Se han aprendido duras lecciones desde que el Reglamento General de Protección de Datos (RGPD) de la UE entró en vigor en mayo de 2018, lo que ha provocado multas récord y daños a la reputación de un número creciente de las mayores empresas del mundo.
Y, con la continuación de las noticias regulares que implican violaciones de datos "accidentales", ciberataques y despreocupación deliberada por la información personal, apenas necesitamos mencionar la larga lista de infractores, junto con sus explicaciones para estos incidentes.
Sin embargo, aunque no haya excusas aceptables para el incumplimiento, en lo que respecta a la ley, sería justo decir que, para la mayoría de las empresas que hacen negocios en los estados de la UE, la curva de aprendizaje del GDPR ha sido larga, empinada y costosa.
Ahora, quince meses después de la entrada en vigor del GDPR, echamos un vistazo a una cuestión que, aunque no es del todo sorprendente, se está convirtiendo en una gran preocupación para las empresas, ya que siguen lidiando con los requisitos legales de la ley:
SOLICITUDES DE ACCESO DEL SUJETO
Las solicitudes de acceso del sujeto (SAR) están aumentando rápidamente, ya que los individuos ejercen sus derechos de acceso a su información personal.
Durante el tiempo en que se debatió y redactó el GDPR, varias organizaciones expresaron su preocupación de que los RAS fueran un arma para el GDPR para ser utilizados en su contra. Este temor se hizo realidad posteriormente, cuando el GDPR comenzó a entrar en vigor.
Se ha producido un aumento exponencial del número de solicitudes de acceso a los datos, en gran parte debido a la preocupación por la privacidad. Los RAS también se han utilizado para apoyar otros asuntos legales, por ejemplo, cuando un empleado se prepara para demandar a su empleador.
Sin embargo, el derecho legal a saber qué datos tiene una organización sobre un individuo ha estado disponible para los residentes de la UE mucho antes de que el GDPR se convirtiera en ley. Incluso los países que aún no han aprobado leyes de privacidad de datos incluyen el derecho de acceso en una constitución u otra ley.
Por lo tanto, aunque los RAS no son completamente nuevos bajo el GDPR o la Ley de Protección de Datos 2018, hay ciertos cambios importantes que las empresas podrían potencialmente ser atrapadas.
Los tres cambios clave del RGPD
En primer lugar, en virtud de la Ley de Protección de Datos de 1998, las empresas podían cobrar una tasa de 10 libras esterlinas a la persona que presentara una solicitud de acceso. Sin embargo, el RGPD no permite que se apliquen estos cargos a menos que una solicitud sea "manifiestamente infundada o excesiva, en particular por su carácter repetitivo".
Las empresas están autorizadas a cobrar una "tarifa razonable" teniendo en cuenta los costes administrativos de proporcionar la información, o pueden negarse a facilitar el RAS por completo. Aunque esto podría desalentar las solicitudes de RAS especialmente gravosas, no existe ninguna orientación oficial sobre lo que se entiende por "manifiestamente infundado" o "excesivo". La propia empresa debe demostrar que la solicitud es "manifiestamente infundada" o "excesiva". Por lo tanto, sería un riesgo confiar en que se acepte en casos extremos.
En segundo lugar, con la anterior ley de protección de datos, una empresa tenía hasta 40 días para responder a un RAS. Sin embargo, con el RGPD, las empresas están obligadas a responder en el plazo de un mes, con una posible prórroga de dos meses adicionales en caso de una solicitud especialmente compleja, o si hay numerosas solicitudes.
Si se amplía el plazo, la empresa está obligada a informar al individuo y a proporcionar los motivos de la ampliación. El plazo de un mes comienza a partir del momento en que la empresa recibe una solicitud verificable.
El tercer cambio clave es que ya no es necesario que las solicitudes se hagan por escrito. Las solicitudes pueden hacerse verbalmente por teléfono, por correo electrónico o por las redes sociales. No es necesario utilizar el término "solicitud de acceso del sujeto". Debe quedar claro que el individuo está solicitando acceso a su propia información personal, y no a la de otra persona.
Formación y manejo
Los tres puntos anteriores ponen de manifiesto la importancia de garantizar que todos los empleados de una organización comprendan qué es un RAS y cómo manejarlo.
Esto requiere una educación de concienciación general, como mínimo, para todos los empleados, además de una formación en profundidad para todos los miembros del personal responsables del tratamiento y mantenimiento de los datos personales.
Concretamente, en lo que se refiere a facilitar los RAS, es necesario impartir una formación adecuada no sólo al personal de protección de datos y cumplimiento de la normativa y al departamento de RRHH, sino también a la dirección y a otras personas que puedan recibir un RAS de un miembro actual o antiguo del personal.
En muchos casos, una persona puede desear simplemente saber qué datos se conservan sobre ella, para comprobar su exactitud. También puede solicitar que se supriman algunos o todos los datos, o expresar su oposición al tratamiento de sus datos personales.
En el caso de los empleados, tanto pasados como presentes, es poco probable que los empresarios puedan satisfacer la mayoría de las solicitudes de supresión u objeción al tratamiento, por lo que no deben basarse en el consentimiento para tratar los datos personales de los empleados.
