El 25 de mayo de 2018 el Reglamento General de Protección de Datos (RGPD) se convirtió en el principal marco legal para la protección de datos en la UE. Según el RGPD, los ciudadanos de la UE deben dar su consentimiento para el procesamiento de sus datos personales, y los responsables del tratamiento de los datos deben cumplir estrictos requisitos para obtener ese consentimiento. De hecho, las condiciones para obtener el consentimiento se han redefinido fundamentalmente en comparación con la directiva de protección de datos anterior. Además, el RGPD requiere que los responsables del tratamiento de los datos tengan contratos establecidos con todos sus encargados del tratamiento de los datos (es decir, un servicio externo que procesa datos personales en nombre del responsable). En ambos casos, las firmas electrónicas son un medio apropiado para cumplir con el RGPD.

RGPD y firma electrónica

Títular:Obtenga el consentimiento y firme los contratos RGPD con firmas electrónicas
Fecha: 24/09/2018

El RGPD se aplica a cualquier empresa que ofrezca bienes o servicios a ciudadanos de la UE y que administre datos personales como responsable o encargado del tratamiento de datos, independientemente del tamaño, la ubicación o la industria de la empresa. Si se ve afectado por una violación de datos, las organizaciones que no cumplan con el RGPD se enfrentarán a multas de hasta 20 millones de euros o el 4% de los ingresos anuales, la cantidad que sea mayor.

Consentimiento RGPD

El RGPD define el consentimiento como «cualquier indicación gratuita, específica, informada e inequívoca de los deseos del interesado mediante la cual, por medio de una declaración o una acción afirmativa clara, significa que acepta el procesamiento de los datos personales relacionados con él o ella».

Como se menciona en la guía de consentimiento de la Agencia Española de Protección de Datos (AEDP), los responsables del tratamiento de los datos deberán revisar sus mecanismos de consentimiento para asegurarse de que cumplen con los requisitos del RGPD de ser específicos, independientes, claros, prominentes, habilitados, documentados y retirados fácilmente.

A continuación se presentan nueve puntos clave:

  • Desagregado: las solicitudes de consentimiento deben estar separadas de otros términos y condiciones. El consentimiento no debe ser una condición previa para registrarse en un servicio, a menos que sea necesario para ese servicio.
  • Opción de aceptación activa: las casillas de opción de casilla marcadas previamente no son válidas. Use casillas de opción no habilitadas o métodos de aceptación activa similares (por ejemplo, una opción binaria con la misma importancia).
  • Independientes: brinde opciones independientes para dar su consentimiento por separado a los diferentes tipos de procesamiento cuando corresponda.
  • Nombrado: nombre su organización y cualquier tercero que confíe en el consentimiento; incluso las categorías definidas de organizaciones de terceros no serán aceptables según el RGPD si no se nombra a la organización.
  • Documentado: mantenga registros para demostrar aquello a lo que ha dado su consentimiento un individuo, incluyendo lo que se le dijo, y cuándo y cómo lo aceptó.
  • Fácil de retirar: informe a las personas que tienen derecho a retirar su consentimiento en cualquier momento y cómo hacerlo. Debe ser tan fácil de retirar como de consentir. Esto significa que las organizaciones deberán contar con mecanismos de retirada de consentimiento simples y efectivos.

Estos requisitos establecen un alto estándar para el consentimiento del RGPD, pero a su vez ayudan a generar confianza, mejorar la marca y la reputación, y evitar las multas definidas por el RGPD.

Firmas electrónicas para el consentimiento

Cualquier organización que evalúe sus mecanismos de consentimiento para cumplir con el RGPD debe considerar el uso de firmas electrónicas, especialmente cuando maneje datos de alto riesgo, como información financiera personal o registros médicos. Las firmas electrónicas proporcionan una solución segura, auditable y fácil de usar para cumplir con los requisitos de consentimiento del RGPD. Esta tecnología es un método apropiado para que los responsables del tratamiento de los datos puedan:

  • Obtener el consentimiento.
  • Cumplir con el requisito de aceptación activa.
  • Demostrar los detalles de cómo se obtuvo el consentimiento, incluidos los consentidos, cuándo y por quién.

