En los últimos años, la expresión “derecho al olvido” se ha popularizado por las implicaciones que tiene para la privacidad de los usuarios. Coloquialmente, se utiliza para describir la capacidad de los ciudadanos de exigir que su información personal desaparezca de lugares clave en la red, como pueden ser motores de búsqueda como Google.
El término viene a sustituir al más técnico “derecho de supresión”, recogido en la Ley de Protección de Datos. En cualquier caso, el territorio de acción de este derecho implica una multitud de procesos que implican directamente a las empresas y su gestión de datos: desde procesos de desarrollo de software hasta la necesidad de anonimizar datos en sus bases de datos.
Para las empresas, el cumplimiento del derecho al olvido (que emplearemos a lo largo de este artículo como sinónimo de “derecho de supresión”) no es una opción, sino un imperativo que, además, queda sometido a auditorías y un régimen de sanciones.
¿Cómo pueden asegurarse los negocios de cumplir con el derecho al olvido y qué herramientas están a su disposición para garantizar y facilitar esta garantía? Te lo contamos en esta breve guía.
El derecho al olvido, tal y como está recogido en la Ley de Protección de Datos, supone el derecho a “eliminar, ocultar y cancelar aquellas informaciones o hechos pasados de la vida de las personas”.
En otras palabras, permite a los ciudadanos actuar en dos frentes para garantizar su privacidad: por un lado, exigir que desaparezcan sus datos personales de cualquier registro de datos o almacén de datos (concepto que incluye también cualquier documentación en papel en manos de la compañía); por otro lado, requerir que el rastro de sus datos personales no aparezca en la web.
Este derecho y la legislación que lo ampara están a su vez vinculados con el RGPD (Reglamento General de Protección de Datos) o GDPR (General Data Protection Regulation).
Según la ley de Protección de Datos, el derecho al olvido queda amparado cuando:
a) Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;
c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;
d) los datos personales hayan sido tratados ilícitamente;
e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.
La entrada en vigor del RGPD (Reglamento General de Protección de Datos), en mayo de 2018, supuso la puesta en marcha de una serie de obligaciones para las empresas con respecto al tratamiento de datos. Este reglamento fue particularmente importante porque supuso el establecimiento de una norma marco a nivel europeo que puso el foco de forma significativa en la privacidad de los datos. Así, se recogieron muchas de las obligaciones que ya existían, pero también se produjo un importante ejercicio de reformulación e incorporación de nuevas normas.
Así, desde su entrada en vigor, la ley genera la obligación para las empresas de cumplir con el derecho de supresión en cualquier contexto, desde las bases de datos más sencillas hasta contextos de mayor complejidad en cuanto al tratamiento de datos, como puede ser en entornos de datos de producción y desarrollo de software.
A continuación delineamos algunas de las obligaciones que las empresas deben cumplir de forma proactiva:
Los afectados tienen derecho a solicitar el acceso a los datos de los que dispongan las empresas. Aparece entonces la obligación de poner a su disposición toda la información de que se disponga, tomando las medidas de seguridad necesarias y en el plazo máximo de un mes (salvo excepciones)
En el caso de producirse un robo de los datos de los clientes, la empresa está obligada a comunicarlo en un plazo de 72 horas a la autoridad de control adecuada.
Hay que recordar que, con carácter previo a ejercitar el derecho de supresión, el afectado tiene la opción de solicitar el acceso a los datos que sobre él se estén tratando, en cuyo caso la empresa:
En el marco de la Ley de Protección de Datos, las empresas deben asegurarse de poner en marcha procesos de anonimización para garantizar la privacidad de los datos.
Este proceso supone la transformación de conjuntos de datos personales en información anónima. El resultado es un nuevo conjunto de datos que evita la posibilidad de identificación de las personas físicas a quienes los datos pertenecen.
La Ley de Protección de Datos establece que las empresas solo tienen permitido conservar los datos por un periodo de tiempo acotado. Así, finalizados los supuestos que les permiten almacenar estos datos, el acceso a ellos debe quedar bloqueado. Este proceso es lo que se conoce como ciclo de vida de los datos
Desde el texto elaborado por las autoridades europeas se establece que las multas por incumplimiento pueden alcanzar el 4% de la facturación anual de la empresa o a los 20 millones de euros (lo que sea mayor).
Un vistazo a algunas estadísticas sobre las sanciones recogidas hasta ahora revela que estas multas no son, ni mucho menos, ocasionales:
Cumplir con las obligaciones respecto al derecho al olvido supone la vigilancia a una multitud de procesos en las empresas que pueden alcanzar altas cotas de complejidad.
En este sentido, han nacido una serie de herramientas de software que facilitan el procesamiento de todas las supresiones requeridas.
Por un lado, icaria GDPR supone una herramienta de software especializada en cumplimiento del derecho al olvido como GDPR que facilita diversos procesos, como la selección de los datos personales a suprimir y su bloqueo u otras actuaciones necesarias (verificación, restitución, disociación o borrado físico).
Por otro lado, icaria TDM está orientada al cumplimiento del GDPR en entornos pre-productivos, como entornos de prueba, facilitando procesos como la gestión del periodo de bloqueo, la supresión, la coordinación del ciclo de vida de cada semilla y otras acciones (extracción, almacenamiento, disociación, restauración y eliminación de los datos), todo ello de manera automática y planificada.
¿Quieres saber más sobre las implicaciones del derecho al olvido para las empresas y cómo asegurarte de que tu negocio cumple con la legalidad de la forma más eficiente posible? En icaria Technology podemos ayudarte. Ponte en contacto con nosotros y habla con nuestro equipo.