Estamos a escasas semanas de la entrada en vigor del nuevo Reglamento Europeo de Datos Personales (GDPR, por sus siglas en inglés) y las empresas deben estar preparadas para adaptarse y así convivir con la nueva legislación.
Para conocer en profundidad cómo afecta este hecho a las empresas, y en especial a las de comercio electrónico, hablamos con José Mª Baños Pita y con José Luis Narbona, Socio fundador de Letslaw y Experto en Ciberseguridad en Letslaw.
Big Data Magazine (BDM): ¿Cuáles son las principales claves a tener en cuenta para las empresas ante la nueva GPDR?
José María Baños y José Luis Narbona (JMByJLN): Lo primero que se debe conocer es el ámbito de aplicación de esta nueva normativa. El GDPR se aplica a las empresas que se dirijan y traten datos de ciudadanos europeos, independientemente del lugar donde radique su negocio. Es muy importante tener esto en cuenta ya que el GDPR será aplicable a todos aquellos responsables o encargados de tratamiento que, aunque no estén en la Unión Europea ofrecen productos o servicios a usuarios europeos.
Otra cuestión novedosa que introduce el GDPR es la figura del Delegado de Protección de Datos, que será obligatorio para un gran número de empresas, como, por ejemplo, para aquellas que realicen tratamientos a gran escala.
Esta figura deberá contar con conocimientos especializados en derecho, especialmente en el nuevo Reglamento, así como experiencia en materia de protección de datos, ya que su función principal será asesorar a las empresas y sus trabajadores sobre el cumplimiento normativo y actuar como punto de contacto entre estos y la Agencia Española de Protección de Datos.
Por otro lado, siempre que sea probable que las operaciones de tratamiento, especialmente cuando se utilicen nuevas tecnologías, entrañen un alto riesgo para los derechos y libertades de las personas físicas y, sobre todo, en los casos en los que vaya a realizarse un tratamiento de datos sensibles, se introduce la obligación de llevar a cabo una evaluación de impacto antes de poder iniciar el tratamiento de los datos personales.
Se exige a los responsables del tratamiento que notifiquen en un plazo máximo de 72 horas desde que tuviesen conocimiento, tanto a la Agencia Española de Protección de datos como al interesado, cualquier violación de seguridad que suponga un riesgo para los derechos y libertades de los usuarios.
El GDPR además introducir nuevas obligaciones para las empresas, introduce nuevos derechos para los usuarios como el derecho al olvido y el derecho a la portabilidad de los datos.
El Derecho al olvido faculta a los usuarios para solicitar a las empresas que sus datos personales sean suprimidos cuando, por ejemplo, ya no sean necesarios para cumplir con las finalidades con las que fueron recabados, o se haya retirado el consentimiento. A nivel técnico, este derecho al olvido va acompañado de procedimientos verificables y que se puedan implementar en los servicios Web de la empresa. Es recomendable contar con soluciones tecnológicas que puedan responder a las necesidades de rectificación o cancelación de los datos personales recopilados por la empresa. Gracias a la criptografía de clave pública y la firma digital, se pueden implementar con el objetivo de garantizar de forma fehaciente que el usuario consigue controlar o eliminar el tránsito de sus datos personales entre empresas.
El Derecho a la portabilidad de los datos que supone que el usuario puede solicitar la recuperación de sus datos al responsable de tratamiento para su posterior transmisión a otro responsable.
Por último y algo que deben de tener muy en cuenta es que el régimen sancionador que se establece en la GDPR es mucho más severo que el existente en la normativa anterior, ya que el importe de las sanciones podrá llegar a alcanzar los 20 millones de euros o el 4% del volumen de negocios total anual del ejercicio financiero anterior
BDM: ¿Cuáles son los principales organismos y empresas afectadas?
JMByJLN: El Reglamento se aplicará tanto a las Administraciones Públicas como a todas aquellas empresas que realicen tratamiento de datos personales.
Como he indicado anteriormente, el Reglamento se aplicará a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.
BDM: ¿Cómo se van a tener que adaptar las empresas?
JMByJLN: En primer lugar, las empresas deberán realizar un análisis de riesgos que les permita determinar las medidas de seguridad adecuadas que deben implementarse en la compañía.
Además de implementar medidas de seguridad adecuadas al tratamiento de datos que se lleve a cabo, deberán revisar la forma de obtención de los consentimientos, firmar nuevos contratos que regulen el tratamiento de datos por terceros, contar con solicitudes de respuesta a los nuevos derechos que introduce el GDPR para los usuarios y nombrar un delegado de protección de datos en aquellos casos en que fuera obligatorio, entre otras cuestiones.
