¿Está tu sitio web preparado para asumir el nuevo Reglamento General de Protección de Datos?

El Reglamento General de Protección de Datos (RGPD) entró en vigor el 25 de mayo de 2016, pero se aplica desde el 25 de mayo de 2018. Se ha dejado un periodo de dos años para que empresas y organizaciones hayan tenido tiempo de ir preparándose y adaptándose.

El Reglamento es aplicable a los 28 países de la Unión Europea e impone nuevas reglas para el control y procesamiento de la información de identificación personal.

La Agencia Española de Protección de Datos (AEPD), organismo que velará en España por su cumplimiento, advierte que la norma se aplicará inmediatamente, sin aplazamientos ni prórrogas.

Objetivo del Reglamento General de Protección de Datos

La nueva legislación de protección de datos tiene como objetivo promover la responsabilidad frente a la información de carácter personal que manejan los profesionales y empresas.

Los últimos años años, el tema de la protección de datos en el entorno digital ha estado un tanto descontrolado al no contar con un marco legal que contemplara específicamente este tema. Ha habido empresas que, entre otras cosas, compraban y vendían leads o compartían y utilizaban datos personales sin contar con el permiso de los usuarios.

Este reglamento va a cambiar de manera radical la forma en que se recopilan, almacenan y utilizan los datos de los clientes. Con esta nueva ley el foco legal se desplaza al usuario, a quien se le confiere muchísimo más control y poder sobre su propia información personal.

Quién está obligado a cumplir con este reglamento

El RGPD se aplica a todas las organizaciones que poseen y procesan datos personales de residentes de la UE, independientemente de su ubicación geográfica.

Este reglamento afecta a empresas, autónomos, profesionales, entes públicos y cualquiera que por su actividad realice tratamientos de datos, ya sean estos por su cuenta propia o a través de terceros.

Las empresas y entidades deben adoptar medidas que garanticen de manera suficiente que están en condiciones de cumplir con las reglas, derechos y garantías que el Reglamento establece.

Aplicación del RGPD en España

En España, hasta el momento el tema de la protección de datos está regulado por la Ley Orgánica de Protección de Datos (LOPD). Se trata de una ley del año 1999, por lo que no contempla el panorama digital actual.

El RGPD es una norma directamente aplicable, que no requiere de normas internas de transposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación. Por ello, los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales.

En nuestro país, el pasado 10 de noviembre, el Gobierno aprobó el proyecto de la nueva Ley Orgánica de Protección de Datos (LOPD), que fue remitido al Congreso de los Diputados. La finalidad de esta norma es tanto «la depuración del ordenamiento nacional» de la normativa interna que se oponga al reglamento como su desarrollo o complemento para hacer plenamente efectiva su aplicación. Las probabilidades de que sea aprobado a tiempo de entrar en vigor el 25 de mayo parecen complicarse. Hasta su aprobación, prevista para el segundo semestre de 2018, se mantendrá la vigencia de la LOPD de 1999 en aquello que no se oponga al reglamento.

Revisa tus textos legales

  Quizá te interese leer el post que publicamos hace un tiempo: Adapta tu página web a la normativa legal.

Entre los temas que se recogen en el nuevo reglamento, uno de los que más pueden afectar a tu sitio web es el de los nuevos requerimientos informativos. Tendrás que revisar tu aviso legal, tu política de privacidad y la política de cookies, así como añadir los elementos informativos necesarios. La normativa obliga a que la redacción sea clara, fácil de entender y accesible.

Este requisito obedece al principio de transparencia y obliga al responsable del tratamiento a informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos.

Desde la Agencia Española de Protección de Datos (AEPD), se ha publicado una guía para el cumplimiento del deber de informar en la que se indican todos los pasos y detalles que hay que seguir para cumplir la ley. Para intentar aclarar el tema, avanzamos algunos de los puntos más importantes:

Actualmente, la LOPD establece las siguientes obligaciones respecto de la información que se ha de facilitar a las personas interesadas en el momento en que se soliciten los datos:

  • La existencia del fichero o tratamiento, su finalidad y destinatarios.
  • El carácter obligatorio o no de la respuesta, así como de sus consecuencias.
  • La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
  • La identidad y datos de contacto del responsable del tratamiento.

