COMUNICATO STAMPA – SABABA SECURITY S.p.A.
diciembre 14, 2021
Tailgating y Piggybacking
diciembre 28, 2021
Hemos oído hablar de él con frecuencia en los últimos dos años: el reglamento europeo 2016/679 (RGPD para los amigos), el cual entró en vigor a finales de mayo de 2018.
En este artículo intentaré explicar los puntos clave del reglamento, de manera sencilla y sin demasiados detalles soporíferos.
Empecemos por el nombre: “General Data Protection Regulation”, nos dice que se trata de un Reglamento.
Esto significa que el 25 de mayo de 2018 se convirtió en la práctica en una ley en todos los Estados miembros de la Unión Europea. Hago esta aclaración porque a diferencia de la Directiva, que exige a los Estados miembros escribir una ley en una determinada dirección, un Reglamento no necesita ningún otro paso añadido.
El RGPD establece las normas para proteger los datos personales de los ciudadanos europeos, que no deben confundirse así con datos empresariales como por ejemplo: prototipos, proyectos, patentes, balances, etc.
En la práctica todos los sujetos (empresas, entes pero asimismo otros ciudadanos), también fuera de la UE, que tratan datos personales de ciudadanos europeos deberán respetar el reglamento.
Antes de entrar en el meollo de la cuestión y descubrir qué dice el RGPD, es fundamental tener claras algunas definiciones. Con frecuencia nos confundimos con la traducción española (que efectivamente no es la mejor), por eso dejo entre paréntesis el equivalente en inglés:
Datos personales (personal data)
El artículo 4 del RGPD dice: «cualquier información referente a una persona física identificada o que pueda identificarse -también indirectamente- por referencia a cualquier otra información …»
Por lo tanto un nombre, una dirección pero también la matrícula del coche, son todos ellos datos personales.
No importa que el dato sea visible a todos (pensemos en la matrícula del coche por ejemplo), es la asociación del número de matrícula con la persona que forma el dato personal.
Otra palabra importante que conviene conocer es Tratamiento (processing).
Por tratamiento se entiende:
«cualquier operación o conjunto de operaciones, realizadas con o sin utilizar procesos automatizados y aplicadas a datos personales o conjuntos de datos personales, como la recogida, el registro, la organización, la estructuración, la conservación, la adaptación o la modificación, la extracción, la consulta, el uso, la comunicación mediante transmisión, difusión o cualquier otra forma de puesta a disposición, el cotejo o la interconexión, la limitación, la eliminación o la destrucción»
Pero centrémonos en las definiciones más importantes, las partes implicadas:
Interesado (data subject)
El interesado es el propietario de los datos (cada uno es el interesado de sus propios datos personales)
Responsable del tratamiento (controller)
el responsable es la persona, la sociedad o el ente que pide datos personales para poder tratarlos y decide cómo y por qué tratarlos. Cuidado, no es el gestor sino quien decide tratarlos.
Encargado del tratamiento (processor)
es la persona física, jurídica, administración pública o ente que procesa los datos personales por cuenta del responsable del tratamiento
Delegado de la protección de datos (Data Protectiom Officer)
También conocido como DPO, acrónimo de la definición inglesa, esta figura es nombrada por el responsable o por el encargado del tratamiento, a fin de que actúe como asesor en calidad de experto en la materia (normalmente es un abogado). En la práctica se ocupa de ayudar a quien debe tratar datos personales, a respetar el RGPD dando su opinión, informando y vigilando.
Categorías especiales de datos personales (special categories of personal data)
Antes del RGPD se denominaban datos sensibles, estamos hablando de todos los datos que se refieren:
al origen racional o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, o la pertenencia sindical, así como datos genéticos, datos biométricos destinados a identificar de modo unívoco a una persona física, datos relativos a la salud o a la vida sexual o a la orientación sexual de la persona.
Violación de los datos personales (personal data breach)
la violación de seguridad que implica por accidente o de modo ilícito la destrucción, la pérdida, la modificación, la divulgación no autorizada o el acceso a los datos personales transmitidos, conservados o en cualquier caso tratados.
Seudonimización (pseudonymisation – infunde respeto pero en realidad la actividad es sencilla)
el tratamiento de los datos personales de modo que estos no puedan atribuirse a un interesado específico sin utilizar información adicional.
Imagina que tienes dos registros, uno con dos columnas: la primera columna contiene los nombres de las personas y la segunda un código numérico asociado a cada uno; el otro registro contiene el código numérico en la primera columna y en la segunda columna, el dato personal que debe protegerse. Para entender a quién pertenece el dato, es necesario asociar la información presente en ambos registros. Ya está: los datos personales en el segundo registro están «seudonimizados».
Tras esta larga pero necesaria introducción, descubramos juntos cuáles son los derechos de los ciudadanos europeos respecto a los datos personales.
Naturalmente, el artículo más importante (son 99) es el primero. En particular el punto 2, en mi opinión, es el núcleo del reglamento:
«El presente reglamento vela por los derechos y las libertades fundamentales de las personas físicas, en concreto el derecho a la protección de los datos personales».
¿Pero qué significa exactamente? ¿Cuáles son los derechos y las libertades que protege?
