El RGPD es un reglamento europeo que exige que las empresas protejan los datos personales y la privacidad de los ciudadanos de la UE en relación con las transacciones que tengan lugar entre los Estados miembros de la UE e incumplirlo puede salirles muy caro tanto a empresas como a profesionales. Aquí veremos todo lo que debe saber acerca del RGPD un profesional que desarrolla su actividad en Europa.

Las empresas y los profesionales que recopilan datos sobre los ciudadanos residentes en países de la Unión Europea (UE) deben cumplir normas nuevas y estrictas sobre la protección de los datos de sus clientes desde el 25 de mayo de 2018. Se espera que el Reglamento General de Protección de Datos (RGPD) marque un nuevo punto de referencia para los derechos de los consumidores con respecto a sus datos, pero las empresas deberán afrontar diversos retos a medida que pongan en marcha los sistemas y procesos necesarios para cumplirlo.

Su cumplimiento causará preocupaciones y nuevas expectativas para los equipos de seguridad. Por ejemplo, el RGPD ofrece una amplia visión de lo que constituye información de identificación personal. Las empresas necesitarán ofrecer el mismo nivel de protección para aspectos tales como la dirección IP o los datos de las cookies de un usuario que para su nombre, dirección y número de la Seguridad Social.

El RGPD no sustituye al acuerdo de confidencialidad (normalmente conocido como NDA) entre el profesional y las empresas con las que trabaje. El RGPD se encarga de la protección de los datos personales, mientras que el NDA es un acuerdo para impedir que se divulgue cualquier tipo de información perteneciente a clientes directos o indirectos. Un acuerdo con una empresa determinada siempre tendrá un anexo para garantizar la confidencialidad y, en la mayoría de los casos, otro que contemple los requisitos del RGPD (o una solicitud de declaración de conformidad con el RGPD).

¿Qué tipos de datos de privacidad protege el RGPD?

  • Información de identidad básica, como el nombre, la dirección y los números de identificación
  • Datos web como la ubicación, la dirección IP, los datos de las cookies y las etiquetas RFID
  • Datos sanitarios y genéticos
  • Datos biométricos
  • Datos raciales o étnicos
  • Opiniones políticas
  • La orientación sexual

¿A qué empresas afecta el RGPD?

Cualquier empresa que almacene o trate información personal correspondiente a ciudadanos de la UE en sus Estados miembros debe cumplir el RGPD, aunque carezca de presencia comercial en la UE.

De hecho, incluso un traductor, intérprete, revisor, corrector, etc. profesional que tenga relación con empresas europeas debe cumplir los requisitos mínimos. Ello es debido a que, aunque la actividad principal de dichos profesionales no se base en el tratamiento de datos personales, pueden llegar a tratar documentos e información que incluyan este tipo de datos personales durante la ejecución del acuerdo entre el profesional y la empresa.

Lista de verificación para el RGPD

1.- Pregunta: ¿Tengo toda la documentación necesaria para indicar a mi cliente cómo recojo, almaceno y trato cualquier dato personal de forma concisa y sencilla?

1.- Respuesta: Toda recogida de datos debe ir acompañada de una nota informativa que contenga toda la información requerida por el artículo 13. Uno de los nuevos requisitos para todos nosotros es la necesidad de usar un lenguaje sencillo y claro.

2.- Pregunta: ¿He organizado mis actividades profesionales de tal manera que solamente recoja y/o trate los datos personales estrictamente necesarios para mi trabajo y para la ejecución del acuerdo celebrado con la empresa?

2.- Respuesta: Los principios generales que deben adoptarse se establecen en los artículos 5 y 11.
Cabe señalar que el principio de minimización de datos significa recoger únicamente los datos pertinentes para la ejecución del acuerdo. La recogida o el tratamiento de datos más allá de la ejecución del acuerdo se considera tratamiento abusivo.

3.- Pregunta: ¿He organizado la conservación de los documentos relativos a los distintos servicios para que estén siempre accesibles, pero solamente al personal autorizado?

