Nuevo estándar ISO para certificar el cumplimiento en protección de datos

Hace ya más de un año que se aprobó el reglamento europeo de protección de datos (RGPD) y desde entonces se ha ido adaptando la legislación de los estados miembros para cumplir con las nuevas exigencias normativas.

En España esa adaptación llegó con la entrada en vigor de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y mediante la publicación por parte de la AEPD de diferentes guías e informes para hacernos a todos más fácil el cumplimiento de tantas novedades legales.

Pero ahí no se queda todo, sino que adicionalmente a esta regularización que se ha ido llevando a cabo en cada uno de los estados miembros, la International Organization for Standarization (ISO) y la International Electrotechnical Commission (IEC) estuvieron trabajando para crear un estándar para la gestión de la privacidad que implica el cumplimiento del RGPD. Dicho estándar fue finalmente aprobado el pasado 6 de agosto de 2019 con el nombre de ISO/IEC 27701:2019 pues nace como una extensión de la ISO 27001, el estándar para la seguridad de la información. Es decir, se integran ambas normas, creando un sistema de gestión de seguridad de la información y de cumplimiento de la normativa relativa a los datos personales.

Antes de entrar en materia habrá que tener claro en qué consiste el Sistema de Gestión de la Seguridad de la Información (SGSI). Se trata de un conjunto de políticas y procedimientos que normalizan la gestión de un determinado ámbito de la organización o de uno o varios de sus procesos de negocio.

Dentro de estos SGSI se encuentra la ISO 27001, la cual es una norma de gestión, es decir, que define cómo ejecutar un sistema planificando, implementando, supervisando, revisando y mejorando la seguridad de la información a través de objetivos y medidas y mediante la realización de auditorías internas, entre otras cosas.

En este sentido, y dado que la ISO 27001 no puede abarcar todas las materias posibles pues se haría muy extensa y sería difícil conseguir certificar el cumplimiento de toda la seguridad de la información en todos los ámbitos posibles de nuestra organización surgen otras normas ISO que desarrollan la anterior.

Y aquí entra la ISO 27701, la cual indica requisitos especiales para mantener y mejorar el Sistema de Gestión de Protección de Datos (PIMS por sus siglas en inglés). Este sistema no pretende que cada organización adopte todos los protocolos de seguridad de todas las situaciones posibles, sino que las empresas entiendan por qué tratan información e implementen una serie de controles para realizar un tratamiento correcto de dicha información.

Por tanto, las empresas que quieren estandarizar su tratamiento de datos conforme a la ISO 27701 tendrán que:

  • Realizar una evaluación de las posibles brechas en la seguridad de los datos y elaborar un plan de acción contra esas brechas.
  • Tener claro qué datos recopila la organización, cómo se usan y cómo se comparten.
  • Saber distinguir cuándo la organización es responsable y cuándo es encargada del tratamiento.
  • Revisar y mantener actualizadas las políticas de privacidad para asegurarse de que abarcan todas las necesidades de la empresa.
  • Planificar e implementar una protección de datos desde el diseño y por defecto.

En resumidas cuentas, los objetivos de la ISO 27701, son los de proporcionar orientación sobre la gestión de la información personal de que disponen las organizaciones y ayudar a demostrar que se cumple con la normativa de protección de datos por parte de los responsables y encargados de tratamiento.

La ISO 27701 cubre las partes más importantes de la normativa como son los principios del tratamiento, las bases de legitimación, la obligación de transparencia e información, el ejercicio de derechos, la responsabilidad proactiva, las transferencias internacionales de datos y las obligaciones adquiridas con las autoridades de control, en nuestro caso la AEPD.

Además, cumplir con este estándar supondrá numerosos beneficios pues las empresas que lo implementen tendrán evidencia documental de que cumplen con la normativa de protección de datos y consecuentemente esto generará confianza en sus clientes y facilitará acuerdos comerciales con partners al aclarar los roles y responsabilidades dentro de la propia organización con un método de tratamiento de datos certificado.

