Cambios en la cultura de la Privacidad

Llevo varias semanas asistiendo a cursos que nos preparan a los profesionales de la protección de datos para la entrada en vigor del Reglamento Europeo de Protección de Datos, RGPD 2016/679.

Este post va destinado a comentar y poner a disposición de los lectores algunos temas que considero importantes por diversos motivos.

Principalmente, lo más relevante es, sin duda, el cambio de paradigma que supone esta nueva normativa europea, que ya no supone una adaptación de las organizaciones a la misma, sino un cambio de la cultura de la privacidad en sentido general. La normativa europea aboga por una actividad proactiva de las organizaciones que supone, entre otros, la adopción de medidas basadas en los análisis de riesgos de cada una de las organizaciones, se persiguen soluciones personalizadas e individualizadas a cada situación y a cada entidad, unas soluciones que han de evolucionar, igual que evoluciona la tecnología, huyendo de soluciones estandarizadas y normalizadas aplicables a un conjunto de situaciones, entidades y problemas.

Y todo ello orquestado por un DPO que, o cuenta con el apoyo de los CEO’s y la dotación de recursos necesaria, o difícilmente podrá ejercer sus labores, exponiéndose las organizaciones a cuantiosas sanciones que en el peor de los casos podrían llegar a los 20.000.000. €, o al 4% del volumen de facturación mundial de la empresa.

Sigue leyendo

Reglamento de Protección de Datos – Información útil para preparar el cambio de normativa.

Empieza la cuenta atrás para la obligación de cumplir del Reglamento de Protección de Datos, que fue aprobado el 2016 y que será de obligado cumplimiento a partir del próximo 25 de Mayo de 2018.

Son muchos los cambios que han de adoptarse y muchas las cuestiones que, a día de hoy, no sabemos cómo se resolverán.

Las Autoridades de Protección de Datos están elaborando diversos materiales con la intención de ayudar a llevar a cabo las adecuaciones pertinentes y que, personalmente, considero de gran utilidad para esta fase de adaptación.

En España, en la página web de la Agencia Española de Protección de Datos existe un apartado específico en el que se puede encontrar el texto completo del Reglamento General de Protección de Datos, así como las Guías de Ayuda referidas anteriormente, Orientaciones y Directrices sobre la aplicación del Reglamento. Todos estos textos abordan cuestiones controvertidas tales cómo el Derecho a la Portabilidad, Delegados de Protección de Datos, cumplimiento del deber de informar, entre otros.

El resto de Organismos Europeos también están haciendo los deberes y cuentan con páginas específicas para ello, donde publican sus guías y recomendaciones, aunque en mi opinión, es nuestra Agencia Española de Protección de Datos la que más tiempo está invirtiendo en la preparación de las empresas.

Os dejo los apartados específicos de sus sitios web donde abordan las cuestiones relativas al Reglamento Europeo de Protección de Datos.

En próximos post intentaré analizar algunos de los elementos más novedosos y controvertidos de este nuevo Reglamento de Protección de Datos.

Realidad del Privacy Shield

Como ya se comentó en post anteriores, tras la sentencia del TUE de 6 de Octubre de 2015, las empresas estadounidenses que deseen importar datos de empresas europeas deben ser obtener la certificación del Escudo de Privacidad UE-EEUU, más conocido como Privacy Shield.

Si estamos interesados en trabajar con alguna empresa estadounidenses sería aconsejable consultar la página web www.privacyshield.gov, que en su apartado Privacy Shield List, contiene el listado de empresas que cuentan con dicha certificación.

Con el Privacy Shield se pretende:

  1. imponer a las empresas obligaciones más rigurosas en el tratamiento de datos personales de ciudadanos europeos,
  2. Someter el cumplimiento de dichas obligaciones a controles mucho más estrictos que los establecidos hasta el momento, y
  3. Dotar a los ciudadanos de más vías de recurso en caso de considerar que sus datos han sido mal utilizados por parte de las empresas tratadoras de los mismos.

Todo ello porque la finalidad última es procurar una protección más efectiva de los derechos de los ciudadanos europeos ante el tratamiento de datos personales que realizan las empresas estadounidenses.

Pues debe ser que todo esto es cierto, o por lo menos lo parece. Así como era casi imposible encontrar una empresa que no estuviera adherida al Safe Harbor, ahora es al contrario, cuesta encontrar a empresas que cuenten con la certificación Privacy Shield.

De hecho, fue el 28 de Diciembre de 2016 cuando recibí un email en el que se me notificaba que la empresa DROPBOX ya contaba con la certificación, comunicándome que había procedido a actualizar su Política de Privacidad para reflejar esa actualización.

No me puedo imaginar el número de transferencias internacionales de datos sin cobertura legal que se han estado produciendo desde el 6 de Octubre de 2015 hasta el 28 de Diciembre de 2016…

email_dropbox