Puntos claves de la nueva normativa de protección de datos

El pasado 25 de mayo de 2018 entró en vigor el  nuevo Reglamento Europeo General de Protección de Datos (RGPD), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, una norma que es de aplicación obligatoria y que impone a las empresas numerosos deberes en relación a la privacidad. Repasamos los puntos claves:

  1. Consentimiento expreso, no tácito

La nueva normativa establece que las empresas deben contar con el permiso expreso del usuario para disponer y utilizar sus datos. Hasta ahora valía con el permiso tácito, es decir, la presunción de que el usuario aceptaba lo que no rechazaba.

Para proceder a la recogida y al tratamiento de datos personales las organizaciones han de haber obtenido previamente un acuerdo escrito, claro o explícito de los titulares de los datos.

Por tanto, las empresas necesitarán obtener el consentimiento voluntario, específico, inequívoco e informado de las personas para procesar sus datos. También necesitarán que los usuarios opten por aceptar el procesamiento de sus datos, no será válido darles solo una opción de “opt-out” o exclusión. En otras palabras, las empresas ya no podrán pedir a los consumidores que marquen una casilla después de un extenso conjunto de términos y condiciones que la mayoría de los usuarios nunca lee.

  1. La legalidad del procesamiento de datos

Las empresas que procesen datos personales deben asegurarse de que es legal, justo y transparente. No pueden usar datos para fines distintos de aquellos para los que se recopilaron, con excepciones limitadas.

El procesamiento de datos es legal si:

  • Un individuo ha dado su consentimiento.
  • Es necesario para la ejecución de un contrato.
  • Es necesario cumplir una obligación legal en virtud de la legislación nacional o de la UE.
  • Es necesario para proteger los intereses vitales de un individuo.
  • Es necesario llevar a cabo una tarea de interés público en virtud de la legislación nacional o de la UE.
  • Es en interés legítimo de la compañía, siempre que no se imponga sobre los derechos y libertades fundamentales de un individuo.

Si una empresa recopiló datos sobre la base del consentimiento, no puede usarlos para otros fines.

  1. Tiempo y uso concreto

Las compañías no solo están obligadas al consentimiento expreso, sino que deben especificar el uso y el tiempo concreto que tienen pensado disponer de estos datos.  El RGPD establece que se deben guardar no más del “tiempo necesario”.

  1. Portabilidad de datos

El RGPD prevé un mecanismo de portabilidad que ofrece la posibilidad de pasar de un servicio a otro. Un usuario puede solicitar a cualquier empresa que le otorgue acceso a todos los datos personales recolectados con anterioridad, para de esta forma transferirlos a otra compañía, sí así lo desea.

  1. Robo de datos

Además de informar claramente a los ciudadanos para qué y cómo procesan sus datos personales, deberán informar acerca de posibles brechas de seguridad en un plazo máximo de 72 horas. Si, por ejemplo, un banco sufre un ciberataque, sus clientes deberán conocerlo antes de tres días.

  1. Descarga de toda la información a un «clic»

Los usuarios tienen derecho a saber toda la información que las compañías poseen sobre ellos y a tener una copia electrónica.

  1. El derecho al olvido

Aunque ya estaba en vigor, a partir de ahora se refuerza el llamado «derecho al olvido» y podrán solicitar a servicios de internet y empresas que tratan datos personales que borren todos sus datos o que se establezca el límite de tiempo que el usuario da permiso de uso de su información.

  1. Mayor protección de los menores

La edad mínima aumenta de los 14 a los 16 años para acceder a los diferentes servicios digitales.

  1. La letra pequeña, reflejada de forma clara

El nuevo reglamento establece que los términos de uso y las políticas de privacidad de datos deben redactarse y publicarse de una manera más sencilla y clara, es decir, comprensible para todos.

  1. El Registro de Ficheros en la AEPD.

Al contrario que hasta ahora, la nueva normativa no obliga a registrar Ficheros en la Agencia Española de Protección de Datos (AEPD). Todo el cumplimiento de la normativa será responsabilidad de los obligados (Instituciones, Empresas y Organizaciones), que internamente establecerán los medios para la aplicación de la normativa.

¿Qué pasará con los ficheros registrados? Será una obligación cumplida bajo una normativa anterior, ya no habrá ningún procedimiento de presentación o de consulta de los ficheros comunicados.