3.- Respuesta: Aquí se juntan las necesidades generales de disponibilidad y confidencialidad de las bases de datos. Su traducción concreta es una gestión ordenada de datos e información —es decir, los archivos en papel y las carpetas digitales— que mantienen su contenido protegido de miradas indiscretas o del acceso de extraños, pero que al mismo tiempo permite al propietario gestionar las actividades de forma eficaz.

4.- Pregunta: Si procede (soy una agencia o un estudio asociado), ¿he designado y formado debidamente a mis colaboradores y he formalizado también las relaciones con los profesionales a los que me dirijo para gestionar y desarrollar las actividades del estudio?

4.- Respuesta: Todo el organigrama de «privacidad» de la empresa debe implicarse en la política de protección de datos. Se trata de un organigrama extenso, que incluye a los encargados (colaboradores, profesionales, empleados) y a los responsables del tratamiento, es decir, a los profesionales externos que colaboran con la empresa en diferentes calidades (abogados de otros foros, contable, asesor laboral, etc.). Tenga en cuenta que se requiere nombrar a las personas encargadas, (artículo 29).

5.- Pregunta: ¿Están mis ordenadores protegidos frente a amenazas externas? ¿Tengo, por si es necesario, el nombre de un técnico informático de confianza a quien solicitar que me resuelva problemas específicos?

5.- Respuesta: Se hace referencia a la instalación de programas informáticos adecuados para prevenir ataques o amenazas de diverso tipo y origen. En este sentido, puede ser aconsejable confiar en los conocimientos y la experiencia de un profesional.

6.- Pregunta: ¿Se utilizan ordenadores portátiles y otras herramientas informáticas extraíbles en actividades fuera de mi lugar de trabajo a fin de reducir al mínimo los riesgos de pérdida accidental, sustracción fraudulenta y similares?

6.- Respuesta: El ejemplo más claro es el uso de una unidad USB: además de la protección obligatoria de la unidad con contraseña, es necesario cargar/dejar en ella únicamente los datos que deban tratarse durante la sesión externa.

7.- Pregunta: ¿Efectúo una copia de seguridad completa de todos los datos de cada PC al menos una vez a la semana?

7.- Respuesta: Esta operación es realmente fundamental para la protección de datos. Dependiendo del volumen de cambios diarios, se recomienda aplicar una frecuencia superior a la mínima.

8.- Pregunta: ¿He definido un tiempo de retención de los datos personales acorde con las finalidades del tratamiento?

8.- Respuesta: Incluso el profesional está obligado, como cualquier titular, a definir el período de conservación de los datos (que no pueden almacenarse ad libitum) y, además (nuevo en el reglamento), a añadir una mención especial en la nota informativa (alternativamente, para el período de conservación será suficiente con indicar los criterios utilizados para determinarlo).

9.- Pregunta: Cuando tenga que deshacerme de ordenadores de sobremesa, portátiles y otros dispositivos utilizados para mi actividad profesional, ¿me aseguraré de que no exista riesgo residual de exposición de los datos personales durante su enajenación?

9.- Respuesta: La llamada «basura electrónica», si no se gestiona debidamente, es una desafortunada fuente de información en perjuicio de los interesados y presenta riesgos para el propio responsable del tratamiento (ver la definición de responsable del tratamiento de datos en el Reglamento). Es obligatorio consultar las disposiciones del Reglamento sobre este asunto.

10.- Pregunta: ¿He tomado las medidas necesarias para garantizar la seguridad física de mi lugar de trabajo, en el sentido de adoptar las medidas o precauciones razonables para evitar accesos no deseados y actos que puedan afectar negativamente a la confidencialidad, disponibilidad o integridad de las bases de datos?

10.- Respuesta: El problema es siempre la seguridad del tratamiento. Esta vez, sin embargo, se evalúa a través del examen de las instalaciones o lugares físicos en los que se desempeñan las actividades del profesional. Las medidas de protección «adecuadas» pueden variar según el contexto (por ejemplo, un estudio situado en la sala de un edificio en el que se hallan otros profesionales, un estudio situado en la planta baja de un bloque de pisos, etc.).