Es fundamental garantizar el componente tecnológico que derive de este análisis de riesgos para adecuar los actuales procedimientos técnicos en el entorno de la Ciberseguridad empresarial. Acreditar que la empresa es capaz de asegurar los datos personales que obtiene, es crítico a la hora de implementar nuevos desarrollos y servicios que se realicen a través de Internet.
BDM: ¿Cómo va a afectar al comercio electrónico en particular?
JMByJLN: Los ecommerce deberán revisar sus Políticas de Privacidad, así como la manera en la que los usuarios otorgan su consentimiento, puesto que ya no será válido el consentimiento tácito.
En este sentido, será necesario informar al usuario mediante un sistema de capas de información en el tratamiento de datos. Por ejemplo, en el formulario de registro, en el checkbox de la aceptación de la casilla de la Política de Privacidad será necesario ofrecer al usuario una información preliminar y básica sobre quien es el responsable del tratamiento de datos, la legitimación para el tratamiento de esos datos, las finalidades del tratamiento, si se van a llevar a cabo cesiones a terceros o se realizarán transferencias internacionales de datos y los derechos con los que cuenta el usuario. Una vez el usuario haga click sobre el enlace de la Política de Privacidad se le redirigirá al texto completo de la Política donde podrá obtener más información sobre el tratamiento de datos. Esto se debe a que con esta nueva normativa se amplía el contenido del deber de información a los interesados.
Además, otra cuestión que deben tener muy en cuenta los ecommerce es el tema de las comunicaciones comerciales. Al ser necesario el consentimiento expreso del usuario para cada una de las finalidades será preciso que el usuario acepte expresamente el envío de comunicaciones comerciales propias de la empresa, y en el caso de que se lleven a cabo comunicaciones comerciales de terceros será necesario también el consentimiento expreso del usuario.
BDM: ¿Cómo cambia la forma en captar registros online con la nueva GPDR?
JMByJLN: Esta normativa va a suponer un gran cambio, en especial para las empresas de marketing digital, porque se ha modificado la forma en que se recaban los consentimientos de los usuarios, por lo tanto, todos los formularos de registro y modalidades de captación de datos van a tener que ser modificados.
En este sentido, los usuarios deberán prestar su consentimiento expreso para cada una de las finalidades del tratamiento, por lo que será necesario incluir diferentes checkbox para que los usuarios puedan otorgar su consentimiento de forma expresa e individual para cada una de ellas.
Con esta nueva normativa la generación de leads se hace mas costosa puesto que es más difícil conseguir la conversión debido al número de checkbox necesarios.
BDM: ¿Cambia la forma en dar el consentimiento?
JMByJLN: La forma en la que los interesados deben otorgar su consentimiento se ha modificado sustancialmente.
Hasta ahora nunca se había tenido en cuenta la transparencia total de cara a este procedimiento, tomando como válido el silencio del usuario o la inacción del interesado, pero el GDPR establece que es necesario que el usuario otorgue su consentimiento expreso de manera inequívoca, por lo que afecta directamente a la toma de datos por parte de las empresas.
Además, el consentimiento deberá ser explicito en los casos de transferencias internacionales, decisiones individuales automatizadas y elaboración de perfiles, y tratamiento de datos sensibles, por tanto, será fundamental que exista un registro inmutable que deje constancia del tratamiento en cuestión. A nivel técnico es factible utilizar tecnlogías criptográficas como la firma digital que sirvan como garante de estos procedimientos.
Por otro lado, el Reglamento General de Protección de Datos indica que en el caso de que el tratamiento de datos del interesado se vaya a realizar para diferentes finalidades será necesario que el interesado otorgue su consentimiento para cada una de estas finalidades. Esto implica que las empresas deben revisar la forma en la que obtienen y registran el consentimiento, ya que que ser verificable, por lo que se deben proveer de servicios que permitan demostrar el otorgamiento de este por parte del interesado.
BDM: ¿Cómo se han ido adaptando las empresas españolas según su punto de vista?
JMByJLN: El GDPR entró en vigor hace dos años, por lo se otorgó un periodo de transición en el que las empresas deberían haberse adaptado al GDPR para que llegado el 25 de mayo de 2018 (fecha de aplicación del GDPR) cumpliesen con la nueva normativa, pero lo cierto es que nos encontramos con muchos casos en los que las empresas han empezado la adaptación tardíamente y muchas de ellas todavía no han empezado.
Recomendamos que todas aquellas empresas que todavía no han iniciado su adaptación lo hagan ya que de lo contrario se enfrentan a multas que alcanzan los 20 millones de euros o el 4% del volumen de negocios total anual del ejercicio financiero anterior.