• 91 536 37 87
  • Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.

Manuela Estupiñán: "La protección de datos acompañando a la Transformación Digital"

El 28 de enero se celebra el Día Internacional de la Protección de Datos personales, una iniciativa adoptada por el Consejo de Europa y la Comisión Europea y las autoridades de Protección de Datos de los estados miembros de la Unión Europea. El objetivo de esta celebración es el de concienciar y promover las mejores prácticas de privacidad y protección de la información. 

En esta fecha se conmemora la aprobación del Convenio 108 que vino a «garantizar a cualquier persona física sean cuales fueren su nacionalidad o su residencia, el respeto de sus derechos y libertades fundamentales, concretamente su derecho a la vida privada, con respecto al tratamiento automatizado de los datos de carácter personal correspondientes a dicha persona («protección de datos»)»

La situación creada por la pandemia de la COVID-19 obligó a muchas empresas a llevar a cabo una transformación digital acelerada para poder sobrevivir, en muchos casos sin adoptar medidas de seguridad para proteger la información sensible que manejaban. En la actualidad, existen políticas de acompañamiento para que autónomos y Pymes lleven a cabo una transformación digital con garantías, cumpliendo con los estándares de seguridad y respetando el derecho a la protección de datos personales, a través del Plan de Recuperación, Transformación y Resiliencia con iniciativas como Acelera Pymes, kit digital, entre otras.       

Los procesos de transformación digital de las organizaciones implican la introducción de nuevas tecnologías que generan grandes cantidades de datos relativos a las personas, cuyo conocimiento y plantean riesgos para el uso de sus derechos y libertades, en concreto para sus derechos fundamentales a la intimidad ya la protección de datos personales, colocando a la protección de estos en el centro de sus procesos. De ahí, que para que el proceso de transformación digital sea confiable y seguro, tiene que ir acompañado del cumplimiento de la normativa aplicable en protección de datos personales, el Reglamento (UE) 2016/679 y la Ley Orgánica 3/2018,de Protección de Datos Personales y garantía de los derechos digitales (no olvidemos que no estamos protegiendo datos sino derechos y libertades de las personas físicas) y por la implementación de políticas de seguridad realmente eficientes y que comprometan al conjunto de la organización de modo efectivo. Podemos considerar un la seguridad de la información y el cumplimiento de los principios de privacidad y protección de datos como los elementos básicos para la transformación digital .

Así, según el artículo 25 del RGPD, cualquier aplicación, cualquier tecnología o procedimiento que trate datos personales debe construirse desde la protección de datos desde el diseño y por defecto como prerrequisito.Por tanto, desde el momento en que se diseña un sistema, se contrata un servicio, o se plantea el desarrollo de un proyecto o proceso de negocio que implique el tratamiento de datos, al tiempo que analizamos aspectos como su viabilidad económica y aplicabilidad también tendremos que valore como afecta al tratamiento de datos personales, de tal forma que se apliquen medidas técnicas y organizativas dirigidas a la protección del dato “teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y multas del tratamiento, y los posibles riesgos que entraña un tratamiento determinado”.

¿Cómo cumplir con los principios de privacidad y protección de datos?

Si es el caso, designar un Delegado de Protección de Datos (DPD) que se encargará de informar y asesorar a los miembros de la organización que se ocupen del tratamiento de los datos, supervisar el cumplimiento, cooperar con las autoridades de control y atender las peticiones de los usuarios.

 Cumplir con los principios fundamentales de protección de datos que nos permita crear sistemas de protección que prevengan los riesgos, siendo estos:

- Principio de licitud, lealtad y transparencia. Legitimar los tratamientos de datos que se solicitan e informar previamente de todos los usos.

- Principio de finalidad. Recogidos con fines determinados, explícitos y legítimos, y no serán tratados posteriormente de manera incompatible con dichos fines

- Minimización de datos. Sólo se recabarán los datos mínimos en relación con los fines para los que son tratados.

 - Principio de exactitud. Los datos que tratamos deben ser exactos y, si fuera necesario, actualizados, para ello se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan.

