Índice
El mejor contenido en tu bandeja de entrada
El Reglamento General de Protección de Datos (RGPD) supuso un antes y un después en todas las áreas de la economía y la sociedad en su conjunto. La forma en la que se recogen, tratan y almacenan los datos por parte de las empresas y los particulares es ahora mirada con lupa por los reguladores.
Esta normativa afecta a compañías, autónomos o profesionales independientes que realicen actividades económicas de forma regular. Esto significa que nadie puede pasar por alto los requisitos y estándares que marca esta nueva regulación. Tras esto, han entrado en juego los proveedores de servicios electrónicos de confianza, ofreciendo soluciones RegTech asequibles y escalables para cumplir de forma automatizada con los mandatos del RGPD.
Qué es el Reglamento General de Protección de Datos RGPD
El RGPD - Reglamento General de Protección de Datos o GDPR por sus siglas en inglés - es la normativa aprobada por el Parlamento Europeo y el Consejo de la Unión por el cual se regula cualquier aspecto relacionado con el tratamiento de los datos personales de los individuos.
Esta norma pone foco en la protección de esos datos ofrecidos por las personas físicas a otras organizaciones, empresas, instituciones o profesionales y cómo son utilizados o distribuidos. Sus requisitos generalmente aplican cuando un sujeto está en posesión de datos de ciudadanos o residentes de la Unión Europea, además de solicitar controles a las empresas europeas con respecto al tratamiento que hacen de los datos de personas no residentes si estas los han entregado en territorio europeo y bajo un marco de prestación de servicios o compraventa de productos (cualquier actividad comercial o de marketing no-de-pago incluídas).
El Reglamento General de Protección de datos entró en vigor el 24 de mayo del año 2016, aunque no fue hasta el 25 del mismo mes de 2018 cuando empezaron las sanciones y multas por no cumplir con él de forma exhaustiva. En ese periodo de dos años las empresas transformaron sus procesos y operaciones de tal forma que estas cumplieran con los requisitos acordados en el reglamento. Sin embargo - y desafortunadamente -, aún a día de hoy no podemos decir que todas las organizaciones y compañías están cumpliendo adecuadamente con el RGPD.
El RGPD venía a sustituir a su predecesora, la Directiva de Protección de Datos (adoptada en 1995). Con el auge de las transacciones online y la preocupación generalizada por el uso que estaban haciendo algunas compañías de los datos personales de sus clientes, tanto esta pasada directiva como la variedad de normas de protección de datos de los distintos estados miembro de la UE necesitaban ser actualizadas.
Además, el nuevo reglamento no sólo reemplaza toda la legislación existente en materia de protección de datos de carácter personal, sino que amplía y extiende los derechos de los ciudadanos y usuarios sobre sus datos y la información que han facilitado. Es más, incluso es capaz de otorgar la posibilidad a los usuarios de gestionar de forma prácticamente inmediata el uso de los datos personales que hacen las empresas a posteriori.
Sobre la Ley Orgánica de Protección de datos - LOPD
Aunque las búsquedas en internet sobre la LOPD - Ley Orgánica de Protección de Datos- siguen siendo habituales, lo cierto es que esta norma de 1999 ya no está en vigor. Si queremos profundizar en cómo la legislación española se adaptó para traspasar a su marco jurídico el RGPD, debemos fijarnos en la LOPDGDD (Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales).
Igual que el resto de los países europeos, España sustituyó sus normativas propias en materia de protección de datos para que su marco legal fuera como mínimo tan exigente como lo es el Reglamento General de Protección de Datos Europeo. El 6 de diciembre de 2018 entró en vigor la LOPD-GDD.
De esta forma,con la transposición nacional por parte de los estados del RGPD, el reglamento europeo se hizo extensible a todos los mercados de la unión e impactó en todas las facetas de la economía y la sociedad. Las agencias de protección de datos empezaron incluso a facilitar herramientas para aquellas empresas que realizan tratamientos de datos personales de tal forma que estas pudieran analizar el impacto del nuevo marco regulatorio según sus características y la naturaleza de sus actividades.
