Consejos prácticos para el tratamiento de datasets mixtos

La Comisión Europea ha publicado una guía sobre cómo debe concebirse la interacción entre el RGPD y el Reglamento sobre la libre circulación de datos no personales.

 Un año después de que el RGPD comenzase a aplicarse, la mayoría de responsables de tratamiento son (o al menos deberían serlo) conscientes de las medidas de seguridad y requisitos de privacidad que deberían regular los datasets que contienen datos personales. Ahora bien, ¿qué ocurre cuando además de datos personales incluyen también información no personal?

El nuevo Reglamento (Reglamento 2018/1807 relativo a un marco para la libre circulación de datos no personales en la Unión Europea), aplicable desde mayo de este año, sienta las condiciones para el tratamiento y circulación de datos no personales dentro de la Unión Europea. El objetivo de esta nueva regulación es eliminar los obstáculos que pudiesen existir en este campo. En consecuencia, cuando se traten datasets mixtos, se deberá tener en cuenta no sólo el RGPD, sino también este nuevo Reglamento.

La Comisión Europea ha publicado una serie de orientacionesa fin de clarificar la interacción entre ambas normativas.

A los efectos del Reglamento para la libre circulación de datos no personales en la Unión Europea, datos no personales significa:

  • Datos que en origen no estaban relacionados con ninguna persona identificada o identificable, como datos climáticos recogidos por sensores.
  • Datos que inicialmente se vinculaba a una o varias personas pero que después fueron anonimizados.

Se define por tanto como justo el concepto contrario al de dato personal contenido en el RGPD.

Se pueden destacar tres aspectos principales del Reglamento para la libre circulación de datos no personales en la Unión Europea:

  • Se prohíbe, como norma, imponer requisitos sobre dónde deberían localizarse los datos.
  • Se establece un mecanismo de cooperación para asegurar que las autoridades competentes mantienen sus derechos de acceso a los datos que se procesan en otro Estado Miembro.
  • Ofrece incentivos la industria, con apoyo de la Comisión, para desarrollar códigos de conducta.

Los datasets que contienen nombres y contactos de personas jurídicas serán considerados en principio datos no personales, salvo para algunos casos, como, por ejemplo, la situación en que el nombre de la persona jurídica es el mismo que el de la persona física propietaria de la compañía, o bien cuando la información se puede vincular con una persona física identificada o identificable.

En caso de datasets compuestos tanto por información personal como por información no personal:

  • El Reglamento para la libre circulación de datos no personales en la Unión Europea se aplicará a la parte de datos no personales;
  • El RGPD se aplicará a los datos personales; and
  • Si los datos no personales y los datos personales están “inextricablemente Unidos”, los derechos y obligaciones que emanan del RGPD serán los que se apliquen a todo el dataset, incluso cuando la parte de datos personales es una parte muy reducida del mismo.

¿Qué significa inextricablemente unido?

La definición de este concepto no aparece en ninguno de los Reglamentos arriba mencionados. A efectos prácticos, se puede referir a la situación en la que un dataset contiene tanto datos personales como datos no personales y separarlos sería imposible o resultaría demasiado costoso para el responsable, o incluso económicamente ineficiente o técnicamente no factible. Por ejemplo, al adquirir un sistema de gestión de CRM y ventas y generación de informes, hacerlo por separado implicaría doble coste para la compañía pues tendrían que ser softwares diferentes. También regirá esta idea cuando la separación pueda conducir a una reducción significativa del valor del dataset, así como cuando los datos tengan una naturaleza cambiante que haga difícil una separación clara.

¿Cuál es la conclusión entonces?

Siempre que se trate de alguna forma con datos personales, el RGPD se aplicará. Sin embargo, el Reglamento para la libre circulación de datos no personales en la Unión Europea ofrece a los responsables una oportunidad de gestionar de manera diferente los datos personales y los datos no personales siempre y cuando estén debidamente separados.

Este nuevo Reglamento, junto al RGPD, hace del cuadro legal de la UE para la libre circulación de datos uno de los más estables que existen.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

¿Qué datos deberían incluirse en la respuesta a un ejercicio del derecho de acceso?

Una resolución reciente del Tribunal Regional de Colonia analiza si los interesados tienen derecho a recibir también los emails y notas personales como parte del derecho de acceso.

“Solicito acceso a todos los datos personales que tengas sobre mí”.  ¿Qué hacer si como responsables de tratamiento nos llega un requerimiento de este tipo? Conforme al RGPD, los interesados tienen derecho a recibir:

  • confirmación de que se están tratando sus datos personales;
  • una copia de sus datos personales; y
  • otra información complementaria, que en general corresponderá con lo recogido en la política de privacidad.

Ahora bien, ¿qué significa “datos personales” a estos efectos? Si bien el concepto es claro para algunas categorías de datos como aquellos de contacto, para algunas otras puede resultar confuso, principalmente cuando alcanza información que puede afectar a otras personas.

