¿Debe cumplir Santa Claus con el RGPD?

Desde el pasado 25 de mayo de este 2018 que toca a su fin aplicamos en toda la Unión Europea el RGPD. Las cosas cambiaron. Las reglas de juego cambiaron. Y quizá sea hora de analizar si uno de los tratamientos de datos a gran escala más intensos que ocurren en Navidad queda sometido al imperio del RGPD.

¿Aplica el RGPD a la actividad empresarial de Santa Claus?

Como es bien sabido, la factoría de Santa se encuentra en Rovaniemi (Finlandia). Su establecimiento principal, por tanto, se encuentra en territorio de la Unión. Recordemos además que Santa recopila y trata datos personales de todos los niños europeos (en realidad, de todos los del mundo).

Resulta de aplicación a los tratamientos de datos que efectúa en su actividad de forma indiscutible.

¿Cuáles son los aspectos más relevantes que debe tener en cuenta Santa Claus para cumplir con el RGPD?

• Santa debe elaborar un Registro de Activides de Tratamiento, una Política de Privacidad y un Análisis de Riegos, como cualquier Controller (Responsable de Tratamiento) que se precie.
• Los elfos ayudantes de Santa deben haber recibido la formación oportuna y haber firmado sus correspondientes NDA.
• Aunque recibe los datos directamente de los interesados, es obligatorio para Santa disponer de un consentimiento expreso de los padres, madres o tutores legales para permitirle el tratamiento de los datos de los menores (excepto que sean mayores de 13 años, en caso de España 14, o en el de otros países hasta 16, en cuyo caso podrían otorgarlo directamente). En caso de no tenerlo, Santa no podría procesar los datos, y mucho menos contactar con el niño para dejarle regalos.
• Santa debe ofrecer la información básica respecto del tratamiento antes de recoger información personal de los niños, y por supuesto, informarles  de los derechos que les asisten y del derecho a, en caso de que no resulten debidamente atendidos, poder interponer una reclamación ante la Autoridad de Control finlandesa (Office of the Data Protection Ombudsman).
• Dado el enorme volumen de datos que trata Santa, los elfos han contratado a una importante empresa de telefonía finlandesa el desarrollo de un software que les ayuda a filtrar, tratar y elaborar perfiles con los datos obtenidos de los niños de forma automatizada, agilizando la toma de las decisiones de Santa. Por lo tanto, debe informar de la existencia de decisiones individuales automatizadas a los padres de los niños, que tienen derecho a solicitar la intervención humana (quizá élfica en este caso) para su revisión, incluso a expresar su punto de vista e impugnación respecto de las mismas.
• El departamento de IT de Santa tiene tareas adicionales, tales como verificar la identidad de los niños, establecer protocolos para el ejercicio de los derechos de los niños, establecer las medidas de seguridad de la información oportunas (quizá sería recomendable afrontar la obtención de la ISO 27001).
• Entre los derechos que pueden ejercer los niños, Santa debe tener especial cuidado con dos de ellos:  el de supresión y el de portabilidad. Especialmente en España, donde cuenta con la competencia en su business del Olentzero o los Reyes Magos, los niños que dejen de creer en él tienen derecho a solicitar la supresión de sus datos, cosa que le llevaría a tener que destruir no sólo sus datos personales sino también el historial de regalos servidos en años anteriores. Y aunque sigan creyendo en él, tendrá que atender la petición de todo niño que desee que una copia de su carta sea transferida a nuevos Responsables (Olentzero, Melchor, Gaspar & Baltasar, etc) a través de un formato estructurado de uso común y lectura mecánica, para que éstos puedan atender sus peticiones de regalos.
• Santa tiene la obligación de nombrar un DPO. No está claro que cuente con elfos expertos en Derecho y protección de datos personales, por lo que lo más posible es que haya recurrido a un Delegado externo. Debe facilitar la información de contacto del DPO a los niños como parte del cumplimiento del principio de transparencia de la información.
• Y no olvidemos lo más importante: Santa efectúa un tratamiento a gran escala, en parte automatizado, que conlleva la recopilación y evaluación exhaustiva de información de todo tipo respecto de los niños, y utiliza esos datos para la elaboración de perfiles, produciendo el efecto de la decisión respecto de si un niño es naugthy or nice (bueno o malo), cuya consecuencia es la elección de la cantidad y/o calidad de los regalos que el niño recibirá. Por todo ello, requiere de la elaboración de una DPIA (Evaluación de Impacto).

¿Y si Santa incumple el Reglamento?

El incumplimiento por parte de este importante Controller europeo del RGPD supondrá para Santa un impacto reputacional incalculable. Lo que sí puede calcularse es la sanción a la que puede exponerse por parte de las autoridades de control europeas, que podría ascender a 20 MM € (imaginemos que en lugar de ser una organización sin ánimo de lucro, la de Santa fuera una empresa, y pudiera llegar al 4% de su facturación anual!!!!)

Pero no perdamos de vista el grave daño reputacional que comentábamos: si los otros grandes actores de la escena navideña (aka Reyes Magos) saben jugar bien sus cartas ante una deblacle tal, podrían extender su cuota de mercado significativamente por media Europa con relativa facilidad…

¿Y tú, has sido bueno o malo este año?

¡¡ Felices Fiestas a todos (y todas) !!

Basado en el post «Santa Claus is coming to town – GDPR Remix» (aunque sitúe a Santa fuera de la UE, le perdonamos el desliz ;))