- Limitación del plazo de conservación. Mantenidos durante no más tiempo del necesario para los fines solicitados.

 - Integridad y confidencialidad. Tratados de modo que se garanticen una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.

Identificar los tratamientos de datos de carácter personal a realizar y elaborar un Registro de Actividades del Tratamiento (RAT), identificando para cada tratamiento su Responsable y Encargado y mantenerlo actualizado.

Determinar la base legitimadora del tratamiento. El artículo 6 del RGPD establece que el tratamiento no será lícito si no cumple una de las seis bases posibles: el consentimiento inequívoco del interesado; interés vital del interesado; interés público; necesidad contractual; en cumplimiento de obligaciones legales, o por interés legítimo del responsable del tratamiento de datos.

Cumplir con el deber de informar y obtener el consentimiento. Informar adecuadamente a los interesados sobre los tratamientos realizados, los derechos que les asisten y como ejercerlos. Se requiere que los interesados manifiesten clara y específicamente su consentimiento al tratamiento de sus datos y saber que lo pueden retirar en cualquier momento.

Los usuarios como propietarios de sus datos, ¿qué derechos tienen sobre su tratamiento? A los ya consolidados de acceso, rectificación, cancelación y oposición, se añaden:

- El derecho de portabilidad, por el que los interesados pueden solicitar a los responsables sus datos personales en formato estructurado y/o su transmisión a otro responsable.

- El derecho a la limitación del tratamiento, por el que el responsable deberá minimizar el tratamiento sobre los datos de un interesado en determinados casos.

 - El derecho al olvido, por el que los interesados tendrán la posibilidad de solicitar que sus datos sean suprimidos y/o detenida su indexación en el caso de entornos de tratamiento en línea.

- El derecho a no ser objeto de decisiones automatizadas, por el que los interesados podrán solicitar intervención humana en el caso de tratamientos totalmente automatizados.

- Además, podrá presentar una reclamación ante la Autoridad de Control.

El responsable debe tener adaptados los formularios de solicitud, dar respuesta en el plazo establecido y de modo gratuito.

Implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la protección de los datos de carácter personal de los interesados como resultado de los análisis de riesgos realizados y establecer un protocolo para la gestión y notificación de brechas de seguridad. Teniendo en cuenta que el RGPD establece un período máximo de 72 horas para su notificación.

Firmar cláusulas contractuales con los Encargados de tratamientos que deberán recoger aspectos como: acuerdos de confidencialidad, colaboración en caso de brecha de seguridad, en caso de extinguirse la colaboración que hacer con los datos que venían tratando…

Formación y concienciación de empleados y colaboradores. Será necesario formar e informar a todos los que traten datos personales de los que somos responsables de cómo deben actuar, las precauciones que deben tener o cuál es su participación dentro de las medidas técnicas y organizativas de la empresa, por ejemplo, cómo actuar ante incidentes de seguridad, como responder a solicitudes de ejercicio de derechos, entre otros.

Otra de las imposiciones del RGPD es la responsabilidad proactiva, en la que la definición de los procesos de cumplimiento normativo, su documentación y mantenimiento resultan esenciales. Se trata de un proceso de mejora continua, que nos lleva a analizar los procesos y procedimientos que afectan a todos los tratamientos de datos de la organización, revisarlos y realizar las adecuaciones necesarias para minimizar los errores de forma permanente.

En definitiva, cumplir con la normativa en materia de privacidad y protección de datos, puede suponer una mejora en los resultados y la competitividad de las organizaciones, además, de aportar seguridad y confianza favoreciendo la transparencia y reputación frente a clientes y usuarios.Integrar los principios del RGPD en las organizaciones, la preparará para aprovechar los nuevos modelos de negocio basados ​​en tecnologías innovadoras y, seguir siendo competitivos en un mercado basado en las tecnologías de la información. En cambio, el incumplimiento se puede traducir en pérdidas económicas, bien por las sanciones impuestas por la autoridad de control, o por daño reputacional, además, de perder la oportunidad para incorporar las tecnologías emergentes a las organizaciones y ser más competitivos.