Reglamento General de Protección de Datos: responsabilidades, sanciones y requisitos
By Sergio Rojas, Post
El Reglamento General de Protección de Datos (GDPR) es una normativa reguladora con la que el Parlamento Europeo pretende fortalecer y unificar la protección de la información en la Unión Europea, así como la información que se exporta hacia el exterior. GDPR persigue devolver a los ciudadanos el control de sus datos y simplificar el Reglamento para el comercio internacional, unificando la normativa en toda la UE.
Introducción sobre GDPR
Está previsto que sea obligatoria a partir del 25 de mayo de 2018 y no requiere que el gobierno local legisle o regule su aplicación, ya que su aplicación es general para toda la UE.
A continuación, voy a intentar resumir en pocas líneas los puntos más importantes que todos debemos conocer sobre la GDPR.
Ámbito de aplicación
GDPR aplica a todos los datos que son controlados, procesados o almacenados dentro de la Unión Europea, al igual que a todos los datos personales de residentes en la UE. Se consideran “datos personales” cualquier información relativa a un individuo. Quedan excluidos del Reglamento la gestión de datos realizada por las fuerzas de seguridad y órganos judiciales.
Condiciones legales para el procesamiento de la información
GDPR impone que debe cumplirse, al menos, uno de los siguientes requisitos legales para que sea lícito el tratamiento de una información de carácter privado:
- El individuo ha dado su consentimiento explícito para el procesamiento de sus datos personales para uno o varios propósitos específicos.
- El tratamiento de la información es necesario para el cumplimiento de un contrato en el cual, el individuo es receptor del bien o forma parte del contrato de algún modo.
- El tratamiento de la información es necesario para cumplir una obligación legal.
- El tratamiento de la información es necesario para proteger la integridad del individuo u otra persona física.
- El tratamiento de la información se realiza por interés público o por solicitud de las fuerzas de seguridad oficiales.
- El tratamiento de la información es necesario en pro del interés legítimo del prestador del servicio o un tercero asociado, salvo cuando estos intereses entran en conflicto con los intereses del individuo, los derechos de los ciudadanos.
Requisitos de cumplimiento
GDPR exige el cumplimento de 4 principios básicos. Estos son:
- Derecho de acceso: El artículo 15 del Reglamento GDPR establece que el individuo tiene derecho al acceso a la información personal tratada. Las entidades que gestionan la información están obligadas a facilitar, bajo petición del individuo, una copia de sus datos almacenados y para qué están siendo tratados. Asimismo, el individuo tiene derecho a conocer cómo fueron recabados sus datos inicialmente.
- Derecho al borrado: El clásico “derecho al olvido” ha sido reemplazado por un “derecho al borrado” en GDPR. El artículo 17 del Reglamento establece que el individuo tiene derecho a solicitar el borrado de sus datos personales, salvo que el borrado entre en conflicto con alguna de las condiciones legales anteriormente descritas.
- Portabilidad de los datos: El artículo 20 establece que un individuo debe ser capaz de transferir sus datos personales de un sistema de procesamiento a otro, de modo que la entidad que trata los datos no pueda impedirlo. La entidad está obligada a facilitar los datos en formato abierto.
- Protección de los datos por diseño y por defecto: El artículo 25 del Reglamento establece que, tanto los procesos, como los sistemas que intervienen en el tratamiento de los datos, estén diseñados en base a la protección de la información. Básicamente implica que la entidad que trata los datos debe garantizar que los datos permanecen en todo momento en su poder y bajo control. Para esto deberán utilizarse medios de cifrado, para evitar la fuga de información o la pérdida de los datos. Por último, las entidades que traten información persona deben garantizar que los datos son accedidos únicamente cuando es necesario para el propósito o propósitos específicos para los que han sido cedidos.
Concretamente, respecto a los servicios en la nube, se establece que es un sistema seguro siempre y cuando sea la entidad que trate los datos (no el proveedor de servicios en la nube) la que gestione y almacene las claves de cifrado.
Responsabilidades
Cada estado miembro de la UE establecerá una Autoridad Supervisora que atenderá e investigará las quejas de los ciudadanos. También gestionará las sanciones y acciones legales aplicables. Cualquier entidad que trate datos personales deberá tener asignada una Autoridad Supervisora.
El contrato de cesión de datos personales debe especificar el tiempo de retención de los datos, información de contacto de la entidad que tratará los datos. Los individuos tienen derecho a cuestionar el tratamiento realizado por algoritmos automatizados. A esto es lo que se ha llamado “Derecho a la explicación” para tratamientos automatizados.
En todo momento la entidad que trata los datos deberá poder demostrar el cumplimiento de los requisitos indicados en la normativa GDPR.
Sanciones
Las sanciones previstas son:
- Advertencia por escrito en el caso de ser la primera disconformidad no intencional.
- Una multa de 10.000.000€ o hasta un 2% de la facturación del ejercicio anterior (el que sea mayor) en casos de incumplimiento reiterado y/o deliberado de las obligaciones establecidas por GDPR.
- Una multa de 20.000.000€ o hasta un 4% de la facturación del ejercicio anterior (el que sea mayor) en casos de infracción de los derechos de los individuos, acciones que supongan un riesgo para la integridad de las personas físicas o incumplimiento de una orden de suspensión de tratamiento de la información por parte de la Autoridad Supervisora.
Microsoft 365 y GDPR
Debido la necesidad del cumplimento de la normativa GDPR, las entidades que gestionen datos de carácter personal requieren el uso de sistemas que incorporen todos los medios para el cumplimiento de esta.
Funcionalidades como la recuperación de elementos eliminados, establecimiento de los periodos de retención de la información, herramientas Mobile Device Management para control y análisis del acceso a los datos por los dispositivos, Intune, etc., permiten que una empresa que tenga su infraestructura alojada con la familia de productos Microsoft 365 sea cumpla de forma casi automática con GDPR.
Conviene aclarar que Microsoft 365 simplemente dispone de todas las herramientas integradas para el cumplimiento de GDPR, pero al ser responsabilidad de la entidad que trata los datos, debe procedimentarse y controlarse a nivel operativo de la empresa.