El reglamento dedica un capítulo entero a los «Derechos del interesado»; el capítulo se divide en cinco secciones, las analizaremos rápidamente
Transparencia y Modalidad
Esta sección incluye un solo artículo (el 12) que se titula: «Información, comunicaciones y modalidades transparentes para el ejercicio de los derechos del interesado».
En esencia el artículo dice que el responsable del tratamiento (quien recoge los datos) debe comunicarse con el interesado de manera clara y transparente, y debe facilitarle sus peticiones (en relación con los datos personales tratados por el responsable) y en general el ejercicio de los derechos previstos por el reglamento.
Información y acceso a los datos personales
Aquí entramos en el meollo de la cuestión. Resumiendo: el Responsable debe decirnos, antes de tratar nuestros datos:
quién y por qué trata nuestros datos, durante cuánto tiempo los conservará y sobre todo nos dirá que podemos pedir en cualquier momento visualizar, modificar o borrar nuestros datos personales en su posesión.
Rectificación y Eliminación
Tenemos derecho a solicitar la modificación de nuestros datos (rectificación) o pedir su eliminación, el famoso «derecho al olvido». En efecto, podemos revocar en cualquier momento la autorización al tratamiento y pedir ser olvidados (útil para defenderse de algunas campañas de marketing muy agresivas).
Es muy interesante el Derecho a la portabilidad de los datos (artículo 20) que permite al interesado solicitar (al responsable) todos sus datos personales «en un formato estructurado, de uso común y legible desde un dispositivo automático»
En verdad, este es el artículo que ha obligado a Google, aFacebook y a otros gigantes de la web a poner a nuestra disposición un enlace para pedir todos nuestros datos en su posesión. Funciona y os aconsejo que lo probéis al menos una vez.
Derecho de oposición y proceso de toma de decisión automatizado relativo a las personas físicas
Esto concuerda con el artículo sobre el derecho al olvido pero se aplica en aquellos casos en los que no es necesario pedirnos permiso para tratar nuestros datos porque todo se ha llevado a cabo «en el legítimo interés del responsable o de terceros» (art. 6, apart. 1, let. f)
Limitaciones
Obviamente, la UE puede limitar los derechos y las obligaciones establecidas por el reglamento para velar por los intereses más importantes como la seguridad nacional, la independencia de la magistratura y de los procedimientos judiciales, la seguridad pública, la protección del interesado o de los derechos y de las libertades ajenas y otras criticidades.
Obligaciones del responsable del tratamiento y del encargado del tratamiento
El capítulo cuatro describe las obligaciones del responsable y del encargado del tratamiento de los datos personales. En concreto, se describen las responsabilidades de las dos figuras acerca del respeto del reglamento, la obligación de proteger los datos personales que tratan (cifrándolos o aplicando la seudonimización), de llevar un registro de los tratamientos y de valorar el impacto de los tratamientos antes de proceder.
El último aspecto que merece ser tratado es el de las violaciones de los datos personales (data breach). La sección 2 del capítulo 4 se dedica precisamente a la seguridad del tratamiento. Sin duda el artículo 33 es uno de los más importantes:
Notificación de una violación de los datos personales a la autoridad de vigilancia
el primer apartado es la famosa comunicación a la Autoridad de Vigilancia en caso de «data breach»:
«En caso de violación de los datos personales, el responsable del tratamiento notifica la violación a la autoridad de vigilancia competente conforme al artículo 55 sin demora injustificada y, cuando sea posible, en 72 horas desde el momento en que se ha tenido conocimiento de esta, a menos que sea improbable que la violación de los datos personales suponga un riesgo para los derechos y las libertades de las personas físicas. Cuando no se realice la notificación a la autoridad de vigilancia en 72 horas, se acompañará de los motivos del retraso».
Para concluir, lo que le ha valido la fama a este reglamento son sin duda las considerables sanciones administrativas y pecuniarias a las que se enfrentan los responsables que no respeten el reglamento.
Sin entrar demasiado en detalles, digamos que dependiendo de las violaciones, las multas pueden variar pero no dejan de ser muy elevadas. Se parte de multas hasta 10 millones de euros o (para las empresas) del 2 % de la facturación, por ejemplo por no haber nombrado a un encargado del tratamiento. Se llega hasta 20 millones de euros y el 4 % de la facturación para violaciones más graves, como la ausencia de notificación de una violación de datos.
Según un estudio de DLA PIPER, en enero de 2020 las violaciones de datos personales detectadas en Europa, desde la entrada en vigor del RGPD, eran unas 160 000 con sanciones aplicadas por aproximadamente 114 millones de euros. Holanda lidera la clasificación con 40647 violaciones de datos, seguida de Alemania (37636), Reino Unido (22181), Irlanda (10516) y Dinamarca (9806.
En cuanto a las sanciones, en el podio encontramos a Francia con 51 millones de euros, le sigue Alemania (24,5 millones) y Austria (18 millones).
¿Y cómo ha ido en Italia? Siempre de acuerdo con este informe, desde el 25 de mayo de 2018 a enero de este año se han notificado a la Autoridad de Vigilancia 1886 violaciones de datos personales (puesto undécimo en Europa) y se han aplicado multas por 11,55 millones de euros (cuarto puesto en Europa).
A finales de mayo esperamos un nuevo informe acerca del análisis a dos años exactos desde la entrada en vigor del RGPD.
