Lo esencial del nuevo Reglamento General de Protección de Datos (RGPD)

La ya antigua Ley Orgánica de Protección de Datos (LOPD) ha quedado en el destierro. Desde el pasado mes de mayo solo se habla del nuevo reglamento de protección de datos, que ha llegado para quedarse, pero ¿qué es exactamente este nuevo Reglamento General de Protección de Datos? Pues es una regulación de la Unión Europea con un nuevo tipo de norma que la sustenta. En esta ocasión se ha utilizado el “Reglamento”, que es aplicable directamente a las empresas de toda la Unión Europea. El RGPD se aprobó en 2016 y, después de dos años de período transitorio, entró en vigor el pasado 25 de mayo de 2018. Una de las cosas que promete es la aplicación de graves sanciones, que pueden llegar al 4% de la facturación mundial de la empresa infractora, pero entremos un poco en detalles.

LA “RESPONSABILIDAD PROACTIVA”

Corre por cuenta de la empresa el deber de realizar un análisis de los procesos en el tratamiento de los datos, valorando así los riesgos (posibles amenazas sobre los datosprobabilidad de sufrir un daño y evaluar el impacto que ello supondría sobre los intereses de las personas, seguridad de la privacidad, entre otros) que pueden llegar a afectar a los usuarios cuyos datos personales quedan en la base de datos.
Otro objetivo se centra en la minimización de datos, su uso durante el plazo estrictamente necesario y la seudonimización (romper la relación que existe con la identidad del titular de dichos datos) siempre que sea posible.

CONSENTIMIENTO JUSTIFICADO

No vale un simple consentimiento tácito, debe ser libre, específico, informado e inequívoco, por lo que ya no cuenta la simple inacción del usuario.

  • Para obtener el consentimiento se pueden usar casillas de selección, siempre que no vengan previamente marcadas.
  • El consentimiento tiene que ser una afirmación explícita.
  • El consentimiento es una de las causas justificadas para la obtención de los datos, sin este no será posible el manejo y obtención de datos personales.

CONCEPTO DE “INTERÉS LEGÍTIMO”

Es importante resaltar un apartado que puede llegar a ser un poco complejo y el cual debemos tener presente todos aquellos que trabajamos en el mundo del marketing y servicios digitales, este apartado es el de interés legítimo, el cual puede resultar difícil de interpretar (como ocurre, al parecer, con muchas otras partes del reglamento). Un dictamen anterior del Grupo Europeo de Protección de Datos ayuda a entender este concepto con una lista no exhaustiva que incluye la libertad de expresión e informaciónel marketing directo, las campañas políticas o con fines benéficos, los fines científicos o de investigación, la prevención del fraude o la seguridad del propio usuario. Todo esto debe ir de la mano con los derechos individuales de los interesados.

CONSEJOS SOBRE LA PROTECCIÓN DE DATOS

  • Informar sobre la existencia de un fichero o tratamiento, finalidad y destinatarios.
  • Obligatoriedad o no de responder y sus consecuencias.
  • Informar sobre los derechos de acceso, rectificación, cancelación y oposición.
  • Identidad y datos de contacto del responsable del tratamiento de datos.
  • Informar sobre el plazo y criterios de conservación de la información
  • Dar a conocer a los usuarios la elaboración de perfiles a partir de los datos y el derecho a presentar una reclamación a la Agencia Española de Protección de Datos (AEPD).
  • En el mismo momento en que se recojan los datos, se puede presentar la información básica de forma resumida. Debe estar claramente identificada con un título del tipo “Información básica sobre protección de datos”. Además, debe quedar dentro del “campo de visión” del interesado, de manera adaptada al medio utilizado en la recogida de la información.

ASPECTOS OBLIGATORIOS

  • Responsable del tratamiento: es importante identificarlo ya que es la persona que toma las decisiones sobre la finalidad y destino de los datos.
  • Encargado del tratamiento: es quien ejecuta el tratamiento y puede tratarse de una entidad diferente.
  • Especificar cuál es la finalidad del tratamiento de datos.
  • Debemos obtener el consentimiento para cada finalidad específica de su uso, informando sobre la elaboración de perfiles u otras decisiones automatizadas al usuario.
  • Quiénes serán los destinatarios de los datos, en caso de que haya previsión de ceder los datos, por ejemplo, a otras empresas del grupo y, muy particularmente, si se van a realizar transferencias fuera de la UE.
  • Garantizar el de acceso o supresión de los datos al usuario.
  • Informar sobre la “portabilidad” de los datos, incluso si se trata de llevarlos a una empresa de la competencia.
  • Informar del origen de los datos cuando estos no proceden del interesado sino de, por ejemplo, una fuente de acceso público.

PROTECCIÓN DE LOS DATOS

Se debe garantizar la protección en todo momento de los datos con una gestión y vigilancia proactiva, especialmente cuando nos movemos con productos o servicios en Internet. El objetivo es generar confianza desde dentro de la empresa hacia afuera.
Es importante mantenerse al día desde la web de la AEPD (Agencia Española de Protección de Datos), porque es un terreno dinámico que irá cambiando con la realidad del mercado y la respuesta que vayan dando las empresas.
 

Descubre más