Beginner's Guide to GDPR Compliance for Entrepreneurs

Summary

El Reglamento supone un cambio de mentalidad ya que ahora el cumplimento, estará basado en una responsabilidad proactiva, es decir la capacidad de construir y demostrar que el tratamiento de datos personales se lleva a cabo de acuerdo al Reglamento y con miras a la protección de los derechos y libertades de las personas físicas. La reforma pretende implantar un modelo basado en una gestión enfocada a los riesgos, dejando a un lado el modelo anterior más formal.

Hay que resaltar de igual modo, como la Agencia Española de Protección de Datos (AEPD) nos recuerda la importancia de mantener documentados todos los procesos, con el objetivo de acreditar el cumplimiento de lo expuesto en el RGPD.

Al respecto, la AEPD pone a disposición diversas guías y herramientas encaminadas a facilitar el cumplimiento del RGPD (que se indicarán como recursos en el presente documento), si bien y como la misma advierte, el uso de estos recursos no implica necesariamente el cumplimiento del Reglamento, por lo que siempre será necesario aplicar la debida diligencia en el uso de dichas guías y herramientas.

I. DOCUMENTACIÓN, RESPONSABILIDAD PROACTIVA

A continuación se indica los aspectos a valorar ante un tratamiento de datos:

1. Privacidad desde el diseño (Privacy by Design)
2. Análisis de riesgo
3. Registro de actividades de tratamiento
4. Evaluación de impacto
5. Información al interesado
6. Contratos entre responsable y encargado de tratamiento
7. Medidas de seguridad
Veamos cada uno de los puntos en detalle. 

1. Privacidad desde el diseño (Privacy by Design): la protección de datos desde el diseño y por defecto recogido en el artículo 25.1 RGPD, supone para el emprendedor la obligación de atender a los 7 principios básicos de la privacidad por diseño. Esto conlleva que al desarrollar, diseñar, seleccionar y usar aplicaciones, productos o servicios, deberá tener la precaución de analizar qué situaciones pueden suponer una invasión a la privacidad antes de que pudiera suceder. Además, las tecnologías utilizadas deben estar pensadas para proteger la privacidad desde el inicio y debe ser parte del diseño de la aplicación, producto o servicio sin que perjudique su funcionalidad. Se debe también proteger el ciclo de vida de la información en todo momento (desde que se facilite el primer dato personal) ofreciendo visibilidad y transparencia para que cualquiera de las partes o terceros comprueben el respeto a la privacidad. Por último, hay que recordar que la protección de los interesados afectados por el tratamiento, debe ser el principal referente a la hora de tomar decisiones.
 
2. Análisis de riesgo: al igual que el concepto anterior y muy unido a él, el Reglamento, en sus artículos 25 y 32 RGPD, trata la necesidad de llevar a cabo un análisis de riesgos previo al tratamiento de datos. Analizar el riesgo por ejemplo ante un acceso ilegítimo a los datos, una modificación no autorizada de los datos o una eliminación de los datos. La evaluación de riesgos deberá consistir en valorar la existencia de posibles amenazas así como su impacto y la probabilidad de que realmente se materialice. Una vez identificados los riesgos, habrá que tratar los mismos para disminuir su nivel de exposición. Es decir, se pretende reducir o eliminar la probabilidad de que se materialice así como minimizar su impacto en el caso de que sea inevitable. 
 
Recursos a disposición del emprendedor: la AEPD, pone a disposición la “Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD”, donde se encontrará entre sus anexos las plantillas para valorar si será suficiente con un análisis básico de riesgos o por el contrario, acudir a un análisis de la necesidad de la realización de una evaluación de impacto:
 
 
De igual modo, la AEPD, pone a disposición la “Guía del Reglamento General de protección de datos para Responsables de tratamiento”, que además de contar con contenido de interés para el responsable de tratamiento, en su punto 10 establece la lista de verificación simplificada para tratamientos que probablemente presenten un bajo nivel de riesgo para los derechos y libertades de los interesados y que servirá de igual modo para conocer el grado de cumplimiento:
 
 
 
3. Registro de actividades de tratamiento: el Reglamento en su artículo 30 RGPD establece la obligación de llevar a cabo un registro de las actividades de tratamiento. Este registro deberá constar por escrito, inclusive en formato electrónico y deberá estar a disposición de la AEPD. La obligación de contar con un registro de las actividades de tratamiento será tanto para el responsable de tratamiento como para el encargado de tratamiento. 
Por último, el reglamento establece que este registro no será de aplicación para empresas o organizaciones que empleen a menos de 250 personas, a menos que el tratamiento pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional (por ejemplo un sorteo), o incluya categorías especiales de datos personales o datos personales relativos a condenas e infracciones penales.
Recursos a disposición del emprendedor: La AEPD, pone a disposición en el apartado 6 de la “Guía práctica de análisis de riesgos en los tratamientos de datos personales sujetos al RGPD” ya indicada las plantillas para el registro de actividades de tratamiento:
 