A partir de ahora, el RGPD añade requisitos adicionales en cuanto a la necesidad de informar a las personas interesadas, generalizando el concepto de “Tratamiento” e incorporando, en líneas generales, los siguientes detalles:

  • Los datos de contacto del Delegado de Protección de Datos, en su caso.
  • La base jurídica o legitimación para el tratamiento.
  • El plazo o los criterios de conservación de la información.
  • La existencia de decisiones automatizadas o elaboración de perfiles.
  • La previsión de transferencias a Terceros Países.
  • El derecho a presentar una reclamación ante las Autoridades de Control.

Además, en el caso de que los datos no se obtengan del propio interesado, también que informar sobre:

  • El origen de los datos.
  • Las categorías de los datos.

¿Y qué ocurre con los datos que ya hayamos obtenido? Este puede ser el punto más delicado. Si, por ejemplo, cuentas ya con una lista de suscriptores, debes actualizar la lista y conseguir un consentimiento expreso, ya que, de lo contrario, podrían denunciarte.

Según el nuevo reglamento, no basta con añadir un checkbox a los formularios de contacto: hay que convertir todos los consentimientos tácitos que hayas obtenido hasta ahora y convertirlos en explícitos si quieres seguir trabajando con ellos.

Nuevos derechos para el usuario

El reglamento reúne una serie de nuevos derechos para el usuario, entre los que destacamos los siguientes:

  • Transparencia e información: las entidades, en el tratamiento de datos personales, deben proporcionar mayor información y de un modo más inteligible, completo y sencillo, con el objetivo de favorecer la toma de decisiones por el ciudadano.
  • Consentimiento: ha de ser inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro. No se admite consentimiento tácito.
  • Derecho al olvido: se podrá revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de internet.
  • Derecho a la limitación del tratamiento: permite al ciudadano solicitar el bloqueo temporal del tratamiento de sus datos cuando existan dudas sobre su licitud.
  • Portabilidad de los datos: se permitirá al ciudadano solicitar la transferencia de los datos personales de un proveedor de servicios en Internet a otro.
  • Denuncias: se podrán presentar a través de asociaciones de usuarios.
  • Indemnizaciones: se reconoce la posibilidad de exigir indemnización de daños y perjuicios derivados del tratamiento ilícito de los datos personales.
  • Cánon: el responsable del fichero podrá establecer un cánon a la contestación de los ejercicios del derecho de acceso, teniendo en cuentas los costes administrativos que ello le suponga.

Multas y sanciones

El régimen sancionador está recogido en el artículo 83 de la RGPD. Dependiendo del artículo del Reglamento que haya sido vulnerado, las sanciones impuestas sobre infracciones al RGPD pueden ascender de los 10 millones de euros (o el 2% como máximo del volumen de negocio total anual global) hasta los 20 millones de euros (o el 4% como máximo del volumen de negocio total anual global).

Multas hasta 10.000.000 ó 2% del volumen de negocio global del último año por:
• Vulneración de las obligaciones del responsable y del encargado
• Vulneración de obligaciones de certificación
• Vulneración obligaciones de control

Multas hasta 20.000.000 ó 4% del volumen de negocio global del último año por:
• Vulneración de los principios básicos de tratamiento
• Vulneración de los derechos de los interesados
• Transferencia a terceros países
• Incumplimiento de una resolución

 

El reglamento, como hemos indicado, se aplica desde el 25 de mayo de 2018, así es que si todavía no has actualizado y adaptado tu sitio web a la nueva normativa, tienes que darte un poco de prisa para adecuarlo a las nuevas exigencias legales.