El RGPD afecta a las empresas
September 30, 2024 | 8 minutes read
El RGPD está teniendo un enorme impacto en las empresas. Es justo decir que el Reglamento se adoptó por la extrema preocupación de que las empresas estaban recopilando datos personales pertenecientes a los ciudadanos, que en última instancia no estaban protegidos con principios a largo plazo en mente, lo que dio lugar a violaciones de datos, que afectaron a esos ciudadanos. Ver las noticias no pinta un panorama de confianza en lo que respecta a la custodia de los datos por parte de las empresas. El RGPD se estableció para abordar los problemas que rodean a estas preocupaciones, pero también para proporcionar a los ciudadanos la capacidad de controlar los datos que las empresas recopilan y almacenan en relación con ellos, para incluir el tiempo que esas empresas pueden almacenar esos datos. Ciertamente, hay situaciones en las que ciertos datos deben conservarse durante períodos de tiempo más largos (por ejemplo, los datos de los clientes asociados a una hipoteca), pero muchos de los datos a los que se refiere el RGPD no son necesariamente datos que una empresa tenga la responsabilidad legal directa de conservar durante un período de tiempo determinado.
Datos que las empresas recopilan y que están sujetos al RGPD
La definición del RGPD proporciona una amplia gama de productos de datos. Un ejemplo importante que la UE utilizó en su publicación inicial fue el de una empresa de la UE que recopila datos de clientes en relación con la prestación de servicios de viajes. Esos datos entran en el ámbito de aplicación del RGPD, y son los clientes, y no la empresa, quienes tienen derecho a insistir en la protección de los datos y en su eliminación en la mayoría de los casos. El RGPD estipula además que las empresas deben demostrar que han eliminado los datos en un informe formal, entregado al cliente y conservado en registros durante un periodo de tiempo determinado.
En el apartado 1 del artículo 4, el RGPD define los datos de la siguiente manera “datos personales”: toda información sobre una persona física identificada o identificable (“interesado”); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física;
Esta definición se traduce literalmente en cualquier información que denote la identidad de una persona de cualquier forma. Documentos, audio, vídeo, imágenes, perfiles alojados en programas informáticos, transacciones financieras, la lista realmente continúa. Las implicaciones para las empresas son sofisticadas y van en aumento. Mientras sigamos asistiendo a un aumento de la tecnología de captura de datos, que ofrece a las empresas más oportunidades de conservar distintos tipos de datos, el RGPD será más relevante para las operaciones de esa empresa.
Y eso significa tener que contratar personal o servicios para cumplir los requisitos del RGPD. Los ciudadanos pueden solicitar la eliminación de datos documentados, la redacción de archivos de vídeo o la eliminación de la voz de los archivos de audio. Pero en la fase inicial de estas solicitudes, los ciudadanos tienen que facilitar datos verificables a estas empresas para poder cumplirlas. Esto significa imágenes que puedan utilizarse para localizar soportes digitales, información de identificación personal que pueda cotejarse con los documentos solicitados.
Gestionar hordas de datos y luego heredar datos similares para localizar los datos específicos es un paradigma nuevo y desafiante para todos los implicados.
¿Tienen las empresas protecciones en el RGPD ?
En el Artículo 1, Subsección 4, el RGPD dice lo siguiente: “El tratamiento de datos personales debe estar concebido para servir a la humanidad. El derecho a la protección de los datos personales no es un derecho absoluto; debe considerarse en relación con su función en la sociedad y sopesarse con otros derechos fundamentales, de conformidad con el principio de proporcionalidad. El presente Reglamento respeta todos los derechos fundamentales y observa las libertades y principios reconocidos en la Carta y consagrados en los Tratados, en particular el respeto de la vida privada y familiar, del domicilio y de las comunicaciones, la protección de los datos de carácter personal, la libertad de pensamiento, de conciencia y de religión, la libertad de expresión y de información, la libertad de empresa, el derecho a la tutela judicial efectiva y a un juez imparcial, y la diversidad cultural, religiosa y lingüística.”
Y parece que el tema del RGPD pone el énfasis en que las empresas procesen los datos, y sólo los mantengan bajo circunstancias específicas, ya sea cumplimiento, histórico, u otro interés creado en relación con la sociedad. Pero incluso esas circunstancias no se detallan hasta el punto de que haya que purgar los datos. Cabe suponer que ha sido intencionado, ya que la UE quiere que las sentencias judiciales decidan si los datos conservados por una empresa son lícitos o no, basándose en los méritos del RGPD.
