El nuevo RGPD europeo se aplicará en España de manera simultánea al resto de normas en materia de protección de datos: LOPD + RGPD.
A partir del 25 de mayo el Reglamento General de Protección de Datos (UE) 2016/679 (RGPD) será de plena aplicación en todo el territorio europeo. Esta nueva normativa significa un cambio muy importante, puesto que actualiza y refuerza los derechos de los ciudadanos sobre su información personal y cambia la forma en que las organizaciones gestionan la protección de datos, debiendo adoptar medidas conscientes, diligentes y proactivas.
El nuevo RGPD invita a las empresas a tener un cambio de mentalidad con los conceptos de seguridad de los datos que gestionan. A partir de ahora son las propias empresas, quienes han de definir, mediante un Análisis de Riesgos, su información sensible y aplicar políticas, procedimientos internos, así como procesos de gestión que les permita cumplir con el nuevo marco normativo.
El nuevo RGPD europeo se aplicará en España de manera simultánea al resto de normas en materia de protección de datos: LOPD + RGPD.
Esta nueva normativa afecta de lleno al entorno digital, por lo que todas las empresas con presencia en el canal online deben tenerla en cuenta ya que afecta a contenidos, estrategias de marketing digital en las que se manejan datos personales, etc….
El objetivo es reforzar la seguridad, así como las buenas prácticas con todo lo relacionado con la gestión de datos. Actualmente se ha producido un fuerte aumento en el uso de datos, cobrando gran protagonismo “el dato personal” para fines comerciales.
¿Qué entendemos por dato personal?
Es importante entender que esta normativa afecta a la protección de datos personales (es decir, aquellos que sirvan para identificar a la persona), por lo que hay cierta información no asociada a la persona a la que no se aplicará su contenido. Con todo, el concepto de dato personal se amplía más allá del tradicional. Por dato personal entendemos cualquier información que concierna a personas físicas identificadas o identificables (nombre, apellidos, DNI, fotografías, vídeos, voz, huellas…), siempre que hagan referencia a una persona. Aunque este concepto es amplio, el Reglamento deja claro que deben incluirse “identificadores únicos” como cookies, dirección IP y otros identificadores, despejando cualquier duda al respecto.
¿Cuáles son las principales novedades?
• Necesidad de consentimiento: Las condiciones se acotan, aclaran y endurecen. En cualquier forma de lograr el consentimiento deberá existir “claridad, aclaración afirmativa e inequívoca”. Por ejemplo, no se podrá marcar con una x por defecto la casilla del consentimiento al rellenar un formulario web, sino que el usuario deberá consentir expresamente y con toda la información necesaria. Además, debe existir “interés legítimo” para el tratamiento -como medida preventiva al fraude-.
• Nuevos derechos a la portabilidad, al olvido, a la cancelación o la supresión de datos. Se concretan estos derechos del individuo a solicitar la eliminación de sus datos personales a la empresa en cualquier momento, sin ninguna condición y de forma gratuita. Lo mismo se aplica a su portabilidad. Se trata de ofrecer todas las garantías posibles a la persona cuyos datos son recabados.
En cuanto al derecho al olvido, “el interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan”, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurran circunstancias como, entre otras, que los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo, que el interesado retire el consentimiento en que se basa el tratamiento de conformidad, que el interesado se oponga al tratamiento o que los datos personales hayan sido tratados ilícitamente.
• Comunicación obligatoria de violaciones de seguridad. Con la multitud de casos que se están viendo hoy en día en cuanto a vulnerabilidad de la protección de datos en el mundo online, con el RGPD se deberán notificar los ciberataques al organismo correspondiente en un plazo inferior a 72 horas.
• Oficial de Protección de Datos. Todas las organizaciones que traten datos personales que requieran “un seguimiento periódico y sistemático de los interesados a gran escala” tendrán que contar a un Oficial de Protección de Datos. Se trata de una persona encargada de esa responsabilidad, que puede ser externa. En general, los negocios estarán obligados a contar con un plan preventivo y un protocolo de actuación en el tratamiento de datos. Se trata de evitar la improvisación y marcar una cultura de la protección de datos en la empresa. Este plan puede ayudar a mitigar la responsabilidad de la empresa en caso de cometer alguna infracción.
La figura del Delegado de Protección de Datos será obligatorio para el sector público, datos especialmente protegidos, gran volumen de información y Colegios Profesionales.
• Sanciones. Las sanciones para aquellas empresas que no cumplan con la normativa serán más severas que con la regulación anterior. El objetivo es un mayor compromiso por parte de los negocios y un mayor conocimiento de los ciudadanos acerca de sus derechos. Se contempla imponer multas de hasta un 4% del volumen total de negocio anual o de 20 millones de euros. Esta cifra se reservará para graves vulneraciones de la normativa como, por ejemplo, no obtener el consentimiento adecuado del usuario para procesar sus datos. También habrá multas menores por no informar sobre brechas de información o no realizar un control de daños posterior, entre otras.
• Coto al correo basura. Una novedad específica que interesa a las empresas es que la norma pone coto al correo basura, censurando y penalizando la compra de bases de datos o las campañas masivas de emailing sin consentimiento. Se trata de una práctica poco útil a nivel de marketing, pero ahora, además, será perseguida con mayor dureza. Lo mismo se aplica a las llamadas sin consentimiento expreso, o las llamadas desde números ocultos o sin prefijos comerciales.
Si tu empresa está presente en el canal online y quiere adaptar su web a las nuevas necesidades
puede ponerse en contacto con nosotros.
Contenido patrocinado por Consulpyme, empresa especialista en LOPD. Puedes solicitar una primera auditoria gratuita contactando aquí.
CONSULTORÍA DE DIGITAL BUSINESS
Impulsamos la transformación y competitividad de empresas y administración pública a través de la gobernanza y gestión del dato con visión de negocio.
Copyright © 2021 Merkatu Interactiva S.L.
Dejanos tu opinión