Transición del LOPD al RGPD; no nos preocupemos,
ocupémonos!
Carlos Alberto Barrios L
Moore Stephens Madrid
El
Reglamento General de Protección de Datos de la Unión Europea aprobado en mayo
del 2016 con entrada en vigencia el próximo 25 de mayo de 2018, se está
convirtiendo y me perdonan la expresión en el nuevo “coco” para encrespar a los
empresarios con la amenaza de una multa de 20 millones de euros o un 4% de su
facturación.
Si leemos el
detalle y el sentido del reglamento entenderemos que éste busca reforzar la
necesidad del control autorizado y explícito para el uso, disposición, cesión,
almacenamiento, custodia y eliminación de datos personales originalmente
capturados para un tratamiento específico.
Asimismo
debemos entender que el RGPD está orientado a reforzar los tratamientos de datos
cuando éstos están relacionados con la oferta de bienes o servicios o con el
control del comportamiento de las personas dentro de la UE.
La inexistencia
o laxitud específica de éstos controles permitió que muchas organizaciones y
gobiernos tratasen información personal disgregada en variados medios digitales
para generar información inteligente con elevado nivel de asertividad y
exactitud que permitió inferir conductas y comportamientos que permitieron perfilar
a la persona individual o a los colectivos en sus tendencias de consumo; comportamiento
político, religioso, social; o un producto, entre muchas otras cosas.
Este uso no
autorizado y abusivo ha violado y transgredido la intimidad y privacidad de los
individuos y colectivos perfilados, exponiéndolos en su propio detrimento,
pudiendo ser sometidos, expuestos, calificados o categorizados dentro de un
segmento específico del que haga la investigación inferencial o inductiva.
Aquellas
organizaciones cuyo tratamiento de datos personales no esté orientado a: la
perfilación; al tratamiento masivo de datos obtenidos por diferentes medios; o
a través de técnicas de inteligencia artificial; Smartdata; marketing por geolocalización;
Bigdata; internet de las cosas –IoT, entre otras, deberán evaluar que los
controles implementados para la protección de sus datos personales garantizan
más allá de la duda razonable qué se han implantado y están operativos todos
los mecanismos de control que permitan minimizar la posibilidad de su divulgación
y tratamiento no autorizado de los datos personales sensibles o no.
La evaluación
de cada organización y la determinación del nivel de involucramiento de la LOPD
así como la transición y adecuación a la RGPD será por lo tanto un trabajo
individual y personalísimo. Sí como
organización nuestro tratamiento y categorización de los datos no se
circunscriben dentro de aquellos que hemos mencionado deberemos considerar que el
RGPD será un reforzamiento de los controles actuales que deben tener
implementadas, vigentes, operativas y no solo escritas en un manual del LOPD. Implementar
y poner operativas, no solo registrarlas en el manual de buenos deseos
corporativos.
Las empresas
españolas hicieron un gran esfuerzo en la implantación de la LOPD, ese esfuerzo
no está perdido, no hay que rehacerlo todo, deberemos tomarnos un tiempo en
evaluar nuestro nivel de exposición y riesgos de acuerdo a la protección,
almacenamiento, cesión, tratamiento y categorización de la data; y en base a
ello implementar las medidas correctivas pertinentes. Debemos igualmente educar
y concienciar a nuestro entorno en referencia al valor qué sus datos personales
pueden tener en el mercado y peor aún en manos equivocadas, escribir lo que no
se debe, exponer a otros y sus datos, fotos, videos puede ser perfilado y usado
e incluso considerado como delito.
Para concluir:
No nos preocupemos por la multa, ocupémonos en que no nos multen.
Comentarios
Publicar un comentario