- ¿Qué debo hacer para que mi sistema/sitio web cumpla con los requisitos del nuevo RGPD?
- ¿Cómo debo adaptar mi sistema para tenerlo todo en orden?
Si trabajas en una gran empresa, seguramente ya se haya empezado a implementar un proceso para que vuestros sistemas cumplan con la nueva regulación, Por el contrario, si eres una empresa más pequeña o sin un departamento dedicado específicamente a estos temas, lo más probable es que no te hayas puesto aun ni a mirar en qué te afecta la nueva regulación.
A partir del Reglamento Europeo, todos los países miembros tendrán que modificar sus respectivas leyes de Protección de datos, adaptándolas a las exigencias del nuevo reglamento. En España, actualmente se encuentra vigente la LOPD 15/1999, pero nuestros legisladores tienen de plazo hasta el 25 de mayo del 2018 para aprobar una nueva LOPD que transponga las disposiciones del nuevo Reglamento, quedando la anterior automáticamente derogada.
Como asesora legal especializada en derecho de las nuevas tecnologías “rodeada” a diario de programadores, en este artículo quiero centrarme en cómo el RGPD afecta precisamente a mis colegas desarrolladores, con el fin de aclarar muchas de las dudas que últimamente me están haciendo llegar y quitar el miedo de todos aquellos que creen que por mero desconocimiento no van a saber implementar las medidas necesarias. Quiero aprovechar de paso para agradecer la ayuda de estos mismos colegas programadores en la redacción de este artículo, sin los cuales posiblemente no hubiera podido escribirlo de forma tan técnica, y me hubiera tenido que limitar, como suele ocurrir en muchos casos, a la esfera legal, haciéndolo por ende inservible de forma práctica para los profesionales de sectores técnicos.
Entrando ya en materia, en el presente artículo, que voy a dividir en 3 partes para no escribir un libro de golpe, voy a tratar de abarcar tantos aspectos de la nueva regulación - de aplicación a los desarrolladores en particular y a profesionales del sector de las nuevas tecnologías en general - como me sea posible. Aun así, en el caso de que después de leerlo os queden dudas sin resolver, siempre podéis dejarlas en un comentario; estaré encantada de resolverlas lo antes posible.
En este primer artículo voy a tratar los siguientes temas:
- Pequeña introducción (recordatorio) sobre las nociones básicas que debes conocer en relación a los datos de carácter personal, para aquellos que necesiten repasar el primer nivel.
- Principales derechos que el nuevo RGPD otorga al interesado, es decir, qué pueden pedirte los usuarios cuyos datos personales tengas almacenados - como profesional – en tu sistema, base de datos, etc. (tanto tú personalmente como cedidos a un tercero).
Antes de entrar en materia, una de las cosas que debes tener clara es que es importante que actualices tu política de privacidad de datos de acuerdo a las exigencias de la nueva ley. La nueva política de privacidad deberá ser aceptada de forma explícita por el usuario mediante la típica casilla de clic y deberá poder entenderse de forma clara y sencilla. Para cada distinto tratamiento que efectúes con los datos del usuario. éste deberá aceptarlos de forma independiente, para luego poder ejercer sus derechos también de forma independiente.
Una medida ideal, que ya están tomando algunas empresas, sería enviar un email a todos tus contactos del tipo "XXX respeta la nueva regulación europea de protección de datos", en el que expliques qué cambios has llevado a cabo y en el que inlcuyas un link a tu nueva Política de privacidad.
- Datos de carácter personal: Básicamente, se trata cualquier información o dato (numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo), que se puede utilizar para identificar de manera única a una persona identificable o ya identificada. Son no solo los datos que el usuario ha proporcionado explícitamente, sino también los que ha recopilado sobre él un tercero o tu mismo sistema, en función de sus actividades en tu sitio web (lo que han estado mirando, lo que han comprado, etc.), que va creando un perfil de ese usuario con toda la información.
- Responsable del tratamiento: Es la persona, empresa u órgano administrativo que recibe los datos inicialmente (el usuario se los otorga con un fin concreto) y decide sobre la finalidad, el contenido y el uso del tratamiento de los datos personales. En el caso de que tengas una empresa de venta de ropa de deporte online, tú serás el responsable de tratamiento de los datos que los usuarios proporcionen en tu web.
- Encargado del tratamiento: Es el tercero (persona física o empresa) que trata los datos por cuenta del responsable, como consecuencia de una relación comercial con éste. El responsable del tratamiento envía los datos al encargado del tratamiento para que realice determinado servicio (p. ej.: empresa de hosting que almacena los datos, gestoría que trata las nóminas, etc.).
Una vez aclaradas las nociones básicas, convendría saber qué derechos otorga el RGPD a los interesados frente a cualquier tercero que trate sus datos - en el caso que nos ocupa, en una página web -.
DERECHOS DEL INTERESADO
Son los derechos que el RGPD prevé para proteger los datos de los usuarios. Aunque una gran parte ya se reconocían en la anterior LOPD, hay algunos son de nueva incorporación, con el objetivo de reforzar los ya existentes.