Esto significa que las empresas tendrán que presentar argumentos específicos y bien documentados si deciden conservar datos. Hemos hablado de algunos ejemplos relevantes, como los documentos financieros, especialmente si esos datos están vinculados a un cliente activo, como un ejemplo en el que se esperaría que los datos se mantuvieran durante un largo periodo de tiempo. Si ese cliente ya no quiere que la empresa conserve esos datos, es probable que tenga que poner fin a su relación comercial. Sin embargo, sabemos que en EE.UU. los proveedores de servicios financieros están obligados a conservar determinados documentos con fines de auditoría.
Parece que el RGPD no contempla necesariamente este supuesto, pero sí ofrece varias protecciones por motivos sociales, históricos y de bienestar. Al leerlo, los motivos históricos parecen aplicarse a la situación descrita.
Este tipo de situaciones van a tener que considerarse casi a diario a medida que evolucione el RGPD. Pero probablemente la cuestión más importante para las empresas es el contenido multimedia, en particular el vídeo.
¿Cómo afecta esto a los sistemas de vídeo?
Las empresas, especialmente las que interactúan con los clientes directamente en sus instalaciones, tienden a tener sistemas de cámaras de vídeo instalados como una forma de prevenir la delincuencia, detectar delitos en el momento en que ocurren e incluso revisar las actividades de los empleados. Muchas empresas utilizarán estos ejemplos del mundo real para formar a su personal nuevo y fijo a la hora de identificar ciertos resultados negativos, como el robo. Hasta la entrada en vigor del RGPD, todas las empresas tenían derecho a utilizar ejemplos internos, y era un enfoque muy lógico. También puede utilizar los ejemplos más relevantes para formar a su personal, especialmente en entornos minoristas, sobre a qué debe prestar atención.
Sin embargo, lo que el RGPD establece es que cualquier dato personal identificable pertenece al ciudadano, no a la empresa. Y establece un proceso mediante el cual un ciudadano puede solicitar que todos los datos que lo representan sean objeto de purga o desidentificación. Las empresas que emplean tecnología de vídeo ya no pueden confiar en capturar datos de vídeo, conservarlos durante un tiempo predeterminado y luego hacer una copia de seguridad en otro lugar. Sin duda, las empresas pueden seguir empleando técnicamente este proceso, pero cuando un ciudadano solicita que se eliminen todos los datos que lo representan, la empresa tiene la responsabilidad de buscar todos los datos posibles, identificar cualquier dato asociado al ciudadano y eliminarlo. En el caso de los datos de vídeo, esto puede ser complicado porque puede haber razones relevantes (como las descritas anteriormente) para que esos datos sigan siendo propiedad de la empresa.
Lo que esto significa es que las empresas van a tener que emplear software de reconocimiento facial y redacción para trabajar con todo el contenido de vídeo que estén capturando. También significa probablemente que, en lugar de almacenar los contenidos de vídeo antiguos en una “cámara acorazada”, ese almacenamiento local de contenidos puede facilitar la gestión de las solicitudes, porque el ciudadano puede especificar de dónde cree que procede el contenido, y ese contenido puede encontrarse rápidamente, in situ. Sin embargo, lo que acabará siendo la forma más sencilla de gestionar contenidos que podrían ser objeto de solicitudes RGPD, es almacenar todos los datos en un servicio en la nube, y utilizar las herramientas de software descritas para buscar contenidos, y luego tomar las medidas apropiadas. Hablaremos de la tramitación de solicitudes RGPD en una próxima edición.
Conclusiones
Aunque todavía estamos explorando el RGPD desde un punto de vista introductorio, uno puede ver que el proceso para manejar cómo este reglamento afecta a las empresas va a ser bastante sofisticado, y esta es una razón importante por la que el RGPD esboza que el personal específicamente capacitado debe ser contratado a tiempo completo en algunas empresas. Seguiremos analizando el reglamento y señalando todos los requisitos específicos, así como cualquier lenguaje que deje una pregunta desafiante sobre la que reflexionar. Siga leyendo, seguiremos explicando lo que implicará este reglamento.
¡Cuídate!