Es importante entender que cualquier negocio, organización o profesional que realice actividades económicas es susceptible de cumplir con los requisitos del RGPD, ya que este afecta a prácticamente cualquier actividad. Datos personales de contacto o facturación, incluso algunos tan sencillos como el correo electrónico, el nombre y apellidos o el número de teléfono, deben tratarse con la máxima diligencia.
Aún así, los gobiernos recuerdan que estas herramientas de auto-evaluación son únicamente orientativas y no garantizan el absoluto que los procesos del negocio o compañía estén cumpliendo fidedignamente con los requisitos del reglamento de protección de datos o las leyes nacionales equivalentes. Por ello, se aconseja acudir a los proveedores de servicios electrónicos de confianza (Trust Services Providers) y especialistas RegTech para examinar junto a ellos los procesos de la compañía, proponiendo herramientas sencillas para automatizar su cumplimiento.
eIDAS, una estrategia conjunta junto con el GDPR
Los países europeos se marcaron como estrategia global la creación de un ecosistema que pueda considerarse un mercado único digital. Este proyecto tiene como objetivo crear oportunidades y sinergias entre los players europeos así como facilitar la implantación y las inversiones de otras compañías en territorio UE.
Normativas como AML6 (Sixth Anti-Money Laundering Directive) y eIDAS - junto al RGPD - son parte de esta estrategia y contribuyen al desarrollo de un marco homogéneo en el que usuarios y empresas puedan obtener lo mejor unos de otros.
El Reglamento eIDAS (electronic IDentification, Authentication and trust Services) se complementa con el RGPD y la Directiva NIS (que garantiza un elevado nivel de seguridad de redes y sistemas de información) para crear un marco digital de transacciones seguras. Esto habilita casos de uso relevantes como la apertura instantánea de cuentas bancarias a través de internet, la contratación de seguros o la domiciliación de facturas de servicios utilities (luz, agua, gas, teléfono…).
Software y aplicaciones para proteger los datos de las empresas
Las disputas por el tratamiento que hacen las empresas de los datos de sus clientes han aumentado exponencialmente en los últimos años. La sensibilización por parte de los usuarios y las campañas de concienciación emitidas en los medios de comunicación hacen cada vez más difícil que una compañía pueda permitirse no cumplir exhaustivamente con los mandatos del Reglamento General de Protección de Datos.
Por ello, los negocios han empezado a contar con software RegTech especializado diseñado para que sus procesos cumplan con los requisitos de este reglamento. En la mayoría de los casos, no es un mero software instalable que ayuda a cumplir a procesos ya establecidos, sino que los negocios integran herramientas que resuelven casos de uso donde el RGPD entra en juego.
La adecuación normativa con el reglamento se basa principalmente en mantener actualizada y conforme a consentimiento la documentación de los clientes, empleados y usuarios. Se debe llevar un registro de operaciones (trazabilidad) que debe ser incluido en los RAT (Registros de Actividades de Tratamiento).
Por ello, las herramientas de firma electrónica y comunicaciones certificadas destacan entre los software más importantes y completos para cumplir con las normas de protección de datos y al mismo tiempo digitalizar tareas como la contratación (tanto comercial como laboral) o la aceptación de condiciones.
Firma electrónica y digital para la protección de datos
Uno de los puntos clave en relación al tema que nos ocupa es el del consentimiento. Gran parte de los problemas y de las disputas con los clientes es acerca de la obtención de su permiso para la utilización de sus datos de una u otra manera.
La firma electrónica (basada en eIDAS y conforme a al RGPD) viene a resolver este asunto gracias a la creación de un modelo ágil y garantista en el que obtener el favor de un cliente a través de una herramienta sencilla y cómoda. El cliente percibe seguridad al aprobar sus peticiones o consentimientos a través del sistema de un Trust Services Provider aprobado por el ministerio del país en cuestión, mientras que las empresas ganan el respaldo que necesitan de cara a posibles problemas o disputas.
