Transición del LOPD al RGPD; no nos preocupemos, ocupémonos!

Transición del LOPD al RGPD; no nos preocupemos, ocupémonos!

Carlos Alberto Barrios L

Moore Stephens Madrid

El Reglamento General de Protección de Datos de la Unión Europea aprobado en mayo del 2016 con entrada en vigencia el próximo 25 de mayo de 2018, se está convirtiendo y me perdonan la expresión en el nuevo “coco” para encrespar a los empresarios con la amenaza de una multa de 20 millones de euros o un 4% de su facturación.

Si leemos el detalle y el sentido del reglamento entenderemos que éste busca reforzar la necesidad del control autorizado y explícito para el uso, disposición, cesión, almacenamiento, custodia y eliminación de datos personales originalmente capturados para un tratamiento específico.

Asimismo debemos entender que el RGPD está orientado a reforzar los tratamientos de datos cuando éstos están relacionados con la oferta de bienes o servicios o con el control del comportamiento de las personas dentro de la UE.

La inexistencia o laxitud específica de éstos controles permitió que muchas organizaciones y gobiernos tratasen información personal disgregada en variados medios digitales para generar información inteligente con elevado nivel de asertividad y exactitud que permitió inferir conductas y comportamientos que permitieron perfilar a la persona individual o a los colectivos en sus tendencias de consumo; comportamiento político, religioso, social; o un producto, entre muchas otras cosas.

Este uso no autorizado y abusivo ha violado y transgredido la intimidad y privacidad de los individuos y colectivos perfilados, exponiéndolos en su propio detrimento, pudiendo ser sometidos, expuestos, calificados o categorizados dentro de un segmento específico del que haga la investigación inferencial o inductiva.

Aquellas organizaciones cuyo tratamiento de datos personales no esté orientado a: la perfilación; al tratamiento masivo de datos obtenidos por diferentes medios; o a través de técnicas de inteligencia artificial; Smartdata; marketing por geolocalización; Bigdata; internet de las cosas –IoT, entre otras, deberán evaluar que los controles implementados para la protección de sus datos personales garantizan más allá de la duda razonable qué se han implantado y están operativos todos los mecanismos de control que permitan minimizar la posibilidad de su divulgación y tratamiento no autorizado de los datos personales sensibles o no.

La evaluación de cada organización y la determinación del nivel de involucramiento de la LOPD así como la transición y adecuación a la RGPD será por lo tanto un trabajo individual y personalísimo. Sí como organización nuestro tratamiento y categorización de los datos no se circunscriben dentro de aquellos que hemos mencionado deberemos considerar que el RGPD será un reforzamiento de los controles actuales que deben tener implementadas, vigentes, operativas y no solo escritas en un manual del LOPD. Implementar y poner operativas, no solo registrarlas en el manual de buenos deseos corporativos.

Las empresas españolas hicieron un gran esfuerzo en la implantación de la LOPD, ese esfuerzo no está perdido, no hay que rehacerlo todo, deberemos tomarnos un tiempo en evaluar nuestro nivel de exposición y riesgos de acuerdo a la protección, almacenamiento, cesión, tratamiento y categorización de la data; y en base a ello implementar las medidas correctivas pertinentes. Debemos igualmente educar y concienciar a nuestro entorno en referencia al valor qué sus datos personales pueden tener en el mercado y peor aún en manos equivocadas, escribir lo que no se debe, exponer a otros y sus datos, fotos, videos puede ser perfilado y usado e incluso considerado como delito.

Para concluir: No nos preocupemos por la multa, ocupémonos en que no nos multen.