No se trata de simples cumplimientos formales, o de documentación o de clausulados, aunque también. Se trata de reflexionar si los datos personales en cada organización cumplen con todas las garantías de seguridad, si los tratamientos son lícitos, si los consentimientos han sido recabados adecuadamente y si la organización ha realizado una evaluación de riesgos en lo que a privacidad de refiere.
En las organizaciones, grandes y pequeñas, a menudo se guardan datos personales “por si acaso”. Esta conservación, mas allá de las obligaciones legales de custodia por un tiempo, puede ser peligrosa. ¿Para qué se quieren datos de usuarios de hace diez años si no se han utilizado? ¿Y los curricula? ¿Acaso no se queda un curriculum vitae obsoleto en uno o dos años?
El nuevo Reglamento aborda esta cuestión:
- De entrada, deberá informarse al usuario el tiempo de conservación de sus datos. Y dichos tiempos deberán ser razonables y estar justificados. Probablemente nos encontraremos con alguna solución “imaginativa” que informe sobre una conservación casi perpetua… Se trata de conservar los datos sólo el tiempo justo y ser transparentes a la hora de informar al propio interesado.
- La seudoanonimización: a veces los datos se guardan por motivos que nada tienen que ver con los datos en sí mismos: estadísticas, estudios. El artículo 4 apartado 5) del propio Reglamento la define de la siguiente forma: “El tratamiento de datos personales de matera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable“. Podemos afirmar que estamos ante una verdadera medida de seguridad y si bien el Reglamento no especifica ni recoge un catálogo de medidas de seguridad tal y como tenemos ahora en el Reglamento de desarrollo de la LOPD, no existen motivos para afirmar que dichas medidas no puedan ser igualmente aplicables en el futuro añadiendo aquellos aspectos específicamente recogidos en el propio Reglamento. No obstante, es muy probable que la propia Agencia Española de Protección de Datos se pronuncie al respecto.
Igualmente hay que empaparse de cultura de seguridad y por ende, de la privacidad, en las organizaciones para minimizar los riesgos: modificando contraseñas de forma periódica, limitando los accesos, revisando periódicamente los sistemas, actualizando el software y realizando copias de seguridad, limitando los riesgos de intrusión mediante las medidas de seguridad correspondientes…. Puesto que en términos generales, el gran capital de las organizaciones (sobre todo de servicios) es la información digital, la seguridad debe redundar en proteger este intangible por encima de otras cuestiones. La sensibilización de los empleados y su involucración en proteger la información es clave.
Tenemos mucho trabajo por delante, ya lo hemos adelantado anteriormente, pero a nadie le tiene que pillar desprevenido. Una vez asumido el inevitable cambio, cada organización, a su nivel debe plantearse internamente los cambios que debe afrontar: sin prisa pero sin pausa.
Por otra parte, seguiremos insistiendo en el cumplimiento de otras obligaciones legales que afectan al mundo virtual: páginas webs, contenidos, derechos de imagen, marcas y dominios.
Fuente: www.herrerodigital.com