en un plazo máximo de 72 horas a la autoridad de control competente (en España lo es la Agencia Española de Protección de Datos) de las violaciones de la seguridad de los datos personales.

Esto significa que cuando una empresa detecte que ha sido objeto de un “hackeo” en el que se han podido ver afectados los datos personales de, por ejemplo, sus clientes, deberá comunicar a la autoridad de control tal circunstancia en ese plazo máximo de 72 horas, indicando, entre otra información, la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados; describir las posibles consecuencias de la violación de la seguridad de los datos personales.

Además, cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, la empresa deberá comunicar tal circunstancia al afectado o interesado.

Es decir, con la nueva normativa de protección de datos se convierte en una obligación legal para la empresa el informar cuando haya sido “hackeada”, incluso, dependiendo del caso, podría ser obligatorio informar a las víctimas (los clientes de la empresa afectada por ejemplo) de tal circunstancia.

Este sin duda es uno de los mayores retos y dificultades con los que se encontrarán las empresas en el futuro. Hoy en día muchas empresas prefieren no airear sus problemas de seguridad informática por varios motivos (imagen, daño reputacional, incentivar nuevos ataques,…). Pero ahora no tendrán opción: sí o sí deberán notificarlo a la autoridad de control y en muchas casos también a todas las víctimas del fallo de seguridad, bajo pena de multa de hasta 10 millones de euros o del 2% del volumen de negocio total anual global del ejercicio financiero anterior (la cuantía que salga más elevada).


Compartir en :


Noticias relacionadas




Comentarios