Google, Facebook, Amazon y Microsoft tuvieron que claudicar. No es habitual que las grandes corporaciones que controlan de forma completa la vida digital de millones de personas tengan que atender, ni mucho menos ceder, a las peticiones de las administraciones públicas. De hecho, estos gigantes empresariales están acostumbrados a precisamente lo contrario. Teniendo en cuenta que han nacido en un país ultraliberal donde las empresas tienen la libertad de hacer y deshacer con mucha manga amplia, operar en un entorno mucho más intervencionista como el mercado europeo los pilla siempre a contrapié. Esto también es la globalización, amigos.
Fue el 25 de mayo de 2018 cuando el nuevo Reglamento General de Protección de Datos (RGPD) entró en efecto en todos los países miembros de la Unión Europea. Bajo la amenaza de multas de hasta el 4% de los ingresos de las empresas, con el límite en los 20 millones de euros, la Unión realizó un importante paso en favor de la protección de la privacidad y la seguridad de los datos de toda su ciudadanía.
Google tuvo que dejar mucho más claras sus políticas de privacidad (vídeo). Facebook decidió mover los millones de datos de sus usuarios no europeos fuera de Irlanda para evitar aplicar las mismas restrictivas normas que garantizaban sus derechos, y se vio obligada a proteger mucho más los de los ciudadanos comunitarios. Acciones similares tuvieron que seguir Amazon, Microsoft, Apple … Desde entonces, toda organización que trabajara con información de usuarios debería haber implementado diferentes métodos para asegurar que eran los propios usuarios europeos los que estaban en control de los datos que generaban y compartían.
El objetivo era el de empoderar de nuevo los usuarios. Devolver este control de la información personal a quien la genera y no limitarse a cederla a quien se beneficia. El periodo de adaptación duró dos años, desde que el reglamento fue adoptado en abril de 2016. Durante este período, las empresas e instituciones han tenido tiempo de adaptarse. Entre las imposiciones, se obliga a las empresas a:
- Solicitar permiso a los usuarios antes de extraer sus datos.
- Advertir de qué información de los usuarios se recoge y almacena.
- Explicar cómo y quién trata la información recogida y con qué fines.
- Permitir y facilitar el acceso, la cancelación y la extracción de los datos personales de los que se disponga a cada usuario que las genere.
- Notificar cualquier filtración de datos personales antes de que transcurran 72 horas.
- Instaurar el perfil del Data Protection Officer (DPO) en la organización, ya sea formando o promoviéndolo desde dentro de la empresa o contratándolo externamente si no se dispone de un profesional que se pueda convertir . El DPO es el o la responsable de asegurar el cumplimiento del RGPD en cada entidad
Son las grandes empresas las que han tenido que hacer los cambios más grandes y las que se han llevado los titulares y, de hecho, han sido los más vigilados en esta transición. Pero la ley RGPD afecta a toda empresa y entidad que trabaje con información de ciudadanos europeos, sea grande o pequeña.
Entidades y organizaciones con menos presupuesto han tenido que adaptarse a esta normativa en un proceso que ha traído consigo grandes retos y que, de hecho, muchas aún no han llegado a asimilar ni cumplir.
Quién debe disponer de un DPO?
Hoy en día, por ejemplo, no todas las entidades disponen de un Data Protection Officer (DPO) a pesar de trabajar con información personal sensible de sus usuarios, trabajadores o socios. En las primeras versiones del RGPD se mencionaba el mínimo de «250 trabajadores» como la cifra mágica que conllevaba la obligación de incorporar un DPO en la plantilla. En el reglamento aprobado, sin embargo, desaparece esta característica cuantitativa y se reemplaza con una apreciación cualitativa, es decir, con diferentes criterios que deben cumplir aquellas entidades obligadas a contar con un DPO. A grandes rasgos, debe contar con uno o una DPO toda aquella empresa que trabaje con datos personales de ciudadanía europea y:
- Sea un organismo público (o)
- Sus actividades principales sean operaciones de procesamiento que requieran un seguimiento regular y sistemático de las personas afectadas a gran escala (o)
- Sus actividades principales consisten en procesar datos a gran escala que entran en datos especiales (definidas en el artículo 9 del RGPD, entre ellas origen étnico, opiniones políticas, datos genéticos, de salud …) o referidas a condenas penales y delitos.
¿Qué es un DPO, el Jedi de la privacidad?
Evidentemente, aunque no cumpla con estos requisitos, toda organización puede beneficiarse del rol de un DPO, una persona capaz de identificar el nivel de cumplimiento con el RGPD, un conjunto de leyes que ya llevan más de un año en aplicación y que trabajan en favor de la privacidad de usuarios y trabajadores.
El rol y perfil profesional del o la DPO tiene unas características muy concretas que le permiten un funcionamiento independiente dentro de la empresa y le aseguran una neutralidad necesaria para denunciar internamente las deficiencias de la empresa en materia de protección de datos.
Entre otras responsabilidades, se asegura que su organización cumple con la ley, que responsables e interesados están informados de derechos y obligaciones en relación a la privacidad y protección de datos, aconseja sobre buenas prácticas y da recomendaciones, conoce, controla y registra las operaciones de tratamiento de datos de dentro de la organización, colabora en la implementación de sistemas para cumplir con la RGPD, coopera en las investigaciones de la autoridad de protección de datos (el Supervisor Europeo de protección de datos, el SEPD) y está atento a cualquier queja sobre deficiencias en el tratamiento o almacenamiento de los datos.
Proyectos como el DPO training de m4Social trabajan para formar las entidades sociales del Tercer Sector y facilitar la presencia de DPO en todas ellas para ayudar a que cumplan con la nueva regulación y faciliten la garantía a la protección de datos de trabajadores, socios y usuarios de los servicios.
Para acceder a la formación de DPO o recibir materiales que ayuden su entidad a hacer la transición y cumplir con el RGPD, podéis contactar m4Social a través del correo electrónico hola@m4social.org.