Módulo 2.6. Cómo afrontar los retos de seguridad y privacidad
Aterrizando el concepto
La adopción del Reglamento General de Protección de Datos (RGPD en adelante) ha modificado drásticamente los requisitos exigidos para el tratamiento de datos personales, independientemente de dónde se produzca dicho tratamiento, siempre que los datos sean efectivamente personales y estén relacionados con personas que vivan en la Unión Europea [1].
Por tanto, la privacidad y la seguridad contra el uso indebido, el robo y la pérdida de datos se ha convertido en algo primordial para cualquier institución que tenga que adquirir y almacenar datos personales. Para entender lo que hay que hacer, y para evaluar si tu institución ya está haciendo lo suficiente para procesar los datos personales de acuerdo con el RGPD, le proponemos un sencillo texto de divulgación escrito para alcanzar este objetivo, que también explora los conceptos de seguridad y privacidad por defecto.
Contextualmente, se te proporcionará un ejemplo de “aviso de privacidad”. Este documento debe ser facilitado por la institución a todo interesado cuyos datos personales sean objeto de tratamiento. Es de primordial importancia, ya que formaliza todos los pasos exigidos por el RGPD para tener un tratamiento seguro de los datos personales por parte de esa institución [2] – un mal aviso de información significa inmediatamente una mala forma de procesar los datos [3].
Manos a la obra
Siguiendo las preguntas indicadas en el documento adjunto, en la sección “Aviso de privacidad”, deberías ser capaz de evaluar la idoneidad de casi cualquier aviso de privacidad, incluido el de tu institución.
Te sugerimos que obtengas el Aviso de Privacidad de tu institución y lo analices a la luz de lo descrito en el documento adjunto. Normalmente, deberías poder encontrarlo en línea, en páginas tituladas simplemente “Privacidad” o “Cómo tratamos los datos personales”. En el último capítulo del documento hay una serie de preguntas, enumeradas por la página GDPR.eu: deberían ayudarte a evaluar la calidad del Aviso de Privacidad de tu institución. Por ejemplo, ¿está el Aviso de Privacidad redactado de forma fácil de entender? ¿Está dividido en párrafos claros? ¿Detalla todos los requisitos impuestos por el RGPD? Te animamos a que escribas unas líneas comentando tu análisis, identificando los puntos fuertes del aviso de privacidad de tu institución (tal vez porque se proporcionan a los interesados mejores protecciones que las requeridas por defecto) o los puntos débiles (tal vez porque algunos derechos no se especifican suficientemente bien o el Aviso de Privacidad no está redactado con suficiente claridad).
Evaluación
References
- https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN, “whereas” number 2.
- As per articles 12, 13, 14 GDPR. But mainly 13: https://www.privacy-regulation.eu/en/article-13-information-to-be-provided-where-personal-data-are-collected-from-the-data-subject-GDPR.htm
- An idea also explored in the Guidelines provided by the EU Commission: https://ec.europa.eu/newsroom/article29/items/622227