EL RGPD sostiene que “este derecho no debe afectar negativamente a los derechos y libertades de terceros, incluidos los secretos comerciales o la propiedad intelectual y, en particular, los derechos de propiedad intelectual que protegen programas informáticos”. Existe sin embargo cierto debate sobre qué datos se puede considerar que afectan a los derechos y libertades de terceros. En este sentido se ha pronunciado el Tribunal Regional de Colonia, que defiende que el derecho de acceso no incluye toda la información derivada de procesos internos, como las notas sobre los sujetos. Además, mantiene que el interesado tampoco tiene derecho a recibir toda la correspondencia y emails que ya obren en su posesión.  Las evaluaciones de rendimiento y los análisis no tendrán que ser de igual modo incluidos en la contestación al derecho. Conforme a esta conclusión, el responsable de tratamiento no estaría obligado a enviar al sujeto datos como clasificaciones, índices, comentarios y notas privadas.

En nuestra opinion la resolución del Tribunal Regional de Colonia asienta un criterio acertado que resuelve de manera adecuada el ejercicio del derecho de acceso a la vez que protege los intereses del responsable. Sin embargo, aunque esta decisión es plenamente aplicable en el territorio de la autoridad de control que la ha dictado, no lo es de manera general para otros países que estén sujetos al cumplimiento del RGPD, con lo que aún está por ver si esta norma se convertirá o no en un estándar.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

Aphaia celebra su primer taller de protección de datos en Madrid

El taller tuvo lugar en las oficinas de Aphaia, y estuvo orientado hacia la privacidad, ciberseguridad y protección de datos.

Con motivo del primer aniversario del RGPD, en Aphaia hemos organizado un taller para compartir nuestra experiencia con otras empresas que estén abordando los retos que presenta la protección de datos.

Aunque de manera oficial el RGPD comenzó a aplicarse en 2018, en Aphaia hemos estado colaborando con numerosas empresas desde 2016 para ayudarlas con la implementación del Reglamento y la adaptación del negocio al mismo. Nuestro día a día incluye trabajos con empresas de sectores muy diferentes como fintech, e-commerce o desarrollo de software, lo cual enriquece nuestro punto de vista y nos permite valorar diversas perspectivas a la hora de ofrecer consejo.

El taller tuvo lugar en las oficinas de Aphaia, en Cink Emprende, ubicado en Paseo de la Castellana, 194. En Aphaia abrimos la delegación española a principios de este año 2019 y estamos orgullosos de la buena acogida que estamos recibiendo. Asimismo, queremos expresar nuestra gratitud a Cink Emprende, que se preocupó de organizarlo todo y lo hizo posible.

El taller estuvo centrado en los aspectos de protección de datos que en este tiempo hemos identificado como los más problemáticos. Abarcamos, por supuesto, el RGPD, pero también otras normativas como la directiva ePrivacy o la directiva NIS, además de legislación nacional como la LSSI y el ENS. Tras dos horas de presentación, pudimos disfrutar de un desayuno de networking con todos los asistentes, donde tuvimos la oportunidad de tratar con más detalle algunos temas en los que estuviesen especialmente interesados y resolver cualquier duda.

Ya estamos trabajando en el próximo taller, que seguramente estará orientado a IA. ¿Suena bien? Si te interesa estate pendiente a las redes, donde publicaremos más información y saldrán las entradas.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.

Veto de Google hacia Huawei

Google bloquea el acceso de Huawei a Android argumentando carencias de seguridad y ataques a la privacidad en los dispositivos 

Google ha roto sus negocios con Huawei al haber incluido Trump a ésta última en una lista negra comercial, mediante orden ejecutiva. Las empresas estadounidenses no pueden entablar ninguna relación comercial con las compañías extranjeras incluidas en dicha lista.

Huawei es el segundo mayor fabricante del mundo de smartphones, y esta decisión tendrá un efecto directo en sus ventas, que potencialmente se verán reducidas al perder el acceso a las actualizaciones y soporte técnico por parte de Google.

El CEO de Huawei, Ren Zhengfei comunicó que «nos estábamos preparando para esto. Lo que se espera ahora es que Huawei crezca a un ritmo más lento, pero no de manera significativa”.

Debido a que los dispositivos Huawei no están disponibles para la venta en Estados Unidos, este veto no afectará a dicho mercado, pero sí se prevé un impacto relevante en Europa, que es uno de los mayores territorios donde el gigante tecnológico opera.

¿Qué implica esto para los usuarios actuales de Huawei?

Aún se podrá actualizar las aplicaciones y acceder a los servicios de Google Play, pero no así con las nuevas versiones que se lancen de Android, de modo que los dispositivos Huawei podrían quedarse rápidamente obsoletos. Además, las aplicaciones de YouTube y Maps no estarán disponibles en ningún dispositivo Huawei.

¿Por qué ha ocurrido?

El veto ha sido motivado por la Guerra fría que hay entre Estados Unidos y China. Estados Unidos considera que los dispositivos Huawei incluyen un chip espía que permite escuchar las conversaciones de sus usuarios y acceder a sus datos.

¿Cuándo se desplegarán los efectos del veto?

Aunque el veto es ya efectivo, Estados Unidos ha concedido un período de gracia de tres meses para la transición, de manera que el impacto no será inmediato.

Huawei ha defendido su inocencia respecto de un hipotético software o hardware espía. En caso de confirmarse, ya no sólo operaría el veto de Estados Unidos, sino que dicha práctica estaría completamente en contra del RGPD.

¿Necesitas ayuda con el RGPD o la LOPDGDD? Aphaia ofrece servicios tanto de consultoría para adaptación al RGPDtambién Evaluaciones de Impacto, como subcontratación delSubcontratación del Delegado de Protección de Datos.