Los derechos de los individuos
Todo individuo tiene varios derechos relativos a sus datos personales.
- Derecho de información y acceso: Todo individuo tiene derecho a solicitar una copia de los DCP que utiliza la empresa.
- Derecho de rectificación: Todo individuo tiene derecho a que se modifiquen sus DCP.
- Derecho a oposición: Todo individuo tiene derecho a oponerse, por un motivo legítimo, a figurar en un fichero y a que se divulguen, transmitan o conserven sus datos.
- Derecho al olvido: Todo individuo puede solicitar la eliminación de sus DCP con excepción de los necesarios para un contrato o para obligaciones legales.
- Derecho a la limitación del tratamiento: Todo individuo puede solicitar la restricción o el límite del alcance de sus DCP.
- Derecho a la portabilidad: Todo individuo puede solicitar la recepción de sus DCP en un formato estructurado y transmitirlos a otra empresa.
Veamos algunos ejemplos de aplicación para cada uno de los derechos mencionados.
- Derecho de información y acceso: Eres un cliente, puedes ponerte en contacto con la marca para conocer la información que tiene sobre ti.
El ejercicio de este derecho te permite controlar la exactitud de los datos y, si lo deseas, solicitar que se rectifiquen o eliminen. - Derecho de rectificación: Todo cliente puede solicitar una actualización de las bases de marketing tras haber revendido su vehículo.
Esto le permite evitar que la marca se ponga en contacto con él para una operación u oferta comercial relacionada con ese vehículo. - Derecho a oposición: En materia de prospecciones, principalmente comerciales, este derecho se puede ejercer sin tener que justificar un motivo legítimo.
Todo cliente real o potencial puede contactar en cualquier momento con su marca y solicitar que no se le envíen más ofertas comerciales.
- Derecho al olvido: Una persona cuya candidatura a formar parte del grupo no prosperase puede solicitar que su ficha se elimine de los sistemas de RRHH.
- Derecho a la limitación del tratamiento: Tu operador telefónico se pone en contacto contigo por teléfono, aunque nunca has dado tu consentimiento para recibir ofertas comerciales por teléfono.
- Derecho a la portabilidad: Un cliente puede obtener de una empresa la transferencia de sus datos a otra sociedad, como pedir a Deezer que envíe directamente sus listas de reproducción y música favorita a Spotify
Es esencial tener en cuenta estos derechos al elaborar nuevos sistemas de recogida y/o tratamiento de DCP.
Por tanto, siempre tenemos que ser conscientes de que los individuos cuyos datos recogemos de manera autómata en función de nuestra necesidad comercial, pueden ejercer sus derechos como hemos podido ver anteriormente.
Las obligaciones de las empresas
Cuando utiliza datos de carácter personal (o DCP), la empresa debe demostrar Transparencia y Responsabilidad.
La Transparencia se refiere a que las empresas informan a las personas afectadas y transmiten la información a las autoridades de protección de datos.
La Responsabilidad se refiere a que las empresas deben ser capaces de demostrar la conformidad con el reglamento.
La empresa debe contar con una organización y una buena gestión para asegurar el respeto del reglamento. Para ello, debe nombrar un Delegado de Proteccion de Datos o DPD o Data Protection Officer que asegure la conformidad legal y garantice el dialogo con la autoridad de control.
Veamos ahora que es la evaluación de impacto.
Antes de cualquier tratamiento de datos, debe efectuarse una evaluación de impacto de la protección de datos porque puede representar un riesgo potencial para los individuos.
La empresa debe garantizar la seguridad de los datos y de las personas y eso supone varias obligaciones.
La evaluación de impacto, antes de cualquier tratamiento de datos, debe efectuarse una evaluación del impacto de la protección de datos porque puede representar un riesgo potencial para los individuos.
El refuerzo de la seguridad, El refuerzo de la seguridad mediante el cifrado o la anonimización de los datos.
La empresa debe conocer todos los tratamientos que utilizan los datos de carácter personal mediante el establecimiento de un registro de tratamientos que pueda presentar ante las autoridades de control que lo requieran.
El registro de tratamientos debe contener básicamente:
- La lista de los tratamientos y su responsable
- Una descripción exhaustiva de los mismos
- Los riesgos asociados para los individuos
- Las medidas para reducir esos riesgos
La empresa debe saber exactamente por qué y cómo se tratan los datos:
¿Por qué se recogen los datos personales (con qué fin) y cuáles exactamente?
¿Qué entidad puede consultar los datos interna o externamente (proveedor, socio…)?
¿Dónde se encuentran y cómo se aseguran?
El responsable del tratamiento es responsable de los tratamientos de los datos que tengan lugar en el seno del Grupo y también por parte de sus proveedores.
En caso de transferencia de datos fuera de la Union Europea debe garantizarse la protección de los mismos.
Esto significa que toda empresa no europea que trate datos de ciudadanos europeos debe respetar el RGPD.
Todos los tratamientos nuevos deben integrar las reglas del nuevo reglamento. Lo que se conoce como Privacy by design:
- Vehiculos y servicios conectados (Connected Cars)
- Base de datos única (Customer Share)
- Relacion con los clientes (FIRST)
- Nuevo proyecto informatico
Todos tenemos nuestro papel en la protección de DCP y todos tenemos que procurar actuar conforme al reglamento.
Los desafíos y los riesgos para la empresa son considerables.