Covid-19 ha creado retos sin precedentes para las organizaciones de todo el mundo. En un corto espacio de tiempo, las organizaciones han tenido que establecer rápidamente operaciones remotas, reaccionar rápidamente a los nuevos riesgos, adaptar los procesos, todo ello manteniendo el cumplimiento del GDPR.
Como resultado de la pandemia, las organizaciones están recogiendo y procesando nuevos tipos de información sobre las personas. Gran parte de esta información entra en las categorías de "datos personales" y "categorías especiales de datos personales", ambas sujetas a estrictos requisitos de cumplimiento en virtud del RGPD.
La rápida transición al trabajo a distancia también ha puesto de manifiesto la importancia de la protección de datos, ya que los ciberdelincuentes tratan de aprovechar la pandemia y utilizarla como medio para lanzar ataques dirigidos. No dejan de surgir nuevos riesgos de ciberseguridad, por lo que es crucial que las organizaciones apliquen las medidas correctas necesarias para mantener la más estricta seguridad de los datos que exige el RGPD.
LaOficina del Comisionado de Información del Reino Unido (ICO) ha dicho que entiende las dificultades a las que se enfrentan actualmente las organizaciones y que adoptará un enfoque "razonable y pragmático" para hacer cumplir las obligaciones de protección de datos. Sin embargo, ha dejado claro que se espera que las organizaciones mantengan un buen nivel de cumplimiento del RGPD mientras se adaptan a este nuevo entorno de trabajo.
Para asegurarse de que su organización sigue cumpliendo con el RGPD durante Covid-19, hemos descrito una serie de medidas que puede tomar.
Principales consejos para lograr el cumplimiento del GDPR durante Covid-19
1. Llevar a cabo una evaluación del impacto de la protección de datos (DPIA)
Para cumplir con el RGPD, debe poder demostrar que lleva a cabo requisitos de registro adicionales cuando trata datos sensibles. Como la información sanitaria está clasificada como "categoría especial de datos personales", conlleva un mayor riesgo. Una forma de demostrar la responsabilidad y garantizar que se aplican las medidas adecuadas para proteger estos datos es mediante una evaluación del impacto de la protección de datos. Las EIPD ayudan a identificar y minimizar los riesgos relacionados con el tratamiento de datos personales.
La EIPD debe establecer:
- La actividad que se está procesando
- Los riesgos de la protección de datos
- Si la actividad es necesaria y proporcionada
- Cómo se mitigará el riesgo
- Confirmación de que la mitigación ha sido efectiva
La DPIA será crucial para demostrar el cumplimiento y reducir los riesgos relacionados con la protección de datos para su organización.
2. Recoger y procesar sólo lo necesario
Según el RGPD, las organizaciones deben tener una razón específica y legítima para recoger y procesar información personal. Los datos solo pueden utilizarse para fines específicos y no deben procesarse para ningún otro uso, a menos que el interesado haya dado su consentimiento explícito. Todos los datos recogidos deben limitarse a lo que sea necesario para lograr esos fines específicos.
Esto significa que su organización debe evaluar e identificar los tipos de datos personales que es necesario procesar para mantener la seguridad del personal. Por ejemplo, ¿es necesario realizar controles de temperatura cuando los empleados entran en la oficina? ¿Hay que notificar a los contactos de un empleado que da positivo en el test de Covid-19? Su organización no puede limitarse a recopilar datos personales por la posibilidad de que puedan ser útiles en el futuro, sino que debe haber objetivos claros de por qué se procesan estos datos. Si puede demostrar que su enfoque es razonable, justo y proporcionado a las circunstancias, es poco probable que sea ilegal.
3. Sea transparente
Al procesar datos personales, debe ser abierto y honesto sobre lo que hace con ellos. Por ejemplo, si su organización necesita realizar pruebas para los empleados o tiene que recoger datos para la localización de contactos, debe ser transparente y poner a disposición de estas personas cierta información. Los empleados tienen derecho a saber por qué necesita esos datos, qué pretende hacer con ellos y con quién los va a compartir.
Lo mejor es tener esta información por escrito en un documento conocido como aviso de privacidad. Un aviso de privacidad es uno de los documentos clave que tendrá que producir si procesa datos personales, para cumplir con el GDPR. Básicamente, explica cómo recopila, procesa y utiliza los datos de las personas. Es posible que su aviso de privacidad existente ya describa qué información puede recopilarse y procesarse durante una crisis sanitaria, pero es posible que deba actualizarse para reflejar cualquier nueva actividad de procesamiento de datos que se lleve a cabo durante la actual pandemia de Covid-19.
4. Mantener la información segura
Todos los datos personales que tenga deben conservarse de forma segura y sólo durante el tiempo necesario. Una política de retención ayudará a determinar cuándo hay que revisar, borrar o eliminar la información personal. Los registros físicos deben guardarse bajo llave para evitar las filtraciones de datos, y deben adoptarse las medidas de seguridad adecuadas para proteger los datos personales almacenados digitalmente.
A pesar de la rápida transición al trabajo a distancia, el ICO ha declarado que las organizaciones deberían adoptar el mismo tipo de medidas de seguridad que utilizarían en circunstancias normales. Para evitar cualquier filtración de datos personales y reducir la posibilidad de un costoso ciberataque, es importante mantener la seguridad de los sistemas y el software, y permanecer atentos a las amenazas cibernéticas relacionadas con el Coronavirus. Los empleados también tendrán que ser educados sobre las amenazas en evolución y formados en el uso de las nuevas herramientas y procesos de seguridad que permitirán un trabajo remoto seguro.
Además, las organizaciones siguen estando legalmente obligadas a revelar cualquier violación de los datos personales a la autoridad de control pertinente en un plazo de 72 horas desde su detección.
5. Respetar los derechos del interesado
A pesar de operar en circunstancias excepcionales, es crucial que su organización informe a los individuos sobre sus derechos en relación con sus datos personales. El RGPD otorga los siguientes derechos a las personas:
- Derecho a ser informado - Las personas tienen derecho a ser informadas sobre la recogida y uso de sus datos personales.
- El derecho de acceso - Las personas tienen derecho a acceder a sus datos personales y a cualquier información complementaria. Pueden solicitar una copia de toda la información que se tenga sobre ellos y se les debe proporcionar gratuitamente y en el plazo de un mes desde la presentación de la solicitud.
- El derecho de rectificación - Las personas pueden solicitar que se rectifiquen los datos personales inexactos.
- Derecho desupresión - Las personas pueden solicitar la supresión de sus datos personales. El derecho de supresión también se conoce como derecho al olvido.
- Derecho a restringir el tratamiento: en determinadas circunstancias, las personas pueden solicitar que se restrinja el tratamiento de sus datos. Cuando se restringe el tratamiento, se tiene permiso para almacenar sus datos personales pero no utilizarlos.
- El derecho a la portabilidad de los datos - Las personas pueden obtener y reutilizar sus datos personales para sus propios fines en otros servicios.
- Derecho de oposición - A menos que existan razones legítimas para el tratamiento de los datos personales de una persona, ésta conserva el derecho a oponerse al tratamiento.
- Derechos en relación con la toma de decisiones automatizadas y la elaboración de perfiles: el RGPD contiene disposiciones sobre la toma de decisiones individuales automatizadas. Esto reduce el riesgo de que se tomen decisiones adversas sin intervención humana.
Si su organización ha implementado la comprobación o prueba de síntomas, existen requisitos adicionales que deberá seguir. Estos incluyen la identificación de una base legal para el uso de la información que se recoge y la realización de una DPIA si los datos de salud se procesan a gran escala.