A la hora de desarrollar y mantener un sistema de Business Intelligence (BI) debemos tener presente la protección legal de los datos relativos a personas (clientes, proveedores, trabajadores, etc.) que se hallasen en él. Para proteger los datos personales de los ciudadanos en el actual entorno digital se aprobaron, a nivel europeo primero y a nivel español después, normativas específicas. Como profesionales de BI es nuestro deber conocer como esta legislación afecta a nuestro trabajo. Por ello iniciamos con esta entrega una serie de posts en la cual trataremos de explicar de forma resumida las claves de la normativa sobre protección de datos en el ámbito del estado español.
¿Cuál es la normativa sobre protección de datos?
Tenemos que hablar de dos normas que pueden considerarse como una sola puesto que ambas son complementarias.
- Reglamento 2016/676 General de Protección de Datos. (RGPD) Aprobado por el Parlamento y el Consejo Europeo el 14 de abril 2016 es la norma básica de protección de datos vinculante para todos los estados de la UE.
- Ley Orgánica 3/2018 de Protección de Datos. (LOPD) Aprobada por el Congreso de los Diputados el 5 de diciembre de 2018 adapta la normativa española al reglamento europeo y lo desarrolla.
¿Por qué ahora?
Si nos fijamos en los años de promulgación de estas normas (2016 y 2018), nos damos cuenta que contrasta bastante lo recientes que son respecto a los años que llevamos viviendo en una sociedad donde se intercambian grandes volúmenes de datos personales a diario. Entonces, ¿por qué se ha tardado tanto en poner al día la normativa? En gran parte porque tanto las BigTech como otros interesados en mantener la desregularización se han encargado de retrasar la fecha de nacimiento del RGPD y España, durante todo este tiempo, se ha mantenido expectante a lo que se hacía en Estrasburgo.
¿Cuál es el objeto de la normativa de protección de datos?
Como es obvio su objetivo es el de proteger los datos personales de los ciudadanos cuando estos son objetos de un tratamiento y/o almacenamiento en un fichero. Antes de seguir nos puede interesar aclarar estos conceptos clave:
Datos personales: cualquier información referente a personas físicas identificadas o identificables. Es decir, que mediante los datos se puede deducir la identificación de una persona, por ejemplo: DNI, nombres y apellidos o datos fisiológicos, socioeconómicos, etc.
Tratamiento de datos: operaciones y procedimientos técnicos que permitan recopilar, grabar, conservar, modificar, bloquear y cancelar datos personales. En BI, serían los procesos de ETL que involucran datos personales.
Fichero de datos: conjunto estructurado de datos personales accesibles mediante unos criterios determinados.
Con este objetivo en mente la normativa se diseñó con el propósito de desarrollar un sistema de protección de datos personales con los siguientes elementos:
- Principios de actuación con respecto al tratamiento de datos personales
- Derechos de los interesados
- Obligaciones de aquellos que intervienen en un tratamiento de datos personales
- Mecanismos de control para que se aplique la normativa
- Régimen sancionador para castigar a quien la haya infringido.
¿Cuál es el ámbito de aplicación de la normativa de protección de datos?
¿Qué nos dice el ámbito de aplicación? Básicamente nos dice los jugadores y el terreno de juego. Es decir, a qué tratamientos se aplica y dónde.
¿Qué personas contempla la normativa de protección de datos?
Podemos identificar los diferentes actores en función de cómo les afectan las leyes de protección de datos. Así los podemos agrupar en 3 grupos:
- Los interesados: son los titulares de los derechos que reconoce la LOPD. Pueden ser:
- Mayores de 14 años con consentimiento previo
- Menores de 14 cuando su tutor o titular de la patria potestad da su consentimiento previo
- Los obligados: son los que deben cumplir las obligaciones de la LOPD y garantizar los derechos de los interesados.
- Responsable del tratamiento
- Encargado del tratamiento
- Representante del responsable
- Los supervisores: se encargan de supervisar la aplicación de la normativa, de poner en contacto los interesados con los obligados para el ejercicio de los derechos y de imponer sanciones en caso de que se cometa una infracción.
- Los delegados de protección de datos
- Las autoridades de control independientes
- Las entidades de certificación y de supervisión de códigos de conducta
Principios de actuación
El RGPD primero, y la LOPD después, establecieron unos principios de actuación para todo aquel que intervenga en un tratamiento de datos personales. En el siguiente cuadro podemos ver como cada uno de ellos trata de dar solución a una pregunta que hacemos a los datos y/o a su tratamiento.
Como podemos observar el principio de responsabilidad proactiva es diferente al resto porque no da respuesta a algo acerca de los datos, sino a una cuestión respecto a los mismos principios de actuación. En otras palabras, este principio hace recaer toda la responsabilidad del seguimiento de los principios al responsable del tratamiento y lo hace con la máxima latina de “la mujer del Cesar no sólo tiene que ser honrada, sino también parecerlo”. Pero ¿cómo puede demostrar el responsable que cumple a rajatabla con todos estos principios? Aquí es donde entran en juego las entidades de certificación y de supervisión de los códigos de conducta.
- Entidades de supervisión: supervisan que se cumpla una serie de códigos de conducta estandarizados para determinados tratamientos. Si se comprueba que se cumplen, entonces se reconoce que el responsable atiende a los principios de actuación. Normalmente las autoridades de control (a nivel estatal o autonómico) desarrollan esta supervisión.
- Entidades de certificación: los responsables pueden solicitar un certificado en una de estas entidades para poder acreditar delante de terceros que sus tratamientos de datos cumplen con los principios de actuación. Por ejemplo: IVAC o Ismsforum.
Recapitulando
Con estos post hemos hecho una primera aproximación a la normativa de protección de datos, la cual será objeto de mayor análisis en futuras entradas. En concreto hemos visto:
- Qué normativa existe actualmente en nuestro entorno
- Qué se encarga de proteger y cómo pretende llevar a cabo su cometido
- A qué protege y a qué no
- Cuáles son los actores de este ecosistema de protección
- Cuáles son los principios de actuación que deben de tener presentes todos los implicados en el tratamiento de datos personales.
LaBInoteca 