Sin embargo, el RGPD, al igual que la mayoría de las leyes de privacidad actuales, están diseñadas no sólo para permitir a los individuos ver qué información tienen las organizaciones sobre ellos, sino también para mejorar la calidad y la precisión de los datos y permitir la participación en cómo y qué datos se procesan.
Pero ...mientras que los SAR pueden ayudar con estos supuestos objetivos, los comentarios de los profesionales de la privacidad de datos han sugerido una motivación diferente detrás del reciente aumento de los SAR...
Privacidad y confianza: ¿Tiempo de retribución?
Un artículo reciente de Dataguise señala que durante los últimos 20 años, las organizaciones han acumulado cada vez más datos, utilizando mecanismos legales cuidadosamente elaborados, como avisos y contratos, para maximizar su capacidad de recopilar y utilizar información personal. Pero en algún momento, llegamos a un punto de inflexión como consumidores digitales.
Mientras estábamos ocupados disfrutando de la velocidad y la comodidad de las nuevas y mejores tecnologías digitales, cedíamos nuestra privacidad personal a organizaciones en las que suponíamos que podíamos confiar, y sentíamos que no podíamos hacer nada, incluso si queríamos hacer algo al respecto.
Los términos y condiciones de los servicios en línea son complejos, largos y difíciles de leer, mientras que los avisos de privacidad que pretenden explicar claramente cómo se utiliza la información personal, son cualquier cosa menos claros. Nos desplazamos hacia abajo, hacemos clic en el botón y los aceptamos de todos modos, sin siquiera tratar de entender lo que dicen. Soportamos los botones de exclusión voluntaria que no son fáciles de detectar. Nos conectamos a Internet sabiendo que todo lo que hacemos está vigilado y monetizado. Y aunque apreciemos la mayor relevancia de los anuncios en línea que se nos sirven, esos anuncios son un recordatorio constante de que nuestras actividades e intereses se comparten regularmente entre las empresas.
Pero no fue hasta que las filtraciones de datos se convirtieron en titulares diarios que la pérdida de privacidad personal se convirtió en una pérdida de confianza del consumidor en las empresas. Y no fue hasta el GDPR -con su atención mediática mundial sobre conceptos pegadizos como el "derecho a ser olvidado"- que los consumidores se dieron cuenta por fin de que tenían una forma de defenderse.
Respuesta a los RAS: Puntos importantes
Aunque no existe una solución rápida para responder a un número cada vez mayor de solicitudes de acceso de los interesados, aparte de mejorar la eficacia de los procesos y/o aumentar los niveles de personal, deben observarse en todos los casos los siguientes fundamentos:
-
¿Se puede identificar a una persona viva a partir de los datos, aunque haya que leerlos junto a otro documento? Los documentos que han sido debidamente anonimizados pueden no contener necesariamente datos personales.
-
Por ejemplo, es poco probable que un correo electrónico del departamento de RRHH a todos los empleados sobre la formación en salud y seguridad contenga datos personales.
-
¿Cuál es la finalidad de la empresa para conservar los datos? Si no es para mantener un registro sobre esa persona, o para tomar decisiones que le conciernen directamente, puede que no se consideren datos personales.
La Oficina del Comisario de Información pone el ejemplo de los datos que se conservan para controlar la eficiencia de una maquinaria, en lugar de los datos que se conservan sobre los empleados que la manejan. -
¿Hay alguna exención que se aplique? Por ejemplo, ¿la información está cubierta por el privilegio legal o se aplica la exención para las referencias confidenciales? Con el antiguo régimen, esto solo cubría un RAS hecho al proveedor de una referencia laboral confidencial. Sin embargo, bajo el GDPR los empleadores que están proporcionando O recibiendo referencias confidenciales pueden confiar en una exención bajo la Ley de Protección de Datos de 2018.
-
¿Identifican los datos a otras personas? Hay que tener especial cuidado al tratar estos datos. Se debe solicitar el asesoramiento de un profesional cualificado en materia de privacidad de datos. Es de vital importancia tener en cuenta si otras personas han dado su consentimiento para que se divulguen esos datos.
¿Han cambiado los RAS el panorama de la privacidad de los datos para siempre?
A pesar del coste y de las "molestias" no deseadas que ha traído el GDPR, la nueva ley proporciona un nuevo camino positivo para la privacidad de los consumidores. Según su punto de vista, fomenta... o hace cumplir - un enfoque más responsable del tratamiento de la información personal de las personas, exige un cumplimiento demostrable y requiere un grado mucho mayor de transparencia sobre el tratamiento de la información personal.
Y lo que es más importante, hace un muy buen trabajo en subiendo la apuestaLa política de la Unión Europea es una de las más importantes, ya que pasa de basarse en las políticas a diseñar mejores procesos y a supervisarlos.
A medida que las empresas mejoran la seguridad de los datos y la protección general de la información personal, así como la forma en que recogen, procesan y comparten esos datos, la naturaleza de sus interacciones con los interesados también evolucionará.
Incluso podría ser que el número y la naturaleza de los RAS que recibe una empresa proporcione una métrica muy útil para calibrar el grado de confianza que los consumidores depositan en ella.