Y esto no se queda ahí, pues gracias a esta certificación, más empresas adaptarán a la normativa su procesamiento de datos. Esto es así pues cuando una organización con quien otra mantiene relaciones comerciales quiera estandarizar sus procedimientos y le solicite firmar un contrato, proporcionarle información, o mejorar su cumplimiento en la materia, ésta tendrá que ponerse las pilas y regularizar su propia compañía.

Por todo ello, sin importar el tamaño de la organización, parece que certificarse con la ISO 27701 sería un paso interesante para dar por parte de todas las empresas, sobre todo en el momento en el que entramos a hablar de compañías que tratan grandes volúmenes de datos o información sensible de los interesados.

Lo único que nos queda ya es esperar la modalidad española de este estándar mediante la adopción de una norma UNE que contenga también las especificaciones y particularidades de la LOPDGDD y esperar la llegada de una era en la que el cumplimiento de la protección de datos sea un must en nuestra vida.

Responsable, corresponsable y encargado

Unos de los conceptos más básicos que hay que tener claros en protección de datos son los de responsable, corresponsable y encargado.

En primer lugar, el responsable del tratamiento será la persona física o jurídica, de naturaleza pública o privada, que determine los fines y medios del tratamiento. Es decir, es la persona que decide qué datos de carácter personal se van a recabar, qué se va a hacer con ellos, cuanto tiempo se van a conservar o si se van a ceder, entre otras cosas.

En contraposición con esta figura se encuentra la del encargado del tratamiento que es la persona física o jurídica, de naturaleza pública o privada, que trata datos personales por cuenta del responsable del tratamiento.

Por tanto, para diferenciar la figura del responsable de la del encargado, bastará con hacerse una pregunta ¿quién decide para qué y cómo se van a tratar los datos recabados?

Será el responsable en todo momento quien influirá sobre los fines y los medios del tratamiento mientras que el encargado simplemente se limitará a seguir las directrices impuestas por aquel.

En otro orden de ideas, existen situaciones en las que el responsable del tratamiento está claramente delimitado pues puede suceder que tenga una competencia jurídica explícita y bien determinada para poder llevar a cabo el tratamiento. Esto sucederá en casos en los que el responsable deba, por ejemplo, tratar los datos de sus empleados de cara a la realización de las nóminas, o bien tratar los datos de sus proveedores en base a su obligación de facturación.

Por otra parte, en la práctica sucede con frecuencia que el responsable contrata una prestación de servicios a un tercero para realizar alguna de las citadas actividades. Por ejemplo, para hacer esas nóminas de las que acabamos de hablar puede que el responsable delegue dicha realización a una gestoría externa. Esta gestoría, por tanto, será encargada del tratamiento con respecto de los datos de los trabajadores, pues no puede tomar sus propias decisiones sobre cómo utilizar dichos datos sino que los términos de utilización de los datos los determina el responsable.

Teniendo esto presente y en relación con esta figura del encargado del tratamiento, el responsable siempre tendrá que buscar que, aquel proveedor que le preste un servicio para el que tenga que acceder a sus datos, ofrezca garantías suficientes en cuanto al cumplimiento de la normativa de protección de datos y se comprometa a actuar con la diligencia debida. Para ello ambas partes deberán firmar un contrato responsable – encargado.

Aun así esto no es suficiente y deberá también el encargado facilitarle al responsable toda la información que éste le solicite en cuanto a la manera en que realiza el tratamiento de los datos y las medidas técnicas y organizativas implementadas dentro de su organización para llevar a cabo la protección de datos. Dicha comprobación se podrá realizar mediante una solicitud de información a través de un cuestionario al que se deberá adjuntar documentación acreditativa suficiente sin que sea idóneo dar por válido la mera respuesta positiva a todas las cuestiones planteadas en relación con las medidas exigidas por la normativa de protección de datos sin que exista una comprobación de la realidad de las mismas.