Dejar registro y sellar la actividad de los usuarios conforme a la regulación es un imperativo legal además de un seguro para la sostenibilidad del negocio. Las mejores soluciones de firma electrónica avanzada y con certificado son capaces de lanzarse en las aplicaciones de la empresa sin necesidad de instalar programas complejos gracias a su propuesta webservice. Cumplir con el RGPD es ahora más fácil y asequible que nunca, tanto para grandes corporaciones como para PYMES o autónomos.
Casos de uso relevantes donde tener en cuenta el RGPD
La recopilación y el procesamiento de datos es un procedimiento habitual en todas las funciones de la empresa. Sin embargo, hay determinadas áreas funcionales que tienen una mayor carga de trabajo respecto de este tipo de asuntos.
Ahora, con la nueva norma de protección de datos, consideramos datos a proteger muchos que anteriormente no eran sensibles. Las direcciones IP, los datos de localización o incluso aquellos que definen identidades culturales o sociales deben ser tratados con el máximo cuidado.
Aquello que las empresas hacen con los datos y los datos en sí mismos son mucho más controlables por los usuarios, que han visto aumentados sus derechos en gran medida sobre la información que ya hayan decidido ceder, pudiendo cambiar de parecer en cualquier momento y obligando a las compañías a modificar estos acuerdos. Esto ha provocado que las empresas deban establecer procedimientos para estas situaciones.
Afortunadamente, como hemos visto, las empresas pueden contar ahora con herramientas sencillas que faciliten estos procedimientos y que ya tengan estandarizados los modelos de funcionamiento de estos exigidos por el RGPD.
Recursos Humanos
En el área de gestión del talento y las relaciones laborales, surgen muchísimos aspectos a tener en cuenta en relación a la recogida y tratamiento de datos conforme al RGPD y la LOPD. Es crucial que los equipos de recursos humanos y personal cuenten con herramientas de firma electrónica para una gran variedad de casos de uso.
Fichajes, envíos de nóminas, firma de contratos laborales, de prácticas, acuerdos con organizaciones sindicales, universidades… El cumplimiento del reglamento con una solución de firma electrónica es crucial para este tipo de casos.
Clientes y transacciones comerciales
El Reglamento General de Protección de Datos también afecta a la contratación de terceros que sea utilizada para manejar datos. Esto convierte en responsables a las empresas que recogieron los datos si hay un mal uso por parte de un proveedor o tercera parte. Esto implica un gran cuidado por parte de los departamentos de marketing, operaciones y ventas y sus agencias o proveedores de servicios profesionales del área.
Los procesos de contratación de productos y servicios, así como la recogida de información para su activación, deben realizarse con cuidado y bajo las normas de la regulación no sólo general de datos sino también teniendo en cuenta las normativas sectoriales.
En industrias como las BFSI (Banca, Finanzas y Seguros) en las que las normativas AML entran en juego junto con las de protección de datos, la sensibilidad de estas operaciones y su nivel de riesgo es realmente alto. Por ello, contar con herramientas Know Your Customer con las que validar y verificar la veracidad de la información y los datos entregados por los clientes es necesaria incluso más allá de su posterior almacenamiento y tratamiento conforme a la ley.
En cualquier industria
Como adelantábamos al principio de este artículo, más allá de los recursos humanos y las relaciones comerciales - áreas donde el RGPD entra en juego con grandísimo impacto -, el reglamento afecta a absolutamente todas las industrias.
De esta forma, deben tenerse en cuenta los tres tipos de actores respecto a los datos: interesados, controladores y procesadores. Con esta base, todas las empresas deben empezar a estandarizar procesos para no caer en las sanciones y multas que implica el no cumplir estrictamente con los requisitos RGPD. Recordemos que los controladores y procesadores indicados pueden estar en cualquier parte del mundo, no necesariamente en la UE.
El derecho de supresión (derecho a ser olvidado), la portabilidad de datos, la gobernanza y la información sobre el tratamiento deben ser cumplidos en cualquier circunstancia. Afortunadamente, contar con las herramientas adecuadas para ello nos hará ahorrar costes, dar agilidad a la actividad de la compañía y ganar la confianza de nuestros clientes potenciales y actuales usuarios, lo que revertirá en un gran crecimiento.