Hoy celebramos el Día Europeo de la Protección de Datos, una conmemoración que busca promover el conocimiento acerca de los derechos y responsabilidades de los ciudadanos, según lo define la Agencia Española de Protección de Datos (AEPD). Justo tras un año donde ha habido grandes novedades legislativas en esta materia, primero con la entrada en vigor del RGPD, y posteriormente con la adaptación a la normativa española mediante la LOPD-GDD, que obliga a las empresas a proteger mejor la información personal que manejan, y que a su vez regula prácticas como el profiling o elaboración de perfiles predictivos a través del análisis de los datos personales.
Este año ha supuesto un gran cambio de paradigma en la protección de datos. El pasado 25 de mayo, entró en vigor el Reglamento General Europeo de Protección de Datos Personales (RGPD) con el fin de garantizar uno de los derechos más sensibles de los ciudadanos: la seguridad de sus datos de carácter personal. Posteriormente se ha adaptado a España como trasposición del reglamento en forma de Ley Orgánica, del 5 de Diciembre de 2018. Desde entonces son las empresas, así como sus proveedores, los que tienen la obligatoriedad de implantar las medidas técnicas y organizativas que garanticen un nivel adecuado de protección.
La LOPD-GDD ha impuesto un cambio sustancial en la forma en que las empresas se relacionan con sus clientes, ya que ha transformado la manera de almacenar, usar y proteger la información, así como en regulación de algunas prácticas en el tratamiento de datos como el llamado profiling o elaboración de perfiles predictivos a través de los datos de personales, cada vez más utilizado por las empresas.
Pero, ¿qué es exactamente el profiling?
El profiling, que se podría traducir como “perfilado”, se define como “toda forma de tratamiento automatizado de datos personales consistente en utilizar datos para evaluar determinados aspectos personales de una persona física, en particular para analizar o predecir aspectos relativos al rendimiento profesional, situación económica, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimientos de dicha persona física”.
Esta técnica, que va más allá de la recopilación de los datos, consiste en almacenar, seleccionar, tratar y analizar de manera automatizada información de personas físicas para establecer un perfil de conducta o comportamiento, por ejemplo hábitos de compra o de consumo. Es muy utilizada en el marketing y en áreas de fidelización y atención a clientes para mejorar su relación con los mismos, o incluso para gestionar procesos de selección. También, por ejemplo, el ámbito financiero se pueden establecer modelos de riesgos crediticios.
La LOPD-GDD incluyó explícitamente el concepto de “elaboración de perfiles”, estableciendo, entre otras cosas, que las empresas puedan elaborar perfiles de personas sólo bajo determinadas circunstancias y siempre que éstas sean informadas debidamente tanto de su elaboración como de sus consecuencias. Además las personas tienen derecho a oponerse, a solicitar la intervención humana por parte del responsable, a expresar su punto de vista o a impugnar la decisión derivada de este tratamiento de datos.
Asimismo, en los casos en que se traten datos especialmente sensibles, se deberá tener el consentimiento explícito de los interesados y tener especial atención para evitar posibles consecuencias discriminatorias que puedan surgir debido a criterios sensibles, como raza u origen étnico, opiniones políticas o creencias religiosas, estado de salud u orientación sexual.
Sólo se podrá realizar una elaboración de perfiles si se aplican medidas adecuadas para la protección de los derechos, libertades e intereses legítimos de los interesados. De hecho la LOPD-GDD ha obligado a realizar un análisis de riesgos y una evaluación de impacto con el fin de aplicar las medidas que se consideren más apropiadas para proteger los datos y minimizar las amenazas.
Al respecto es importante la implantación de sistemas de protección y protocolos de seguridad de la información para blindarse frente a los ataques de terceros y más si se usan datos de carácter personal ajenos. De hecho, la LOPD obliga a notificar los ciberataques dentro de las primeras 72 desde que ocurre el fallo a la Agencia Española de Protección de Datos si éste provoca que los datos personales queden expuestos.
¿Cómo pueden evitarse estos riesgos?
Desde Wellness Telecom defendemos que la mejor estrategia de respuesta ante estos incidentes de seguridad debe comenzar indefectiblemente por la implementación de los protocolos adecuados de prevención. Hay que conocer todas las opciones que ofrece la tecnología, no sólo para rentabilizar el negocio, sino también para prevenir posibles ciberataques, cada vez más sofisticados y muchas veces aleatorios. En definitiva, las empresas tienen que ser conscientes de los posibles futuros riesgos e implantar las herramientas adecuadas para poder enfrentarse a ellos.
Cabe recordar que una de las principales novedades que introdujo la nueva normativa es el principio de responsabilidad proactiva, donde son las propias empresas las que están obligadas a demostrar que cumplen la LOPD-GDD a través de la implementación de las medidas de seguridad que considere adecuadas en función del tratamiento de datos que realice.
En este sentido resulta también imprescindible la formación de los empleados. Toda la plantilla tiene que tener definida una correcta política del tratamiento de datos, así como unos estrictos procedimientos de seguridad. Si por un despiste o desconocimiento alguien hace un profiling, por ejemplo para una campaña de mailing, sin ajustarse a la normativa, la sanción sería cuantiosa. La formación es fundamental, la eficacia de los protocolos de tratamientos de datos y de seguridad pasa porque estén asumidos e integrados en todos los departamentos de la organización, los empleados tienen que conocer las buenas prácticas, correctos usos y posibles riesgos para establecer garantías adecuadas, aconsejamos desde Wellness Telecom.