  1. Nuevas reglas para procesadores de datos

El RGPD distingue entre “controladores” de datos y “procesadores” de datos. Un controlador de datos determina por qué se deben recopilar y procesar los datos personales y cómo. Un procesador de datos solo procesa datos personales en nombre del controlador y generalmente es una empresa externa.

Por ejemplo, un minorista que contrata a una empresa de recursos humanos para manejar la nómina y otras funciones es el controlador de datos, mientras que la empresa de recursos humanos es el procesador de datos.

Bajo el RGPD, los procesadores de datos deben garantizar los mismos estándares que los controladores y garantizar que cumplan con los requisitos de la ley. Debe haber un contrato legal entre un procesador y un controlador, y un procesador no puede contratar a otra compañía para procesar datos sin el consentimiento del controlador.

  1. Delegado de Protección de Datos

Una de las exigencias que introduce el RGPD es la designación obligatoria de un Delegado de Protección de Datos o Data Protection Officer (DPO, por sus siglas en inglés). Ahora nace una figura especializada en derecho de protección de datos que se crea junto a las ya existentes de responsable y encargado del tratamiento de los datos. Sus funciones se orientan a garantizar el cumplimiento del reglamento y asesorar al responsable del tratamiento de datos.

Sus funciones es velar o supervisar que se realiza el cumplimiento de la normativa de LOPD adecuadamente, en el caso de autoridades y organismos públicos, entidades que realicen una observación habitual y sistemática de las personas a gran escala, y entidades que tengan entre sus actividades principales el tratamiento, también a gran escala, de datos sensibles.

  1. Nuevas sanciones por incumplimiento.

La cuantía de las multas sube de forma sustanciosa para evitar lo que se conoce como las “infracciones rentables”. Por ello, el RPGD habla de que es posible cifrar las administrativas con cantidades entre 10 y 20 millones de euros. Si hace referencia a una empresa, la multa podría ascender al 2 o 4% del volumen de negocio total, en base al anual global del ejercicio financiero anterior.

 

PAUTAS A SEGUIR:

  1. Actualice sus documentos legales y realiza auditorías internas

En este primer punto, se tendrá que tener en cuenta qué se necesita para ajustarse al nuevo Reglamento en cada caso particular.

  1. Solicite el certificado o permiso para poder procesar datos

Si el consentimiento actual que tiene no cumple con la nueva normativa, tendrá que solicitarlo de nuevo.

  1. Organice una auditoría de información

Le permitirá explicar a sus clientes porque almacena sus datos y cómo trabaja con ellos, así como actualizar los datos de los empleados.

  1. Informe a su equipo de trabajo

Es importante que su equipo sepa qué es el RGPD y cómo puede afectar  a la empresa. Además de formarle para que lleve a cabo los procedimientos adecuados para cumplir la normativa.

  1. Eliminación de datos 

Es indispensable tener un sistema eficiente y eficaz que le permita borrar los datos cuando se solicite o no sean necesarios.

  1. Situación de crisis

Es necesario elaborar y establecer una estrategia de gestión de crisis por si la situación lo requiriera.

  1. Muestre que está cumpliendo con la normativa

Actualice sus diferentes canales, página web, redes sociales y soportes varios y ponga de manifiesto que está poniendo en práctica y cumpliendo el RGPD.

  1. Canales de acceso

Aquellos que estén interesados en formar parte de sus  bases de datos, acepten los términos y lo soliciten, se les incluirá. Por el contrario, aquellos que no hayan dado su autorización no se les estará permitido y no deberían entrar a formar parte de la base de datos de la compañía.

  1. Protección de datos para menores de 16 años

Los menores de 16 años necesitarán el permiso de sus padres o tutor con la nueva Ley de Protección de Datos.

  1. Nuevo cargo: Delegado de Protección de Datos (DPD)

Se recomienda incluir la figura de Delegado de Protección de Datos  para asegurar que se respeta y cumple con lo establecido en la RGPD. Este punto no es obligatorio, pero si lo recomienda la UE. El perfil de DPD abarca desde un profesional externo a la empresa o algún trabajador que asuma el rol.

Para más información, puede consultar también la página Web de la AEPD:

https://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

Pueden ponerse en contacto con este despacho profesional para cualquier duda o aclaración que puedan tener al respecto.

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *