RGPD para traductores

RGPD imagenUna vez más, mi colega holandés Pieter Beens me abre la oportunidad de una colaboración. Esta vez se trata de algo técnico y jurídico como es la protección de datos a nivel europeo (y mundial, no te creas que estás afuera). Hay varios artículos publicados en blogs sobre esta temática; aquí va algo un poco más enfocado a traductores y agencias de traducción.

Dentro de muy pocos días, muchas empresas en todo el mundo estarán listas para el momento en que el Reglamento General de Protección de Datos (RGPD) entre en vigor. Tanto las agencias de traducción como los traductores autónomos deberán estar listos para implementar también las normas del RGPD pero, especialmente entre los traductores autónomos, es sorprendente la falta de interés o conocimiento de este asunto tan complicado. ¿Qué es realmente el RGPD y qué deberán estar dispuestos a hacer los traductores?

1. ¿Qué es el Reglamento General de Protección de Datos?

El Reglamento General de Protección de Datos (abreviatura RGPD) es un reglamento marco europeo concebido para armonizar las leyes de privacidad de datos de Europa. La preparación del RGPD insumió cuatro años y el reglamento fue finalmente aprobado por el Parlamento Europeo el 14 de abril de 2016. Después vino un silencio sorprendente en toda Europa. Pero, con la fecha de entrada en vigor fijada para el 25 de mayo de 2018, en los últimos meses las empresas estuvieron trabajando cada vez más para asegurarse el cumplimiento con lo que supone el reglamento.

El RGPD reemplaza a la Directiva de Protección de Datos 95/46/CE. Fue concebido para proteger y empoderar la privacidad de datos de todos los ciudadanos europeos y para reformular la manera en que las organizaciones enfocan la privacidad de datos.

Mientras que el término RGPD se usa en todo el mundo, muchas empresas utilizan su propia denominación.

La Agencia Española de Protección de Datos tiene su propia página sobre el RGPD. También se puede encontrar más información sobre el RGPD en el portal especial creado por la Unión Europea.

2. ¿A quién se le aplica el RGPD? 

El RGPD se aplica al tratamiento de datos personales por parte de responsables y encargados en la UE. No importa si el tratamiento tiene lugar dentro de la UE o no. No obstante, es más amplia, puesto que se aplica también al tratamiento de datos personales de interesados en la UE por parte de un responsable o encargado que no esté establecido en la UE cuando se ofrezcan bienes o servicios a ciudadanos de la UE (sin importar si son de pago o no). Por último, el RGPD se aplica al control de la conducta que tenga lugar dentro de la UE. Si una empresa por fuera de la UE trata datos de ciudadanos de la UE, se requiere que nombre un representante en la UE.

Así, el RGPD se le aplica a toda instancia en la que

  • se traten datos de ciudadanos de la UE (ya sea que se traten los datos dentro de la UE o no),
  • se controlen conductas que tengan lugar dentro de la UE.

De hecho, significa que estos principios se les aplican a las empresas dentro y fuera de la UE que ofrezcan o vendan bienes o servicios a ciudadanos de la UE (de pago o no).

3. ¿Responsables, encargados del tratamiento, interesados?

Sí, es confuso, pero vamos a decirlo en breve:

  • «Responsables del tratamiento» o «responsables» son quienes controlan los datos.
  • «Encargados del tratamiento» o «encargados» son terceros que tratan los datos para los responsables.
  • «Interesados» son las personas cuyos datos son controlados y tratados por… ya se sabe quién.

Un responsable es la entidad que determina los propósitos, condiciones y medios de tratamiento de los datos personales. El encargado trata los datos personales por cuenta del responsable.

4. Esto suena horrible para una empresa. ¿Lo puedo omitir?

No es sencillo. Bueno, sí, se puede, mudándote fuera de la UE, abandonando a todos tus clientes europeos o clientes con trabajos de traducción sobre clientes europeos, y enfocándote solo en lo que no tenga nada que ver con la UE. Pero no te apures; haciendo las cosas con cuidado, te va a ser mucho más fácil para el futuro, aunque por ahora te va a dar algunas (o muchas) molestias.

