BBVA se adelanta a la nueva normativa de protección de datos
La Unión Europea quiere elevar el nivel de protección de los datos de los europeos, y para ello, ha aprobado el reglamento GDPR. Entre las principales novedades se encuentra la designación obligatoria de un delegado de Protección de Datos dentro de las instituciones y empresas que traten datos sensibles ¿Su misión? Velar por el derecho fundamental a la protección de los datos personales que manejan estas organizaciones. BBVA ya cuenta con esta figura, anticipándose a la aplicación de la norma.
“Esta norma es un paso adelante en la protección de los datos de los consumidores. En BBVA nos encontramos ya en pleno proceso de implantación”, explica la delegada de Protección de Datos de la entidad, Flora Egea, que se ha incorporado a BBVA proveniente de IBM.
Tras más de cuatro años de debate, el Parlamento Europeo aprobó en abril de 2016 el reglamento GDPR (siglas en inglés de 'General Data Protection Regulation'), de plena aplicación a partir del 25 de mayo de 2018. Desde ese día, las organizaciones que lo incumplan “se enfrentarán a fuertes multas”, tal como establece la propia UE en su web.
Esta norma [GDPR] es un paso adelante en la protección de los datos de los consumidores. En BBVA nos encontramos ya en pleno proceso de implantación"
El sector financiero es uno de los más afectados por el reglamento GDPR, ya que la explotación de los datos se ha convertido en uno de sus principales activos para ser competitivo. La búsqueda del equilibrio entre el valor que aportan los datos de los clientes y su protección es clave para las entidades financieras.
Por ello, no es de extrañar que los reguladores legislen sobre una materia que afecta sobre todo a los consumidores, que necesitan protección ante el tratamiento y la cesión de sus datos personales, además de la defensa ante posibles brechas de seguridad.
¿Qué datos quiere proteger la UE?
El objetivo de GDPR es salvaguardar la privacidad de los datos de los ciudadanos de la UE ante posibles vulneraciones y armonizar la legislación entre países, en un entorno que ha cambiado mucho respecto al que había en 1995, cuando se aprobó la primera Directiva de Protección de Datos.
La Unión Europea considera como datos personales desde un nombre a una foto, una dirección de correo electrónico, datos bancarios, publicaciones de individuos en redes sociales, información médica o una dirección IP de un portátil.
¿Qué cambia este reglamento?
Uno de los principales cambios regulatorios es el aumento del alcance territorial (aplicabilidad extraterritorial), ya que no sólo regula a las organizaciones situadas en la UE, sino que se aplica a todas las empresas que tratan y conservan los datos personales de residentes en la Unión Europea, independientemente de su ubicación.
También las condiciones para recabar el consentimiento y tratar los datos de clientes se han reforzado. Ahora, el consentimiento debe ser, además de informado, libre e inequívoco, prestado a través de una clara acción afirmativa. Por tanto, no cabe el silencio, inacción u omisión como consentimiento. No podrá ser tácito, ni se podrá proporcionar a través de casillas premarcadas. Debe ser tan fácil retirarlo como prestarlo. Además, se requerirá el consentimiento de los padres para procesar los datos personales de los menores, aunque con respecto a la edad se deja margen a los Estados miembros para fijarla entre los 13 y 16 años.
Otro punto clave son las multas que deberán afrontar quienes no cumplan con la norma, y que pueden alcanzar hasta el 4% del volumen de negocio global anual de la compañía o 20 millones de euros, la cantidad que resulte mayor. Hay que tener en cuenta que estas reglas se aplican tanto a los responsables como a los encargados de tratamiento, lo que significa que las compañías de servicios de ‘cloud computing’ no quedarán exentas.
¿Qué derechos tendrán ahora los europeos?
Los ciudadanos de la UE tendrán ahora derecho a ser informados si sus datos se han visto comprometidos como consecuencia de una brecha de seguridad dentro de las primeras 72 horas tras el incidente.
Los derechos conocidos en España como 'ARCO' (acceso, rectificación, cancelación y oposición) se verán reforzados gracias a GDPR, al tiempo que el derecho de información para la recogida de datos personales se extenderá de forma considerable. Además, nacen nuevos derechos, como el “derecho al olvido”, que afectará a motores de búsqueda en internet, o el derecho a la portabilidad, que permite al interesado obtener una copia de sus datos personales en formato electrónico, bien para sí, o para ser cedidos a otra compañía.
Por otro lado, la llamada ‘privacidad por diseño’, que ha existido como concepto desde hace años, se convierte en requisito legal. Ésta exige la inclusión de la protección de datos desde el inicio del diseño de nuevos productos o servicios. Además, llega la 'privacidad por defecto', de modo que las opciones de protección de los datos deben ser las máximas por defecto, siendo opcional para el interesado la posibilidad de rebajarlas.
También establece otra novedad relevante: el principio de responsabilidad activa, más conocido como 'accountability' de las empresas, según el cual corresponde a éstas la implantación de procesos internos y recogida de evidencias que demuestren el cumplimiento de la norma.