Implicaciones de GDPR para las Administraciones Públicas

El próximo 25 de mayo se acaba el plazo de dos años que la Unión Europea facilitó a las empresas y Administraciones Públicas para cumplir con el nuevo Reglamento General de Protección de Datos (GDPR en sus siglas en inglés). Este Reglamento afecta a cualquier empresa u organismo que gestione datos de carácter personal de ciudadanos de la U.E., sea cual sea su origen.

En un post anterior, ya vimos cómo GDPR influye en la apertura de datos personales. Ahora es el momento de centrarnos en cómo afecta a aquellas administraciones y empresas que capten y tramiten datos personales, ya vayan a publicarlos después de manera abierta o no.

GDPR supone un aumento de los derechos de los ciudadanos, lo cual repercute en un aumento de las obligaciones de las organizaciones, tal y como veremos a continuación.

Aumento de los derechos de los ciudadanos

A los derechos tradicionales de acceso, rectificación o cancelación se suman otros relacionados con las nuevas tecnologías y el tratamiento automatizado de la información. Algunos ejemplos de estos derechos son:

• Derecho al olvido. Se puede definir como el derecho de cancelación aplicado a internet: otorga el derecho a impedir la difusión de datos de carácter personal si no cumplen con los requisitos de adecuación previstos en el Reglamento.

• Derecho a la portabilidad de datos. Un ciudadano puede solicitar copias de su información almacenada, para utilizarla con otro fin, en un formato estructurado, automatizado y de uso habitual.

Además, se adelanta a los trece años la edad de consentimiento para el tratamiento de datos.

Aumento de las obligaciones para las organizaciones

GDPR incluye el concepto de responsabilidad activa, es decir, establece la obligación de adoptar las medidas técnicas y organizativas necesarias para asegurar los derechos de los ciudadanos europeos. El Reglamento no es muy descriptivo en términos de requisitos de procesos y tecnologías, pero sí define una serie de "principios" que las empresas deben cumplir, los cuales se recogen a continuación:

• Necesidad de recabar el consentimiento de manera clara y explícita. Esto implica la obligatoriedad de explicar de manera sencilla e unívoca el uso y tratamiento al que se van a someter los datos personales recabados.

• Realización de Evaluaciones de impacto previo al tratamiento en aquellos casos en que sea probable un “alto riesgo para los derechos y libertades de los interesados”.

• Las organizaciones de más de 250 empleados o que realicen tratamientos de datos de manera habitual deben establecer un registro de operaciones de tratamiento.

• Garantizar la privacidad de la información por defecto y desde el diseño, lo cual implica que las administraciones y empresas deben revisar y diseñar sus procesos, teniendo en cuenta la seguridad desde el inicio y proporcionando una protección de alto nivel por defecto. Además, deben garantizar que solo se recopila la cantidad de información mínima necesaria y que se almacena durante el tiempo estipulado.

• Cumplir con el estado del arte. En caso de brecha en la seguridad, la organización deberá justificar por qué implementó o no ciertas tecnologías, sobre la base de una evaluación del estado del arte en el contexto de coste, riesgo y contexto.

• Informar sobre las brechas en la seguridad en un plazo de 72 horas a las autoridades competentes.

• Se incorpora la figura del Delegado de Protección de Datos, obligatoria para organismos públicos y empresas que realicen un tratamiento de datos a gran escala o gestionen datos sensibles (relativos al origen étnico, opiniones políticas, creencias religiosas o tendencias sexuales, entre otros). Sus funciones van desde supervisión al asesoramiento.

• Las multas por incumplimiento alcanzan hasta el 4% de la facturación global - algo que todavía no se sabe cómo se va a aplicar a las Administraciones Públicas- o 20 millones de euros, lo que sea mayor.

Aunque GDPR incluye algunos requisitos adicionales relativos a los derechos de los ciudadanos, así como nuevas figuras y procedimientos, no debe ser considerada como una revolución, sino como una evolución de la Ley de Protección de datos actual, y así lo ven los autoridades responsables de nuestro país. Ya se está trabajando en una nueva Ley Orgánica de Protección de Datos que adapte los cambios de GDPR a la legislación española. Independientemente de ello, GDPR será directamente aplicable exista o no una nueva ley nacional a partir del 25 de mayo.

De momento, para ayudar a las organizaciones españolas a comprender los cambios, la Agencia Española de protección de datos ha publicado diversas guías y herramientas gratuitas, tanto para empresas como para Administraciones Públicas, que ayudan a hacer más fácil el tránsito hacia un mejor y más eficiente gobierno de los datos. Un ejemplo es la siguiente infográfia.