Por último, pasando a analizar la figura de la corresponsabilidad, esta supone que se realice un control y determinación de la finalidad del tratamiento conjunto entre ambas partes. Dicho tratamiento conjunto debe ser de carácter real sin que sea determinante el hecho de que exista un contrato en el que se detalle que se está ante una corresponsabilidad cuando, de facto, la determinación de los fines y los medios se lleve a cabo únicamente por una de las partes.

Por tanto, el escenario de la corresponsabilidad supone que dos o más responsables traten datos personales conjuntamente aunque sin necesidad de que tomen decisiones en relación con los objetivos y medios adoptadas al 50 % entre ambos.

Esta situación de corresponsabilidad deberá formalizarse por todas las partes involucradas a través de un acuerdo escrito indicando en el mismo los medios y fines del tratamiento, la colaboración en el análisis de riesgos, la asistencia en procesos de brechas de seguridad y de gestión de derechos, y la determinación de las responsabilidad de cada uno, entre otras cosas, además de ser siempre trasparentes de cara a los titulares de los datos a través de las correspondientes cláusulas de información.

En definitiva, aun así y después de haber delimitado estas tres figuras, en la práctica no todos los casos son claros y puede suceder que no estén bien diferenciadas. Ocurre a veces que el encargado se atribuye el rol de responsable, o que los responsabables quieren que los encargados asuman todas las responsabilidades, o que existan cesionarios que quieren ser tratados como corresponsables, o incluso que un corresponsable prefiera posicionarse contractualmente como encargado para no asumir toda la responsabilidad que entraña la figura de responsable.

Está en manos de cada uno pararse a pensar y colaborar conjuntamente entre las partes intervinientes para determinar qué tipo de tratamiento se está haciendo, quién está decidiendo sobre el mismo, y cómo se está llevando a cabo.

Las multas por “pasar” de la protección de datos

Uno de los puntos que más alarma ha creado para las empresas con las salida del nuevo reglamento ha sido el de las sanciones.

Antes de la entrada en vigor del reglamento europeo muchas empresas hacían caso omiso a la protección de datos pues podían permitirse saltársela y pagar unas multas irrisorias por ello (en comparación con su volumen de negocio, claro está, para mi 40.000 euros es dinero, para Google, es calderilla). Esto cambia.

Por un lado, se podrá sancionar con una multa de un máximo de 10 millones de euros o, en caso de tratarse de una empresa, el 2 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía. ¡Y esta multa es la menos mala!

Estas sanciones se pueden dar por:

  • Vulnerar las obligaciones impuestas tanto para el responsable como para el encargado. Esta vulneración se daría en las siguientes circunstancias:
    • No se recaba el consentimiento del niño en relación con servicios de la sociedad de la información.
    • Se identifica al interesado cuando se realiza el tratamiento de datos que, de acuerdo con los fines para los que se tratan, no requieren de dicha identificación. Es decir, no hace falta que se le identifique, pero se le identifica. Sin más.
    • No se llevan a cabo medidas de responsabilidad proactiva en el tratamiento de los datos como son el registro de actividades de tratamiento, la protección de datos desde el diseño y por defecto, la seguridad de los datos personales, la notificación de una violación de la seguridad de los datos personales a la autoridad de control y al interesado, en su caso, o la evaluación de impacto con su correspondiente consulta previa a la autoridad de control cuando el tratamiento entrañe un alto riesgo.
    • No se llevan a cabo las obligaciones dispuestas en relación con la corresponsabilidad del tratamiento, los representantes del responsable o encargados del tratamiento no establecidos en la Unión Europea, y la regulación de la figura de los encargados del tratamiento según lo dispuesto en el artículo 28 del RGPD.
    • No se da una cooperación con la autoridad de control.
    • No se designa un delegado de protección de datos estando obligado a ello.
  • Vulnerar las obligaciones de certificación por parte de organismos que se dediquen a ello por tener un nivel de pericia tal que han sido acreditados por la autoridad de control para expedir y renovar dichas certificaciones
  • Vulnerar las obligaciones de supervisión de códigos de conducta por parte de los organismos que se dedican a ello por tener un nivel de pericia tal que han sido acreditados por la autoridad de control para realizar dicha supervisión.