5. ¿Qué pasa si no lo tomo en serio?

Está claro que la Unión Europea ya pensó en eso antes que nosotros, por eso incluyeron una cláusula cuantiosa: si se infringe el RGPD pueden imponer una multa de hasta un 4% de la facturación anual o de € 20 millones (la cantidad que sea mayor). Esta es la mayor sanción que pueden imponer por las violaciones más graves, como por ejemplo un consentimiento insuficiente por parte del cliente para el tratamiento de datos o la violación de los conceptos de privacidad por diseño.

Hay un enfoque escalonado de las multas. Por ejemplo, una empresa puede recibir una multa de un 2% si no tiene sus registros en orden (artículo 28), si no le notifica a la autoridad de control y al interesado sobre una infracción, o si no realiza una evaluación de impacto.

6. Entonces, ¿tengo que adherir al RGPD, eso se cae de maduro?

Sí, obvio. Pero no quiere decir que sea pan comido. Hasta ahora era fácil impresionar a todos usando contratos de letra chica, largos, ilegibles. Pero ahora, el RGPD le pone punto final a todo eso. Las empresas ya no pueden usar palabrerío largo e inentendible ni condiciones escritas en jerga legal entreverada. Deberán pedir el consentimiento para tratar datos, y la solicitud de consentimiento la tienen que hacer llegar de una forma accesible y que se entienda. El consentimiento tiene que ser claro y diferenciable de otros asuntos, hay que darlo de una forma inteligible y de acceso fácil, usando un lenguaje claro y simple. Además, todos los interesados tienen que tener la posibilidad de retirar su consentimiento con la misma facilidad con que lo hayan dado.

7. Entonces, ¿tengo que involucrar a todas las personas cuyos datos trate?

Sí. Es necesario pedirles su consentimiento, pero además necesitarás darles acceso a los datos que tengas de ellos. Los ciudadanos de la UE cuyos datos recopiles o trates tienen algunos derechos:

  • Derecho de acceso
    Las personas tienen el derecho de pedir tu confirmación acerca de si estás tratando o no datos personales que les conciernan. También pueden preguntar en dónde se están tratando dichos datos y con qué propósito. Si alguien hace uso de su derecho de acceso, tenés que darle una copia de los datos personales en un formato electrónico. Y eso, además, debe ser sin cargo.
  • Derecho al olvido
    El derecho al olvido les da el derecho a las personas cuyos datos recopiles a pedirte que borres sus datos personales, a cesar cualquier difusión posterior de sus datos, y a detener a terceros que traten los datos. No obstante, existen algunas condiciones: el artículo 17 establece que los datos ya no deberán de ser relevantes para los fines originales para los que fueron tratados, o el interesado retira su consentimiento.
  • Portabilidad de los datos
    El RGPD introduce el concepto de portabilidad de datos. Este les concede a las personas el derecho a recibir los datos personales sobre sí mismos que hayan proporcionado previamente «en un formato de uso común y lectura mecánica». Los ciudadanos de la UE podrán transmitir esos datos a otro responsable de tratamiento.

8. ¿Qué son esos datos personales de los que se habla?

El RGPD gira alrededor del concepto de «datos personales». Estos son cualquier información relacionada con una persona natural que se pueda utilizar para identificar a esa persona de manera directa o indirecta. Podrás pensar en el nombre de una persona, su foto, dirección de correo electrónico, datos bancarios, entradas en redes sociales, información médica, o una dirección IP.

9. ¿Cómo afecta esto mi negocio de traducción?

En tu calidad de traductor autónomo o agencia de traducción, básicamente tu rol es el de un encargado de tratamiento. (Y si fueras un ciudadano de la UE, también serías un interesado, pero por ahora mantengamos esto por fuera del alcance de esta exposición.)

