“El RGPD abre un campo muy interesante en el área de la fidelización del cliente”, Rafel Roig

Entrevistamos al experto legal y profesor de nuestro curso "Protección de datos: adáptate al RGPD" para conocer todos los detalles de la nueva legislación europea.

RGPD_entrevista_Rafel_Roig

Llevamos meses oyendo hablar sobre el nuevo Reglamento europeo de Protección de Datos, más conocido como RGPD. De hecho, con su entrada en vigor el 25 de mayo de 2018, tod_s recibimos decenas de emails de compañías que nos pedían que confirmásemos nuestros datos y el consentimiento para seguir recibiendo comunicaciones.

Sin embargo, la sobreinformación existente ha conducido en muchos casos a la confusión y a las dudas en profesionales directamente afectados por esta legislación. Por eso, hemos decidido contar con la ayuda experta de Rafel Roig, partner en la firma AGTIC Consulting y profesor de nuestro MOOC Protección de datos: adáptate al RGPD.

Antes de dejarte con la entrevista, te recordamos que acabamos de lanzar la guía completamente gratuita RGPD fácil para departamentos de Recursos Humanos. Si trabajas en este área te recomendamos que te hagas ya con ella. Conocerás cómo afecta el reglamento a tu día a día y sabrás qué acciones debes emprender.

 

Rafel Roig¿Cuáles son las principales novedades del RGPD respecto a la legislación anterior en materia de protección de datos?

El RGPD supone un cambio radical en lo que había sido hasta ahora la protección de datos personales. Los cuatro aspectos más relevantes considero que son:

En primer lugar, aporta una normativa común a todos los estados miembros de la Unión Europea y tiene efecto sobre responsables y encargados del tratamiento de datos a nivel mundial. De este modo, se protege al ciudadano europeo siempre y cuando el tratamiento de sus datos se realice en territorio europeo.

En segundo lugar, deja de proteger el dato personal en sí mismo y se centra en el tratamiento que se realiza del dato personal debiendo ser éste lícito en cualquier caso. Esto se consigue vía consentimiento inequívoco del interesado u otra forma de licitud como, por ejemplo, el establecimiento de un contrato o el cumplimiento de una normativa. Un efecto claro de esta novedad es que deja de ser necesario comunicar a la Agencia Española de Protección de Datos los ficheros con datos personales titularidad de cada responsable del tratamiento.

En tercer lugar, deja de concretar las medidas de seguridad a ser aplicadas y determina que éstas deberán escogerse en función de un análisis de riesgos sobre cada uno de los tratamientos de datos personales. Para ello se tomará en consideración el cumplimiento de los derechos y las libertades de las personas físicas, así como el estado de la técnica en cada momento.

En cuarto y último lugar, el RGPD exige un control proactivo de la seguridad para detectar y resolver brechas de seguridad que pudieran afectar negativamente a los datos personales. Éstas deben ser comunicadas a los propios interesados, así como a alguna de las Agencias de Protección de Datos europeas, la más cercana o la que prefiramos según nuestra propia organización interna.

 

El consentimiento inequívoco es fundamental en el nuevo reglamento. ¿En qué consiste exactamente? ¿qué aspectos se deben cumplir para que sea considerado así?

Hasta ahora el consentimiento en el tratamiento de datos personales podía ser tácito, es decir, era suficiente con informar al interesado de la finalidaddel tratamiento, el responsable del tratamiento, las cesiones de datos existentes y sus derechos. Añadir la cláusula de protección de datos en el sitio oportuno era suficiente.

Ahora el consentimiento debe ser inequívoco, es decir, una declaración o una clara acción afirmativa que el responsable del tratamiento debe demostrar que dispone a no ser que, como hemos comentado, el tratamiento de datos pueda enmarcarse en otro tipo de licitud. Ello implica la necesidad de obtener evidencias para cada tratamiento de datos personales directamente del interesado, las cuales demuestren esta declaración afirmativa.

En el caso de evidencias en soporte papel, deberán redefinirse los procedimientos y sensibilizar a todo el personal en contacto con los interesados para que recojan estas evidencias y puedan resolver satisfactoriamente las dudas que les plantee a los interesados.

En el caso de evidencias electrónicas, deberán añadirse controles efectivos en los sistemas de información que permitan poder demostrar razonablemente la identidad de la persona que otorga el consentimiento y la clara declaración afirmativa del mismo. Nuevas tecnologías como la firma electrónica o el blockchain tomarán un papel relevante en la generación de estas evidencias.

 

Otras expresiones que figuran en el RGPD son la seguridad desde el diseño y la seguridad por defecto, ¿en qué consisten?

Se trata de principios básicos de los estándares internacionales de seguridad de la información que el RGPD toma como suyos y establecen que:

Seguridad desde el diseño: todo sistema de información incorporará desde su concepción actividades dirigidas a definir controles informáticos que aseguren la confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad de la información

Seguridad por defecto: todo sistema deberá configurarse de forma segura antes de su puesta en producción evitándose errores de seguridad conocidos, así como permitiendo sólo el tratamiento de los datos personales qué es lícito tratar y en la forma que resulte lícito tratarlos.

 

¿Qué precauciones debemos tomar en materia de almacenamiento y copias de seguridad de ficheros con datos personales?

Lo más importante es que sigamos las directrices que nuestra empresa haya establecido en esta materia de seguridad, ya que la forma en como se almacenarán y se realizarán copias de seguridad dependerá del tipo de tratamiento de datos que hagamos y de la tecnología usada.

Adicionalmente, es necesario aplicar el sentido común no facilitando datos de acceso a los sistemas de información, compartiendo información sólo con el personal autorizado y dudando de cualquier correo o programa que resuelte sospechoso, comunicando eficazmente la incidencia por el canal establecido en la empresa.

También resulta muy importante asegurarnos de que los datos que tratamos son los mínimos necesarios para el tratamiento que se está realizando y de acuerdo a las finalidades del tratamiento lícitas. En caso de duda es mejor transmitir la duda al delegado de protección de datos o cargo similar en nuestra empresa.

 

¿Qué debemos tener en cuenta a la hora de eliminar de manera segura los datos?

Antes que nada decidir cuánto tiempo deben tratarse los datos personales. Esta es una cuestión complicada, pues implica el análisis de las distintas normativas que puedan estar vinculadas, pero es algo que exige el RGPD, incluso comunicándose a los interesados.

Los datos deben ser eliminados de manera que no puedan ser recuperados utilizando para ello destructoras de papel y los soportes informáticos necesarios, así como vaciando la papelera del ordenador. También se deberán seguir otras directrices establecidas en nuestra empresa sobre la materia.

 

Además de cumplir con la legislación y evitar las sanciones, ¿qué beneficios tiene para las empresas seguir al pie de la letra el RGPD?

Cumplir con el RGPD se puede convertir en un elemento de fortalecimiento de nuestra reputación.

Ser transparentes y consistentes con los interesados de los tratamientos que se realizan de sus datos personales, de las medidas de seguridad aplicadas y de la gestión de las incidencias sucedidas con sus datos facilitará el establecimiento de relaciones continuadas en el tiempo con los propios interesados, abriendo un campo muy interesante en el área de la fidelización del cliente.

 

guia_RGPD_RRHH

 

Alberto Peñalba

Alberto Peñalba

Marketing Manager