Y por otro lado están las sanciones menos buenas, las que pueden llegar hasta un máximo de 20 millones de euros o el 4 % del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

Estas multas se impondrán en los siguientes casos:

  • Por vulnerar los principios básicos del tratamiento. Esta vulneración se da cuando:
    • No se respetan los principio relativos al tratamiento (licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad, confidencialidad y responsabilidad proactiva).
    • No se cumple ninguna de las condiciones para que el tratamiento sea lícito, es decir, no existe una base jurídica que legitime el tratamiento.
    • No se cumplen las condiciones para el consentimiento del interesado para el tratamiento de sus datos personales.
    • Se tratan categorías especiales de datos personales cuando no concurre ninguna de las circunstancias legitimadoras para dicho tratamiento.
  • Por vulnerar los derechos de los interesados, aquellos conocidos como derechos ARCO como siglas de los derechos de Acceso, Rectificación, Cancelación y Oposición, pero que con la entrada en vigor del reglamento aumentaron a unos cuantos más quedando las siglas ligeramente desfasadas. Hoy en día son los siguientes: derecho de acceso, de rectificación, de supresión o derecho al olvido, a la limitación del tratamiento, a la portabilidad de los datos, de oposición y a no ser objeto de decisiones individuales automatizadas, incluyendo la elaboración de perfiles. Lo podríamos llamar ARSOLPON, pero no tiene tanto gancho, así que mejor los seguimos llamando derechos ARCO.
  • Por transferir datos a países ajenos a la Unión Europea y que no dispongan de un nivel de garantía adecuado.
  • Por incumplir alguna obligación en virtud del derecho de los estados miembros en relación con:
    • la libertad de expresión y de información;
    • el acceso público a documentos oficiales;
    • el tratamiento del número nacional de identidad;
    • el tratamiento en el ámbito laboral;
    • las garantías y excepciones aplicables al tratamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos;
    • las obligaciones de secreto;
    • las normas de protección de datos de iglesias y asociaciones religiosas.
  • Por incumplir una resolución o limitación del tratamiento por parte de la autoridad de control o no facilitarle a esta el acceso en el ejercicio de sus poderes de investigación.

Una vez visto esto, si, las multas son desproporcionadas, pero ten en cuenta que no se le va a poner una multa de 10 millones de euros a una papelería pequeña de barrio, sino que están más bien pensadas para grandes empresas a las que antes de la entrada en vigor del reglamento les importaba tan poco la protección de datos que era casi más beneficioso para ellas a nivel económico el seguir disponiendo a su antojo de los datos y pagar por el mal uso una multa (ridícula en comparación con sus volúmenes de venta) que el hecho de ponerse a hacer las cosas bien.

Ahora, con el aumento considerable en la cuantía de las sanciones, por lo menos se lo piensan dos veces antes de incumplir la normativa de protección de datos.

Bases legitimadoras para el tratamiento de datos de carácter personal

Para que se pueda realizar el tratamiento de los datos personales hay que tener en cuenta, en todo momento, que se deberá disponer de la legitimidad necesaria para poder tratar dichos datos personales.

Como ya hemos comentado en otras entradas, no puede suceder que se traten los datos de todo el mundo, sin ton ni son, sino que, como veremos, cualquier persona que realice un tratamiento de datos personales debe estar “autorizado” (por decirlo de alguna manera) a realizar dicho tratamiento. Para ello dispone la ley de unas bases de legitimación concretas que se encuentran encuadradas en el artículo 6 del RGPD.

En primer lugar, existe legitimación para el tratamiento cuando el interesado (la persona cuyos datos se están recabando) da su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.