El impacto real del RGPD en tu negocio de traducción varía enormemente. Si tu trabajo es como traductor técnico o literario, existen chances de que no proceses los datos personales de los llamados «interesados». En ese caso, el cumplimiento de la normativa no debería de ser una carga pesada, no obstante lo cual te deberás asegurar de tener todo en regla.

No obstante, si lo tuyo es, por ejemplo, la traducción médica de historias clínicas, o si en tu calidad de traductor jurado circulan en tu poder certificados y otro material de carácter personal, entonces tendrás más trabajo para hacer.

10. Fantástico, está perfectamente claro. ¿Cómo se procede?

El mejor enfoque para asegurar el cumplimiento del RGPD es seguir una lista de verificación. Tras realizar algunas investigaciones se encuentran muchas en Internet. Se puede escoger, por ejemplo, esta guía en 5 pasos. No obstante, si eso te parece demasiado fácil, está este documento de 10 páginas con lenguaje complejo para demostrar tus habilidades en materia de RGPD.

A continuación encontrarás una breve síntesis:

  1. Tomar conocimiento de tus datos
  2. Comprender qué tipos de datos personales se poseen y ver de dónde proceden los datos, cómo se recopilaron y cómo se planea utilizarlos.
  3. Solicitar consentimiento explícito para recopilar datos
  4. Las personas necesitan otorgar un consentimiento libre, específico, informado e inequívoco. Si alguien no responde, no opta por incluirse o está en inactividad, no se podrá considerar que haya dado su consentimiento. Esto también significa que se deberá reconsiderar las maneras de solicitar consentimiento: existen altas chances de que los métodos actuales para obtener consentimiento no cumplan con el RGPD.
  5. Comunicar cómo y por qué se recopilan datos
  6. Decirles a los clientes cómo se recopilan sus datos, por qué se hace y cuánto tiempo se planea retener los datos. No olvidar de incluir cuáles datos personales se recopilan, cómo se hace, con qué propósito se tratan, qué derechos tiene la persona en cuestión, de qué manera te pueden hacer llegar sus quejas al respecto y qué proceso se utiliza para enviar sus datos a terceros.
  7. NOTA: Esto requiere una consideración integral si se utiliza la nube (por ejemplo, Dropbox o Google Drive) para compartir traducciones con clientes o si se utilizan herramientas TAO en la nube para traducir.
  8. Mostrar la conformidad con el RGPD
  9. El RGPD requiere que se muestre su cumplimiento. Hay que identificar el fundamento legal para el tratamiento de los datos, documentar los procedimientos y actualizar la política de privacidad.
  10. NOTA: Si se subcontratan trabajos de traducción a otros traductores, se debe firmar con ellos un acuerdo de procesamiento de datos (APD, o DPA por su sigla en inglés).
  11. Asegurar un sistema para eliminar datos personales
  12. Imaginemos qué sucede si alguien hace uso de su derecho de acceso o de su derecho al olvido. Si no se tienen sus datos fácilmente a mano, se pierde tiempo buscándolos y se arriesga incurrir en incumplimiento. Entonces, hay que asegurarse de tener un sistema eficiente para satisfacer los derechos de todas esas personas cuyos datos se estén tratando.

Entonces, el RGPD no es ningún chiste

Definitivamente no es gracioso para nadie de nosotros, pero necesitamos ser cumplidores. Cumplir o no cumplir, esa es la cuestión. La manera más sencilla de hacerlo es con el impacto de evaluación de privacidad requerido, para así saber qué datos se recopilan o tratan y cuáles son los cuellos de botella y vínculos débiles. Siguiendo una guía sencilla se podrán determinar los controles necesarios. La omisión no es opción. Pero sí lo es asegurar que los interesados opten por incluirse.

Buena suerte. Una vez que estés listo, te olvidarás de la molestia que te causó la implementación…


Original de Pieter Beens, se puede leer en su blog y también en The Open Mic.

Traducción al castellano por Fabio Descalzi.

Anuncios

3 comentarios sobre “RGPD para traductores

¿Qué te parece?

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.