 
4. Evaluación de impacto: recogido en el artículo 35 RGPD, se contempla el supuesto de que tras llevar a cabo un análisis sobre los posibles riesgos (punto 2), hayamos detectado, en particular si utiliza nuevas tecnologías, que el tratamiento entrañe un posible alto riesgo para los derechos y libertades de las personas físicas. El Reglamento nos facilita algunos supuestos en los que debemos realizar dicha evaluación y por tanto un documento más a tener en cuenta por el responsable, pero no hay que olvidar que la propia AEPD establecerá y publicará también una lista de los tipos de operaciones de tratamiento que requieran una evaluación de impacto y asimismo una la lista de los tipos que no requerirán. 
 
Supuestos como el tratamiento a gran escala de datos especiales, la observación sistemática (por ejemplo instalación de videocámaras) a gran escala de una zona de acceso a público o la elaboración de perfiles sobre los cuales se tomen decisiones que produzcan efectos jurídicos, serán objeto de una Evaluación de impacto relativa a la protección de datos (EIPD).
 
Recursos a disposición del emprendedor: la AEPD, pone a disposición la “Guía practica para las evaluaciones de impacto en la protección de datos sujetas al RGPD”, contando con plantillas para documentar la evaluación:
 
 
De igual modo, la AEPD, pone a disposición el “Listado de cumplimiento normativo” que al igual que la “Guía del Reglamento General de protección de datos para Responsables de tratamiento” donde además de la lista de verificación simplificada, cuenta con otro listado más completo en su punto 9. En ambos casos la finalidad es poder valorar los aspectos que deben tener en cuenta durante los procesos de análisis de riesgos y evaluación de impacto y de reflexión sobre el grado de cumplimento.
 
 
5. Información al interesado: la recogida de datos de los interesados debe realizarse atendiendo a los nuevos criterios que establece en Reglamento, ya que ahora se exige ofrecer al interesado mayor información, de acuerdo a los artículos 13 y 14 RGPD (ya sea en el formulario en papel, en formulario web, registro de aplicaciones móviles, entrevista telefónica…).
De acuerdo al considerando 58 así como al artículo 12 del RGPD relativo al principio de transparencia se exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible, fácil de entender y que se utilice un lenguaje claro y sencillo. Hay que recordar que como en el resto de puntos es obligación del emprendedor ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales (articulo 7 RGPD).
Recursos a disposición del emprendedor: La AEPD, pone a disposición la “Guía para el cumplimento del deber de informar” donde se recoge el criterio de informar por capas y sus ejemplos:
 
 
6. Contratos entre responsable y encargado de tratamiento: el RGPD nos indica en su articulo 28 RGPD, que el responsable deberá seleccionar entre sus proveedores al encargado de tratamiento que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, para garantizar el cumplimento del Reglamento y garantice la protección de los derechos del interesado. El considerando 81 por su parte continua indicando que debe poseer conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de dichas medidas técnicas y organizativas (La adhesión a un código de conducta o a un mecanismo de certificación puede servir de elemento para demostrar el cumplimiento). El acuerdo debe recogerse en un contrato que fije el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de interesados. 
 
Recursos a disposición del emprendedor: La AEPD, pone a disposición la “Guía Directrices para elaborar contratos entre responsables y encargados de tratamiento”, si bien como advierte los modelos de cláusulas que incluye en su Anexo 1 no tienen la consideración de cláusulas tipo a los efectos del artículo 28.8 del RGPD:
 
 
7. Medidas de seguridad: el considerando 74 así como el artículo 5.1 f) estable que el responsable está obligado a aplicar las medidas oportunas y eficaces y demostrar que son las más idóneas. Tendrá en cuenta para ello la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas físicas. Por tanto, las medidas deberán adecuarse en función del nivel y tipo de riesgo que suponga el tratamiento, es decir adaptarse a las características de los tratamientos, al tipo de datos que sean tratados y a la tecnología. De igual modo deberá asegurarse de que las medidas se aplican correctamente y si sería conveniente alguna medida de seguridad distinta o adicional.
II. HERRAMIENTA \»FACILITA\»

