Tecnología, internet y otras cosas de interés

Un blog de Xenon 

GDPR, la nueva ley de protección de datos europea

El 25 de Mayo entra en vigor la nueva regulación en materia de protección de datos a nivel europeo. Como todas las leyes que regulan lo que sucede en internet esta es muy ambigua, y no hay definiciones concretas para cada capítulo.

Hay puntos que son tan amplios que sólo queda esperar a que alguna empresa sea juzgada y entonces el juzgado correspondiente haga las veces de legislador, creando una jurisprudencia que marcará los pasos a seguir.

Antes de empezar a describir las principales novedades hay que dejar clara una cosa. Datos personales se refiere a todos aquellos datos que de una u otra manera permiten identificar de forma univoca a un individuo. Por tanto hasta el color de pelo puede ser considerado un dato personal, claro que para obtener dicha clasificación se debe encontrar en un contexto en el que las opciones circundantes permitan identificar a un sujeto. P.ej; una base de datos de 4 personas en la que cada una tiene el pelo de un color. En el momento que sabemos que es rubio ya identificamos quien.

 

Las principales obligaciones nuevas son:

  • Facilitar al usuario la obtención de sus datos en formato digital
  • Facilitar al usuario la posibilidad de solicitar la eliminación de sus datos
    • Se deberá notificar al usuario cuando esta solicitud haya sido realizada. 
  • Notificar cualquier brecha de seguridad que permitiera acceder a datos personales en las 72 horas siguientes a su descubrimiento.
  • Facilitar al usuario una entidad de control a la que poder recurrir en caso de discordia. En España es la Agencia Española de protección de datos.
  • LLevar un registro del tratamiento de datos
    • Hay quien confunde esto con registrar cada movimiento o consulta que se hace a los datos personales, sin embargo se adecúa más a lo que ya venía haciendo la AGPD, que es obligar a las empresas a registrar sus bases de datos indicando la finalidad para la que está prevista. En el caso de empresas de más de 250 empleados si será necesario disponer en la empresa de un documento que señale a los responsables del tratamiento y que acciones van a realizar con los datos. Pongamos por ejemplo el departamento de contabilidad de una empresa. Esta deberá designar responsables del tratamiento de datos y deberá mantener un registro en el que se indique que dicho departamento consulta datos personales de clientes para la generación de bases de datos.
  • Seudonimización. Este aspecto es uno de los que más dolores de cabeza está produciendo, puesto que la norma pretende que no sea posible relacionar directamente los datos personales de un individuo con los atributos o características que se almacenan. Aquí hay quien habla de encriptación de los datos personales, sin embargo lo que piden es, en principio, más básico. Pongamos el ejemplo de una base de datos donde almacenamos en una tabla los datos personales y en otra los deportes que le gustan a cada uno. Al estar en tablas separadas lo único que las une es un identificador numérico, por lo tanto si un usuario malintencionado se hace con la tabla de deportes, nunca sabrá a quien pertenece, si no consigue la tabla usuarios y viceversa. Quienes hablan de encriptación no van tampoco desencaminados, ya que si en lugar de robar una tabla, roban la base de datos entera ya se podrá asociar al individuo.
  • Seguridad: Se deben establecer las medidas oportunas para garantizar la seguridad de los datos personales. Esto obliga a todas aquellas empresas que recojan datos personales a emplear, como mínimo un cifrado en la conexión con el usuario (normalmente certificado SSL). Aunque se recomienda totalmente implantar medidas adicionales de seguridad ya que en caso de problemas servirán como atenuantes al quedar acreditado que la empresa ha realizado los esfuerzos convenientes para proteger dichos datos.

 

Más información sobre la ley de protección de datos europea GDPR

Puedes consultar todo el contenido de esta regulación a través de ésta página. En ella han habilitado un buscador para localizar fácilmente todos los artículos.