Reglamento Europeo de Protección de Datos: Guía-Resumen
Ah, uno echa la vista atrás y se da cuenta de que ya lleva año y medio escribiendo sobre el Reglamento Europeo de Protección de Datos. El RGPD, ese cinturón de seguridad, ese virus liberado por Bruselas.
Podríamos empezar con el videoresumen de coña de finales del año pasado:
Y ya poniéndonos más serios:
Indice
Consentimiento
He dedicado bastante atención a los nuevos requisitos que se imponen al consentimiento en el nuevo Reglamento Europeo de Protección de Datos:
- tiene que ser granular o vertebrado,
- tiene que ser específico en vez de en bloque,
- tiene que ser libre, y no lo es si el titular sufre un “perjuicio” cuando no lo presta.
- Tampoco es libre si se presta en el marco de una relación en la que el desequilibrio de poder es patente.
Qué pasó con todos esos correos a finales de mayo? Las campañas -no todas ellas equivocadas, pero casi- de «reconsent».
Muy importante también: usted puede -perfectamente- tratar datos personales sin el consentimiento de nadie. Más aquí.
Cambios, cambios.
Todos estos cambios obligan a los responsables a revisar cómo han captado sus datos, y a refrescar sus consentimientos. Esto no es un problema sólo del sector del marketing directo. De hecho, vengo diciendo que la «zona cero» de cumplimiento del RGPD será el área de RRHH. Porque el consentimiento del trabajador no vale.
Así que a unos y a otros les tocará correr para hacer una lega-legalización de consentimientos (más bien, de tratamientos).
Los Delegados de Protección de Datos
Un resumen y mis predicciones sobre la figura.
Responsabilidad proactiva
Accountability: ya no se trata de no incumplir unas obligaciones y límites determinados. Ahora se impone la obligación a las organizaciones de aplicar una responsabilidad activa: cumplir activamente la normativa. Aun más, poder evidenciar que se cumple efectivamente la misma. Es decir: cumplir y poder demostrar que se cumple.
Privacidad desde el diseño
El Reglamento Europeo de Protección de Datos consagra el estándar de la privacidad desde el diseño por primera vez en una norma jurídica de primer rango a nivel mundial.
He desarrollado los siete principios de la privacidad desde el diseño y por defecto aquí y aquí.
He hablado de los falsos dilemas de “suma cero”.
He llegado a comparar marcianamente a la Dra Cavoukian con Johan Cruyff, y a felicitarle su 65 cumpleaños. ¿Qué otra cosa podíamos hacer con esta gran mujer que se lo merece todo?
Hemos dedicado bastante atención al interés legítimo: un concepto impopular y poco utilizado en España, pero que está llamado a ser hegemónico en un buen número de casos.
De hecho, en mi opinión debería ser la base legal a considerar por defecto en el área de Recursos Humanos de las empresas.
- Interés legítimo: ¿Y qué es eso?
- ¿Y cómo demonios se hace? El juicio de ponderación.
- Interés legítimo: ventajas y garantías.
- ¿Se pueden tratar datos de categoría especial con base en el interés legítimo? Sí, sí se puede.
- ¿Son lícitos todos esos lectores de huella dactilar que vemos en todas partes?
- Pueden las admininistraciones y las entidades públicas tratar datos con base en el interés legítimo?
Videovigilancia y RGPD
¿Qué pasa con las videocámaras? ¿Cuál es la base de legitimación en cada caso? ¿Puedo ponerlas donde quiera? ¿Los rostros captados por las cámaras son dato de categoría especial? ¿La finalidad de cada cámara restringe lo que puedo hacer con las imágenes? ¿Cuánto tiempo tengo que conservar las imágenes?
Ocho preguntas con sus respuestas aquí, que continúan por aquí.
Brechas de seguridad en protección de datos
Hemos hablado bastante de las nuevas y graves obligaciones de notificación en caso de brechas de seguridad en datos personales:
- ¿Qué es una brecha de seguridad? Siete ejemplos.
- Tres potentes lecciones del data breach de Equifax.
- ¿Es lexnet nuestro Equifax?
- ¿Cómo librarse del siguiente ciberataque masivo?
Decisiones automatizadas y profiling
También he escrito sobre algoritmos de decisión automatizada:
- La iniciativa de la industria del software e inteligencia artificial para autolimitarse con unos principios generales y básicos.
- Explicando métodos que permiten auditar su funcionamiento, con respeto a la propiedad intelectual e industrial y knowhow.
Cookies: ¿cómo hacerlo bien en tu página web ahora que está en vigor el RGPD?
Pues es un poco más complicado de lo que parece: tenemos dos fórmulas para cumplir con las cookies:
La Receta hispánica de la AEPD.
¡Elige con sabiduría!
He intentado explicar en términos sencillos, frikis, y algunas veces, algo zumbados, cosas como:
- El principio de minimización de datos.
- Los nuevos derechos de supresión y portabilidad de datos.
- El valor del respeto a la privacidad como nuevo modelo de negocio.
- No hagan cosas parecidas a Lexnet o la app de LaLiga. Por favor, no lo hagan.
Y … no se vayan todavía, aún hay más!