Entradas

Lo que hemos aprendido en un año de RGPD: la privacidad importa

De la desidia del dato a la catarsis colectiva

25 de mayo de 2018: ni un solo asesor de este país (y seguramente del resto de los países de la Unión Europea) durmió tranquilo. Es más, probablemente ni durmió. Aquello parecía una carrera contra reloj. Parecía que el filo de la guillotina sancionadora caería ese mismo día y el que no estuviera adaptado ardería en los infiernos de las autoridades de control…

Lo curioso fue que aquellos a los que la privacidad no les había importado hasta la fecha, fueron los que más prisa metieron a sus asesores para “adaptarse”.

Acciones masivas de petición de consentimiento (alguna innecesarias) enviadas el 24 de mayo por la noche, cláusulas informativas, contratos, registros de actividades de tratamiento, análisis de riesgos, políticas, procedimientos de brechas y derechos…

Y llegó el día 26, el 27…. Y no pasó nada… Ya lo sabíamos.

Bueno sí paso, pasó que por fin la privacidad importa. Y sólo por eso ha merecido la pena.
Hemos ganado en transparencia: ahora nos informan mejor y más claro (algunos se pasan y han convertido pequeños textos en verdaderos tratados de privacidad.
Hemos ganado en buenas prácticas :nos piden el consentimiento para todo, incluso cuando el consentimiento no es necesario…
El cumplimiento es un poquito más real que antes: ya no hablamos de carpetas y modelos cubiertos de polvo (físico o virtual pues pocas carpetas físicas se ven ahora). Ahora se trata de hacer las cosas bien, de que los datos se respeten, se conserven adecuadamente, se informe bien, se atiendan los derechos. No sólo que conste en algún documento…

Por fin la protección de datos ha trascendido el departamento legal o de informática de las empresas y se ha convertido en cosa de todos. Hemos ganado las personas.

Y más allá de las obligaciones establecidas en el RGPD y posteriormente en la Ley Orgánica 3/2018 de 5 de diciembre de Protección de Datos Personales y de garantía de derechos digitales, las empresas han tomado conciencia que los datos personales hay que protegerlos porque protegen derechos fundamentales: porque en un mundo tan hiperconectado, tan expuesto a través de Internet y redes sociales, donde nuestros datos se cruzan y hasta nuestro banco o Facebook sabe más de nuestros gustos que nosotros mismos… las personas seguimos teniendo nuestro reducto de intimidad que merece y debe ser protegido.

El RGPD también ha servido para concienciar a las personas de que una vez que difundan sus datos, a veces es difícil controlarlos, pero no imposible pues existen derechos. Y estos derechos tienen que ser satisfechos por aquellos que tienen nuestros datos.
No obstante, no cantemos victoria. Somos como somos y muchos hicieron los deberes y se han relajado. Y no, toca estar encima, revisar, controlar, auditar, mejorar.

No hay procedimiento de cumplimiento normativo que se precie que sea estático. Es más, es preferible ir poco a poco. La responsabilidad proactiva nos exige estar encima: no sirve hacer dieta un mes: hay que llevar una alimentación saludable. Los resultados a lo mejor no son inmediatos pero a largo plazo es infinitamente mejor.

Por eso, un año después debemos reflexionar:

1.- ¿Nos sigue importando la privacidad o nos lo tomamos como un trámite que había que cumplir? ¿Fue la dieta del bikini o un plan a largo plazo de cumplimiento real? El propio RGPd exige revisión y mejora continua así que más importante que haber corrido en el 2018 es seguir alerta, revisando y actualizando los tratamientos de datos.

2.- ¿Seguimos concienciando a nuestro personal de forma periódica? Una charla se olvida. Además, siempre hay aspectos de seguridad, de organización o de negocio que afectan a los datos personales sobre los que merece la pena insistir.

3.- ¿Hemos revisado cómo lo estamos haciendo? Un año después es buen momento. Aunque el RGPD ya no establece una periodicidad concreta en las auditorías, todos los sistemas de gestión de la seguridad de la información establecen controles anuales, mejor externos aunque lo importante es la revisión.

4.- ¿Estamos documentando la respuesta a la petición de derechos? Los derechos de las personas son importantes y garantizar su atención, prioritario.

5.- Tal vez es momento de actualizar el Registro de Actividades de Tratamiento. Muchas empresas se basaron en los ficheros que históricamente tenían declarados ante la Agencia Española de Protección de Datos pero probablemente se pueda “profundizar” un poco más. La responsabilidad proactiva también exige reflexionar sobre esto.

6.- ¿Tenemos los mismos riesgos que el año pasado? También tenemos que actualizar el análisis de riesgos pues es posible que los de cumplimiento hayan disminuido pero existan otros nuevos. O incluso que podamos actualizar la valoración.

7.- ¿Hemos tenido alguna brecha de seguridad? En caso afirmativo ¿ha funcionado el procedimiento que establecimos? Si no hemos tenido brechas ¿estamos documentando las incidencias?

8.- ¿Existen tratamientos de datos personales nuevos? En caso afirmativo, ¿se informa desde la recogida y si procede, se solicita el consentimiento explícito? Según el tipo de datos y sus circunstancias, tal vez es necesario realizar una Evaluación de Impacto.

9.- ¿Se han firmado contratos con todos los proveedores con acceso a datos? Aunque si existían antes existe una moratoria hasta 2022, conviene que dichos contratos se actualicen al RGPD y sobre todo, en aquellos proveedores tecnológicos, que especifiquen las medidas de seguridad que van a garantizar la confidencialidad, integridad y disponibilidad de los datos a los que tendrán acceso por el servicio prestado.

10.- En definitiva, ¿nos sentimos cómodos con el sistema de gestión de la privacidad que hemos establecido? A lo mejor tenemos que hacer algunos cambios, actualizar responsabilidades, etc. Nada es inamovible. Lo importante es que…

#laprivacidadimporta

 

Mayo de 2019
Paz Martin
#losdetallesimportan