Antes de entrar al detalla en cada uno de ellos, te avanzo que la forma más práctica de facilitar el ejercicio de todos los derechos a los usuarios es facilitando una cuenta de correo electrónico a la que puedan dirigirse para solicitar la modificación de algún derecho. Por supuesto, tiene que ser una cuenta real que alguien se encarge de verificar a diario, o por lo menos, con cierta periodicidad ;)
¿Qué es?
Probablemente te suene de algo el archiconocido “derecho al olvido”, o lo que es lo mismo, el derecho de todo usuario a solicitar que sus datos sean eliminados de tu sistema.
¿Qué debes hacer?
Debes establecer una forma sencilla que permita eliminar todos los datos personales asociados al ID de un usuario, en caso de que se hayan obtenido con el consentimiento del interesado o en función de los intereses legítimos del responsable (ver más abajo) y no debido a la ejecución del contrato o una obligación legal (en ese caso, mientras perdure la obligación legal, no podría ejercerse ese derecho).
En cuanto a las copias de seguridad, lo ideal es que mantengas una tabla en una base de datos separada (o tener un proceso de copia de seguridad/restauración aparte), con los ID de aquellos usuarios “olvidados”, de modo que cada vez que se restaure una copia de seguridad, puedas eliminar a los usuarios que hayan ejercido tal derecho anteriormente.
Una vez eliminados los datos de tu sistema, estás obligado a informar de ello a todos los terceros a los que hubieras enviado dicha información, para que a su vez procedan a la eliminación. Es decir, si has enviado datos personales a, por ejemplo, MailChimp, Microsoft, Google o cualquier proveedor de servicios en la nube, debes llamar a una de sus API que permita la eliminación de datos personales. Si simplemente se trata de un tercero más “pequeño” o inaaccesible vía API, deberás notificárselo de alguna manera en la que quede constancia (para el caso que tuvieras que probarlo).
Pero eso no es todo. Además, deberás asegurarte de que los datos eliminados no aparezcan en los resultados de los portales de búsqueda. A día de hoy, no es algo tan sencillo, ya que Google no dispone de una API para eliminarlos, sino tan solo de un proceso manual que tú mismo tendrás que llevar a cabo. Por suerte, solo tendrás que hacer esto en el caso de páginas de perfil público que sean rastreables por Google o cualquier otro motor de búsqueda. Idealmente, debes hacer que la página de datos personales vuelva a su estado HTTP 404, para que pueda eliminarse.
2. Derecho a restringir el tratamiento de datos
¿Qué es?
La limitación de tratamiento supone que, a petición del interesado, no se aplicarán a sus datos personales las operaciones de tratamiento que en cada caso corresponderían. Los datos se conservan, pero se marcan como "restringidos" y no se puede acceder a ellos sin el consentimiento expreso del interesado.
¿Qué debes hacer?
Debes habilitar la posibilidad en tu sistema para que el usuario ejerza su derecho a la limitación del tratamiento. Cuando lo haga (después de haber sido informado sobre el procedimiento), el perfil deberá quedar como restringido/limitado. Eso significa que ya no debería ser visible ni para el personal del BackOffice ni de forma pública. Puedes implementar esto con un simple indicador de "restringido" en la tabla de usuarios.
3. Derecho a la portabilidad de datos
¿Qué es?
Nuevo derecho incorporado en el RGPD, que complementa al derecho de acceso, ya que permite a las personas obtener los datos que han proporcionado a una entidad/empresa/organización (responsable del tratamiento) en un formato estructurado, de uso común y de lectura mecánica.
¿Qué debes hacer?
Debes habilitar también la posibilidad de exportar datos. Cuando se haga clic, el usuario debe poder visualizar todos los datos que tengas sobre él. Qué información pueda exportarse, dependerá en cada caso del uso que se le dé. Por lo general, serán al menos los datos que puedan eliminarse con la funcionalidad de eliminación de datos, pero puede haber también datos adicionales (por ejemplo, las órdenes que ha realizado el usuario pueden no eliminarse, pero deberían incluirse en la portabilidad o volcado). A veces la exportación de datos puede llevar cierto tiempo, por lo que deberás notificárselo al usuario cuando sus datos estén listos para efectuar la portabilidad (Twitter, por ejemplo, ya lo hace; puede solicitar todos tus tweets y obtenerlos después de un tiempo). No es exigible implementar una exportación automática - aunque sería lo ideal -, sino que es suficiente con implementar un proceso que permita a los usuarios solicitar la portabilidad de sus datos, que puede llevarse a cabo mediante un proceso manual de consulta de la base de datos.
4. Derecho de rectificación
¿Qué es?
Derecho que permite al interesado solicitar en cualquier momento la rectificación de sus datos personales cuando estos sean inexactos o incompletos.
¿Qué debes hacer?
Los usuarios deben poder corregir/rectificar todos los datos sobre ellos, incluidos los datos que hayas recopilado de otras fuentes (por ejemplo, utilizando un "inicio de sesión con Facebook", puedes haber obtenido su nombre y dirección). Regla de oro: todos los campos en la tabla de "usuarios" deben ser editables a través de la interfaz de usuario. Sin embargo, cuando hayas obtenido los datos de otras fuentes (el usuario no ha proporcionado sus datos directamente). igualmente deberías habilitar alguna herramienta de forma se les permita modificar sus datos.