Sin embargo, este consentimiento expreso del interesado tiene sus matizaciones. Anteriormente a la entrada en vigor del RGPD y la LOPDGDD, se recogía el consentimiento de los interesados mediante formularios con casillas premarcadas de aceptación del tratamiento de los datos, mientras que hoy en día el interesado debe realizar una clara acción afirmativa al tratamiento de sus datos. Se descarta así, por tanto, el consentimiento tácito (no me quejo de que tratan mis datos y de este modo consiento tácitamente que lo hagan) y las cláusulas premarcadas en los formularios (por ejemplo, las típicas casillas de “acepto el envío de comunicaciones comerciales a través de la newsletter” que antes venían marcadas por defecto y tenías que realizar una acción efectiva de desmarcarlas).

Todos esos consentimientos que en un momento fuero correctos, actualmente hay perdido toda validez y deben volver a ser recabados de acuerdo a las nuevas exigencias indicadas en la normativa en vigor. ¿Te acuerdas hace aproximadamente un año cuando empezaron a llegar masivamente emails de gente pidiéndote que les dieses de nuevo el consentimiento para el envío de comunicaciones electrónicas o para mantenerte en su base de datos? Pues era por esto…

Aunque recabar el consentimiento sea un acto tedioso, siempre será lo más seguro para una empresa a la hora de tratar datos de los afectados. En cambio, existen otra serie de supuestos que permiten el tratamiento de los datos del interesado sin que sea necesario que este dé su consentimiento expreso, bien porque sería excesivo recoger dicho consentimiento, o bien porque puede resultar imposible o de difícil consecución.

Por tanto, existen algunas bases legitimadoras distintas del consentimiento. Una de ellas consiste en el tratamiento necesario para ejecutar un contrato. Obviamente si voy a contratar la prestación de unos servicios, la empresa con la que contrato tendrá que saber como mínimo mi nombre y DNI para poder dar forma al contrato así como cualquier otro dato mínimamente indispensable para realizar la prestación del servicio.

Asimismo, se está legitimado para el tratamiento de datos cuando el mismo sea necesario porque exista una ley aplicable que obligue a que se recaben ciertos datos como puede ser la Ley de Prevención de Blanqueo de Capitales y Financiación del Terrorismo, o la Ley de Prevención de Riesgos Laborales, entre otras. Aquí también se encuadraría el registro de la jornada que ahora está tan de moda.

También es posible el tratamiento sin necesidad de recabar el consentimiento cuando aquel sea necesario para proteger intereses vitales del interesado o de otra persona. Este sería el ejemplo de una persona que se encuentra en estado crítico y es llevada al hospital. Claramente la persona que le atiende mientras se desangra no le va a decir “disculpe, hasta que no me firme este consentimiento no le puedo atender”. De igual modo sucedería si se diesen circunstancias de catástrofes naturales o epidemias.

Por otro lado, se pueden tratar datos personales cuando dicho tratamiento sea necesario para cumplir con alguna misión de interés público como pueden ser fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos, entre otros.

Por último, es posible recabar los datos cuando el tratamiento sea necesario para satisfacer intereses legítimos de la persona que los va a tratar y siempre que sobre este interés no prevalezcan los intereses o derechos y libertades del interesado. Este sería, por ejemplo, el caso de una persona que va a un restaurante y a la hora de pagar pide que le hagan una factura y el camarero le pide unos datos para ponerlos en la misma. Obviamente no le va a recabar el consentimiento para ese mero trámite.

Sin embargo, este interés legítimo de responsable no es el salvavidas al que agarrarse cuando no se disponga de otra base legitimadora para el tratamiento. Habrá que realizar un verdadero acto de ponderación entre los intereses perseguidos por el responsable y los de los afectados.

A modo de resumen, el consentimiento del afectado sería, por llamarlo de algún modo, la base legitimadora comodín: cuando no se pueda encuadrar el tratamiento en ninguna de las otras bases legitimadoras, se deberá proceder a la firma de dicho consentimiento.

Por todo ello, si realizas el tratamiento de datos y el mismo no se puede encuadrar dentro de alguna de las bases legitimadoras mencionadas, seguramente sea un tratamiento ilícito, aunque siempre puedes subsanarlo mediante la firma de un consentimiento expreso del afectado.