Nueva ley de protección de datos (ya en vigor – aplicación en mayo de 2018)
Se acerca la fecha y cada vez son más las preguntas que surgen ante la nueva ley de protección de datos (concretamente con respecto al Reglamento General de Protección de Datos, que ya está en vigor y tiene que complirse a partir del 25 de mayo de 2018 en toda la UE).
En la actualidad, prácticamente todas las empresas, organizaciones y entidades trabajan con cantidad de datos personales de los clientes. Este es un tema que preocupa a ambas partes: tanto a los usuarios, que cada vez proporcionan más información a las empresas, como a las empresas para trabajar y utilizar esos datos siempre dentro de la legalidad.
Si a ti también te preocupa. Quédate un par de minutos. Te resumimos los principales aspectos que debes tener en cuenta.
¿Qué es el Reglamento General de Protección de Datos (RGPD)?
El Reglamento General de Protección de Datos es un reglamento, publicado en abril de 2016 por el parlamento europeo. Te dejamos el enlace para que puedas acceder al documento completo. El reglamento ha sido creado para regular la gestión y el tráfico de datos en el marco de la Unión Europea.
¿Cuándo entra en vigor?
El nuevo reglamento ha entrado en vigor el 25 de mayo de 2016, pero no será hasta el 25 de mayo de 2018 cuando tenga que aplicarse de forma obligatoria.
Reglamento complementario a la LOPD (actual)
El propio reglamento no priva a los estados miembros de realizar modificaciones o restricciones siempre y cuando se realicen “por razones de coherencia y para las disposiciones nacionales sean comprensibles para sus destinatarios.”
En el caso español, la ley que actualmente rige el asunto es la LOPD (Ley Orgánica de Protección de Datos, 1999). Por lo que se va a realizar una adaptación y se lanzará una nueva ley. La Agencia Estatal de Protección de Datos (AEPD) ha afirmado que España aún tiene que trabajar para adaptar su actual legislación a la normativa propuesta por la Unión Europea.
La nueva normativa de la UE no deroga la LOPD (actual)
El Reglamento de la UE no deroga automáticamente la LOPD, simplemente anula las medidas que resulten incompatibles. Siempre y cuando no existan medidas incompatibles ambas normativas podrán convivir.
¿A quién afecta? Empresas y organizaciones
La nueva normativa afecta a todas la organizaciones o empresas que traten datos dentro del marco económico europeo.
Aspecto clave: ampliación del margen territorial
Uno de los aspectos más significativos de la nueva normativa RGPD es que la aplicación no es sólo para empresas europeas. Esta afecta también a empresas internacionales que gestionen datos de usuarios residentes en la UE. Se consigue de este modo una mayor protección de los datos de los usuarios, sobre todo a través de internet.
¿Cómo sé si estoy gestionando los datos dentro de la legalidad?
Para saber si estás utilizando los datos que los usuarios dejan en tu sitio web debes tener en cuenta algunos aspectos básicos
1. Persona física o jurídica que recoge los datos. Incluir nombre, razón social o domicilio social del responsable de la recogida o gestión de datos.
2. Para qué se van a utilizar los datos y hasta cuando. La nueva normativa RGPD exige que se especifique el fin exacto para el que se van a destinar los datos recogidos, por ejemplo: para el envío de un regalo, para entrar en un sorteo, etc. Si es más de un motivo el usuario deberá aceptar cada uno de estos. Habrá que especificar la fecha exacta de conservación de los datos.
3. Mayor transparencia y legibilidad. Será necesario, a partir de ahora, que los avisos legales y las políticas de privacidad sean más simple y legibles por los usuarios, para que éstos puedan comprenderlos más fácilmente.
RGDP: obligaciones para las empresa y derechos de los ciudadanos
La nueva normativa recoge nuevas obligaciones para las empresas y organismos oficiales, así como nuevos derechos para las ciudadanos. Te contamos cuáles son los principales:
Obligaciones para las empresas u organizaciones con el Reglamento de Protección de Datos
- En algunos casos, cuando se tratan datos a gran escala los que tienen que ver con política, orientación sexual o salud, se debe hacer una evaluación de impacto para evaluar los riesgos de ese tratamiento de datos y poderlos eliminar o, en todo caso, mitigar.
- En el caso de empresas multinacionales, solo existirá una autoridad de control en materia de protección de datos, que será la del establecimiento principal de la organización.
- Obligación de publicar las brechas de seguridad en 72 horas. En la anterior LOPD no existía la obligación de provocar estas brechas de seguridad.
- Se aumentan los datos de especial protección (sensibles) ampliando a datos biométricos y genéticos
- El encargado de tratamiento de datos debe dar garantías de que cumplirá la normativa.
- Mecanismos de seguridad más estrictos para la transferencia de datos fuera de la Unión Europea.
- Las organizaciones deben poder acreditar que cumplen con las obligaciones establecidas en el Reglamento y que lo pueden demostrar. Es el principio de Accountability.
- Ya no hay obligación de la inscripción de ficheros de datos, se sustituye por un registro interno de la organización o inventario.
- Aumentan las cuantías por infracciones, que pasa de entre 900 y 600.000 euros a 20 millones de euros o el 4% de la facturación global.
- Muy recomendable que las organizaciones cuenten con un delegado de protección interno o externo (DPO) que asista a las organizaciones en el proceso de cumplimiento normativo.
Derechos de los ciudadanos con el RGPD
- El consentimiento para el tratamiento de datos tiene que ser mediante un acto afirmativo inequívoco y no se admite el consentimiento tácito como con la LOPD.
- Nuevos derechos como el derecho al olvido con el que se puede revocar el tratamiento de datos en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de internet.
- Portabilidad de datos: con este nuevo derecho, se permitirá al ciudadano solicitar la transferencia de datos de un proveedor de servicios de Internet a otro.
- Otro de los derechos de los ciudadanos con este nuevo Reglamento es el bloqueo temporal sobre el tratamiento de sus datos cuando existan controversias sobre su licitud.
- Los ciudadanos pueden presentar denuncias a través de las asociaciones de usuarios.
- El ciudadano puede exigir indemnizaciones por daño y perjuicios por el tratamiento de datos ilícito.
- El responsable del fichero puede exigir un canon por los costes adminstratisos de atender la petición.
En resumen el nuevo reglamento RGPD nace con la idea de crear un marco legal general dentro de toda la Unión Europea, teniendo como centro a los ciudadanos para que éstos tengan el control sobre sus datos.