La tecnología de firma electrónica brinda la capacidad de capturar el consentimiento del cliente desde cualquier dispositivo. Al admitir diferentes métodos de firma, como hacer clic para firmar y hacer clic para iniciar, las firmas electrónicas hacen que la experiencia del usuario sea tan simple como hacer clic, tocar un cuadro de firma en un documento o escribir una firma a mano en un dispositivo con pantalla táctil.

Es importante reconocer que una firma electrónica es mucho más que un método digital para capturar una firma. Detrás de la pantalla se encuentra un servicio de firma electrónica que captura un rastro de auditoría completa con un registro de lo que el firmante consintió, incluyendo cuándo y cómo se firmó.

Según el RGPD, es importante poder demostrar el cumplimiento después del hecho. Si su organización no ha registrado todas las acciones relacionadas con el consentimiento y no mantiene registros confiables, corre el riesgo de no poder demostrar el cumplimiento. Busque una solución de firma electrónica que registre una traza auditable de lo que se firmó, así como el proceso exacto utilizado para capturar firmas. Esto ayudará a los equipos legales y de cumplimiento, ya que proporciona visibilidad directa sobre cuándo y cómo se llevó a cabo un proceso de firma.

En el caso de que se deba obtener el consentimiento en combinación con otros documentos, como los términos y condiciones, una solución de firma electrónica le permite separar la firma de los documentos y cumplir con el requisito de separación del RGPD. El servicio de firma electrónica también permite opciones independientes dentro de los documentos digitales, por lo que puede obtener el consentimiento por separado para diferentes tipos de procesamiento de datos personales. Y finalmente, cuando una organización cambia los responsables del tratamiento de los datos, una solución de firma electrónica facilita la solicitud de una renovación del consentimiento, si es necesario.

El contrato RGPD entre el responsable y los encargados del tratamiento de los datos

Cuando un responsable del tratamiento de datos utiliza un proveedor para el procesamiento de los datos personales, el RGPD requiere un contrato con términos específicos entre el responsable y el encargado del tratamiento de los datos. El objetivo de estos términos es garantizar que este encargado cumpla con el RGPD y que el responsable demuestre su conformidad con el RGPD.

La importancia del contrato y el contenido requerido de dicho contrato se describe en la Guía de la AEPD de la RGPD de la siguiente manera:

  • «Los contratos entre los responsables y los encargados garantizan que ambos entiendan sus obligaciones y responsabilidades. Los ayudan a cumplir con el RGPD y ayudan a los responsables del tratamiento de los datos a demostrar su conformidad con el RGPD. El uso de contratos por parte de responsables y encargados también puede aumentar la confianza de los interesados en el manejo de sus datos personales».
  • «Los contratos deben establecer el tema y la duración del procesamiento, la naturaleza y el propósito del procesamiento, el tipo de datos personales y las categorías del sujeto de datos, y las obligaciones y derechos del responsable del tratamiento de datos».

La tecnología de firma electrónica se usa ampliamente para firmar contratos con clientes y con partners en una variedad de industrias y debe considerarse para firmar contratos entre el responsable del tratamiento y los partners del encargado del tratamiento. Debido a que puede requerirse el consentimiento de múltiples partners, busque una solución de firma electrónica que ofrezca capacidades de envío masivo para automatizar el proceso de envío de formularios de consentimiento a un gran número de destinatarios.

Conclusión

Una de las piedras angulares de su cumplimiento del RGPD es contar con las medidas adecuadas para capturar, registrar y administrar el consentimiento del cliente. Las soluciones de firma electrónica como OneSpan Sign proporcionan un medio para cumplir con los requisitos de consentimiento y el requisito de contratos firmados con encargados del tratamiento de los datos. Como un subproducto de su cumplimiento RGPD, también puede ayudar a avanzar en otros proyectos de firma electrónica en la cartera de proyectos de su organización. Por lo tanto, asegúrese de elegir la mejor solución de su clase que pueda escalar con sus crecientes necesidades de firma electrónica, hoy y mañana.

Artículo extraído de Security Boulevard..