Especial mención requiere la herramienta que la AEPD pone a disposición de los responsables que lleven a cabo tratamientos de datos personales de escaso riesgo. Con ella, lograremos obtener diversos documentos comentados en el primer apartado, simplificando por tanto la labor de cumplimento del Reglamento. En el supuesto de que la herramienta nos indique que no es posible su uso, debido a las respuestas ofrecidas, será necesario llevar a cabo un análisis de riesgos.
Los documentos que obtendremos tras responder a las preguntas, serán los siguientes (la herramienta también recordará donde incluir el contenido que se genere):
  • Cláusulas informativas que debe incluir en sus formularios de recogida de datos personales (punto 5)
  • Cláusulas contractuales para anexar a los contratos de encargado de tratamiento (punto 6)
  • El registro de actividades de tratamiento (punto 3)
  • Anexo con medidas de seguridad orientativas consideradas mínimas (punto 7)
Finalmente hay que recordar que la propia herramienta advierte que el uso de este programa no garantiza el pleno cumplimiento del RGPD.
Recursos a disposición del emprendedor: La AEPD, pone a disposición la herramienta FACILITA
 
III. PREGUNTAS FRECUENTES
 
¿Seguirá existiendo la obligación de registrar ficheros de protección de datos en la AEPD?
Como nos transmite el considerando 89 del RGPD, la obligación de notificar los ficheros a las autoridades de control no contribuyó en gran medida en mejorar la protección de los datos personales, por lo que ha sido suprimida tal obligación.

¿Cuando será necesario nombrar un Delegado de Protección de Datos?
De acuerdo al articulo 37 del RGPD, la existencia de esta figura será obligatoria para algunos supuestos, en concreto cuando se lleve a cabo un tratamiento de datos que requiera una observación habitual y sistemática de interesados a gran escala, o consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales. En los demás casos no será necesario a expensas de lo indicado por el Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal (artículo 34 PLOPD).
La comunicación del Delegado de Protección de Datos a la AEPD, podrá realizarse en el siguiente enlace:
 
 
¿Cómo se debe recabar el consentimiento del interesado?
No es posible obtener el consentimiento mediante el silencio del interesado, las casillas ya marcadas o la no acción del mismo. El consentimiento en atención al considerando 32 debe ser obtenido mediante un acto afirmativo claro, es decir que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado por aceptar. Hay que recordar que cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos.
¿Qué debemos entender por tratamiento a gran escala de datos?
El Reglamento no define lo que debemos entender por este concepto, salvo la apreciación indicada en el considerando 91, si bien podemos indicar que para su consideración deberemos tener en cuenta el número de usuarios en atención o bien como cifra concreta o bien como proporción de la población. Tendremos en cuenta también el volumen de datos, la duración o permanencia de la actividad de tratamiento de datos y el alcance geográfico de la actividad.
¿Qué datos se consideran categorías especiales de datos personales?
De acuerdo al artículo 9 RGPD, los datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física.
¿Qué hacer ante una violación de la seguridad de los datos personales? 
El artículo 33 RGPD nos indica que ante una violación de la seguridad o quiebra de seguridad, el emprendedor deberá notificarlo a la AEPD a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un verdadero riesgo. En caso de que no se produzca en ese plazo habrá que indicar los motivos del retraso. El responsable deberá, documentar cualquier violación de la seguridad de los datos personales, incluidos los hechos relacionados con ella, sus efectos y las medidas correctivas adoptadas. En el artículo 34 se recoge la comunicación al interesado en su caso.
La notificación de quiebras de seguridad a la AEPD, podrá realizarse conforme a lo indicado en la página 39 de la guía para la gestión y notificación de brechas de seguridad.
 
¿Qué sanciones acarrea el incumplimiento? 
Recogido en el articulo 83 RGPD, las infracciones podrán sancionarse, con multas administrativas de hasta 20.000.000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 4 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
 
¿Puede haber cambios en lo expuesto en este documento?
Como se ha indicado al inicio de este documento, el RGPD es de obligado cumplimento y la futura Ley de Protección de Datos no podrá contradecir al mismo. Si bien el propio Reglamento permite regular ciertos materias a los Estados Miembros. A modo de ejemplo, el proyecto de ley aclarará la edad mínima para dar el consentimiento, determinará el tratamiento de datos de personas fallecidas o dará impulso a la figura de Delegado de Protección de Datos. 
Otros elementos a tener en cuenta, como se ha comentado podría ser el listado de supuestos en los que será necesario y en los que no será necesario realizar EIPD. También habrá que estar atentos a las interpretaciones que a partir de ahora se lleven a cabo o las directrices, recomendaciones y buenas prácticas del Comité Europeo de Protección de Datos.
 
en_GBEN