5. Casillas de verificación de consentimiento
¿Qué es?
Es el derecho a ser informado sobre la naturaleza de cada tratamiento, tanto en el momento de la primera obtención de los datos del interesado como en el caso de que hubiera algún cambio en el tratamiento de los mismos. Y aquí por primera vez se especifica que dicha información debe proporcionarse en términos comprensibles para los no expertas en la materia (gracias, legislador), queriendo así poner fin a la en muchos casos incomprensible jerga legal que tanto abunda.
Esto implica que la casilla en el registro inicial de "Acepto los términos y condiciones" ya no bastará para demostrar que el usuario ha dado el consentimiento para el tratamiento de sus datos. A partir de ahora, para cada actividad de tratamiento en particular, debe haber un consentimiento específico. Cada consentimiento del usuario debe reflejarse de forma independiente en la base de datos, de forma que también se posibilite dejar que los usuarios puedan retirar su consentimiento de forma separada de cada distinta actividad de tratamiento.
¿Qué debes hacer?
Así que, mi recomendación es que prepares una funcionalidad que envíe emails masivos a tus usuarios para pedirles que accedan a tu web/sistema y marquen todas las casillas de verificación para las actividades de tratamiento de datos personales que realices.
Nota: Las casillas de consentimiento no pueden estar preseleccionadas, ya que esto no cuenta como "consentimiento".
Quiero hacer especial mención aquí al uso de datos personales en inteligencia artificial (concretamente, el machine learning). Si vas a utilizar los datos del usuario para entrenar tus modelos ML (algoritmos de aprendizaje), deberás obtener su consentimiento explícito, a menos que sea para fines científicos, cuyo tratamiento es considerado de “interés legítimo” según el RGPD. Será tarea de tu departamento legal decidir qué se considera por interés legítimo, pero te puedo avanzar que, por ejemplo, el marketing directo está incluido en esa categoría, así como cualquier tratamiento de sentido común relacionado con la actividad comercial, p. ej., si recopilas direcciones para el envío de tus productos después de un pedido realizado por un usuario, obviamente en este caso se trata de un interés legítimo. Por lo tanto, no todas las actividades de tratamiento necesitan el consentimiento expreso mediante la casilla de verificación.
6. Derecho de acceso
¿Qué es?
El usuario debe poder conocer todos los datos que tienes sobre él, con qué finalidad los tratas, el origen de los citados, datos y si se han comunicado o se van comunicar a un tercero.
¿qué debes hacer?
Facilitar de una forma sencilla que el usuario pueda solicitar todos los datos que tienes sobre él, las finalidades con qué los tratas, a quién los cedes, etc.
Facilita un email para tal fin, del tipo rgpd@nombredetuempresa.com o simplemente info@nombredetuempresa.com
7. Verificación de la edad
¿Qué es?
El usuario puede prestar su libre consentimiento solo a partir de los 16 años (hasta ahora, la LOPD lo fijaba en 14 años), dejando el RGPD la puerta abierta a que cada estado miembro pueda reducir esa edad mínima al aprobar la transposición las respectivas leyes en transposición del RGPD, pero nunca por debajo de los 13 años.
En caso de que aun no tenga los 16, se requiere el consentimiento de sus padres (si poseen la patria potestad) o tutores legales.
¿Qué debes hacer?
El RGPD no establece la forma de hacerlo, otorgando a los Estados miembros la “libertad de forma”, dentro del marco establecido en el RGPD.
Falta por ver si la nueva LOPD establecerá una forma concreta de recabar el consentimiento de los menores de 16 años, pero hasta entonces, mi sugerencia es introducir alguna manera donde el menor deba especificar el correo electrónico de alguno de los padres o tutor, que luego pueda confirmar el propio padre/tutor. Obviamente, los menores podrán hacer trampa con su fecha de nacimiento o proporcionarán un correo electrónico falso de los supuestos padres, por lo menos tú habrás cumplido con tu trabajo de acuerdo con el reglamento, o como dice el RGPD, habrás hecho “esfuerzos razonables (…) teniendo en cuenta el estado de la tecnología”.
Hasta aquí este primer artículo sobre las nuevas obligaciones del RGPD.
En los siguientes artículos sobre el nuevo RGPD, ahondaré entre otros en los siguientes puntos que debes conocer y saber cómo actuar:
- Introducción del concepto “accountability” o responsabilidad proactiva del Responsable de tratamiento
- Cambios en el uso de las cookies de seguimiento
- Brechas de seguridad de datos y qué hacer si te ocurren
- Obligación de implementar el llamado Registro de actividades de tratamiento para empresas de más de 250 trabajadores (y en algunos casos enumerados en el RGPD, también para las de menos de 250)
- Protección de datos desde el diseño y por defecto
- Introducción del Delegado de Protección de datos (DPO), que será obligatorio para las empresas que cumplan ciertas características.
