Cómo afecta el RGPD a mi empresa. ¿Necesito hacer algo?

Mayo 2018

¿RGPD? ¿Qué es lo que significa?

El Reglamento General de Protección de Datos (RGPD) es la nueva ley que va a entrar en vigor este mes de mayo y que será la encargada de modificar la actual protección de la información en Internet. Esta nueva normativa dará mucha más protección a los usuarios y obliga a las empresas a tener un mayor control sobre los datos personales que almacena.

¿Qué se entiende por datos personales?

Antes de nada lo importante es saber qué entendemos por datos personales. Según la Agencia Española de Protección de Datos consideramos datos personales:

«Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables».

Como se  puede entender de la definición, en el momento que recojas cualquier tipo de dato acerca de las personas que visitan tu web (registro, formulario de contacto, newsletter…), ya has de adaptarte a la nueva normativa y estar así al día con los requisitos que exige la ley.

¿Para qué sirve el RGPD?

Esta nueva norma sirve para actualizar la ya antigua LOPD y se basa en dos premisas principales:

– Dotar de mayor control sobre sus datos a los usuarios.

– Las empresas tendrán que tener un papel más proactivo en la protección de datos.

Con el RGPD ya no vale el consentimiento tácito por parte de los usuarios sobre el tratamiento de sus datos. Ahora las empresas deberán recibir un consentimiento explícito, tras haber explicado a los usuarios, por ejemplo, cuál es el periodo de retención de los datos, dónde y cómo han de realizar las reclamaciones si no están de acuerdo. Además, el consentimiento ha de ser verificable, con el fin de demostrar que se han aceptado las condiciones de tratamiento de la información.

Derechos básicos del RGPD

Cuando entre en vigor, esta ley el usuario pasará a disponer de los siguientes derechos:

Procedimientos para el ejercicio

 

A partir de ahora los responsables de manejar los datos tienen que dar facilidades a los usuarios sobre cómo han de poder ejercer sus derechos, de una manera visible y sencilla, en un lenguaje que cualquiera pueda entender.

Derecho de acceso

 

En la antigua LOPD, los responsables del tratamiento de la información tenían que facilitar los datos, pero no estaban obligados a proporcionar copias o documentos de los mismos, salvo en el caso que se trataran de historial clínico. Esto ha cambiado con el Reglamento General de Protección de Datos y ahora los usuarios podrán exigir una copia de sus datos personales.

Derecho al olvido

 

Este derecho es algo que ha sido reclamado cada vez más por la ciudadanía y que muchas veces, a la hora de pedirlo, se han encontrado en un limbo legal del que se han aprovechado compañías, como Google o Facebook, para no dar su brazo a torcer en este sentido.

Con la aplicación del RGPD se establece una base legal mucho más firme para que todo aquel que esté interesado pueda ejercer su derecho al borrado de datos publicados en la red, siempre que se cumplan una serie de requisitos para el derecho al olvido, como se recogen en la web de la AEPD.

Limitación de tratamiento

 

Esto significa que no se podrán hacer uso de los datos cuando el interesado solicite:

– La rectificación u oposición de sus datos.

– Reclamación por uso ilícito.

– Que los datos ya no sean necesarios para el fin que se destinaron.

Ante estos casos, la empresa no pueda hacer uso de ellos mientras dure esta situación, salvo:

– Para ejercer su defensa.

– Proteger derechos de otra persona física o jurídica.

– Por razones de interés público importante de la Unión o un Estado miembro.

– Consentimiento explícito del interesado.

Portabilidad

 

El derecho a portabilidad significa que cuando el interesado proporciona sus datos y estos son tratados de manera automatizada, puede solicitar que dicha información sea enviada a un tercero. Para ello no hace falta que pasen por el interesado necesariamente, siempre y cuando la acción sea técnicamente posible.

¿Estoy obligado a cumplir la nueva normativa?

El cumplimiento del Reglamento General de Protección de datos es obligatorio para cualquier empresa, entidad o autoridad pública. Por lo tanto sí, estás obligado a cumplirlo e implementarlo en tu empresa. El cambio con respecto a la normativa que ha estado en vigor es que la responsabilidad por parte de la empresa pasa de ser reactiva a proactiva. Las entidades pasan a ser una parte activa en la vigilancia y cumplimiento de la legislación y a necesitar consentimiento expreso en función de los distintas acciones que se quieran realizar con la información de los interesados. Así mismo entra en juego la figura del DPO (Data Protection Officer en inglés).

¿Qué tareas realiza un DPO?

El DPO es la figura que se ha creado para que ejerza como garante de que la normativa se lleva a cabo. Esta figura no es sustitutiva de las autoridades de control correspondientes, sino que viene a ayudar en la aplicación de la ley. Para poder realizar esta función lo que se requiere es que se tengan conocimientos jurídicos y de protección de datos. Cabe destacar que para realizar estas tareas:

– No es necesario que deba de ser un jurista el que las lleve a cabo.

– Puede ser una persona interna o externa con respecto a la empresa.

¿Cuándo entra en vigor?

Esta legislación se aprobó en mayo de 2016, pero no es hasta el 25 de mayo de 2018 cuando pasará a ser aplicable. Como ves, la fecha es inminente y por eso todo el mundo está trabajando a marchas forzadas para ponerse al día. El hecho de que, durante las últimas semanas, te estén llegando múltiples correos pidiéndote actualizar tu consentimiento en cada sitio que tiene datos tuyos no es cuestión de la divina providencia, sino de tener todo a punto para poder cumplir con las exigencias que marca el RGPD.

¿Y si no cumplo la normativa?

Desde R* es algo que no te recomendamos en absoluto. Las sanciones pueden llegar hasta los 20 millones de Euros o el 4% de volumen global del negocio. Como puedes leer no es poca broma. Lo mejor que puedes hacer  es ponerte al día sobre cómo tratar los datos de tus usuarios. Así, ese dinero en sanciones lo podrás destinar a mejorar tu negocio, por ejemplo. Estamos seguros de que le sacarás más provecho. 😉