Dos años han tenido las empresas para adaptar sus procesos al nuevo Reglamento General de Protección de Datos. Conocido por sus siglas oficiales en inglés (GDPR) o en español (RGPD), esta normativa viene para cambiar la forma en la que las compañías tratan los datos personales de sus clientes, y sobre todo, para dar a los usuarios el poder de decidir sobre su información. Fue en mayo de 2016 cuando entró en vigor este reglamento, que no se comenzará a aplicar hasta el 25 de mayo de 2018. Este reglamento sustituye a la actual Ley Orgánica de Protección de Datos (LOPD).

Quedan tan solo unos días, y seguro que durante las últimas semanas has recibido una gran cantidad de correos electrónicos solicitando confirmar que quieres seguir recibiendo comunicaciones. Ese es precisamente uno de los requisitos de esta normativa que afecta directamente a los usuarios, pero no la única. Veamos cuáles son los principales cambios que trae este reglamento.

El deber de informar

Las empresas están en la obligación de informarte acerca de los datos personales que tienen en su poder, así como los que ceden a otras empresas con efectos informativos o comerciales. “Traficar” con los datos entre compañías, como sucedía en muchos casos hasta ahora, no será tan sencillo. O por lo menos, podría tener consecuencias legales y económicas para quien lo haga.

Para ello, dos de los cambios fundamentales en esta normativa son las cláusulas del deber de información y los contratos de acceso a datos por terceros. Según explica InnoTec, la empresa especializada en ciberseguridad del Grupo Entelgy, “los puntos a informar en las cláusulas se han ampliado, ahora incluyen: base jurídica de tratamiento, datos del delegado de protección de datos (si lo hubiese), intención de realizar transferencias internacionales y elaboración de perfiles”. Junto a todo eso, las empresas deberán seguir teniendo un responsable de los datos, identificado de forma clara en sus políticas de datos y privacidad.

Para tratar los derechos de acceso, modificación y cancelación de los datos, las empresas deberán contar también con una persona encargada de atender las solicitudes de los derechos de los clientes y usuarios.

Se añade por tanto una nueva figura, la del Delegado de Protección de Datos (DPD): “hace referencia a una nueva figura especializada en derecho de protección de datos que se crea junto a las ya existentes de responsable y encargado del tratamiento de los datos”, afirman desde Innotec, señalando que además de garantizar el cumplimiento del reglamento es el asesor del responsable del tratamiento de datos a tal efecto”.

Privacidad desde la base

El responsable del tratamiento de los datos es el encargado de demostrar que la empresa cumple con lo establecido en el reglamento. En definitiva, “la obligación de prevenir daños por parte de todas las organizaciones que traten datos de carácter personal”, apuntan desde Innotec.

La privacidad debe estar incluida desde el diseño de las bases de datos y webs de las compañías. Cada página, software o herramienta que se use y que contenga o gestione datos personales, deberá estar adecuada a la normativa.

Para las empresas, el RGPD “sustituye la obligación de inscribir los ficheros en la Agencia Española de Protección de Datos por la de disponer de un registro de actividades”, señala Innotec, añadiendo que “con la implementación del nuevo reglamento, cada empresa responsable tendrá que describir con detalle qué datos recoge, con qué fin los trata, a quién los comunica, si los transfiere a terceros países, cómo preserva su seguridad y cuándo podrá suprimirlos”.

Proactividad por parte del usuario

Hasta ahora, veías cómo te llegaban correos electrónicos a la bandeja de entrada que ni sabías cómo habían llegado hasta ahí. Para evitar esto, ahora los usuarios tendrán que ser debidamente informados de cómo se van a tratar sus datos, cada vez que envíes tu correo electrónico a través de un formulario toda esa información debe estar claramente explicada, y deberás marcar la casilla correspondiente si estás de acuerdo con esas políticas de datos.

Es por esto también que todas las empresas han tenido que solicitar la aprobación de los usuarios a través del e-mail para poder seguir enviándoles comunicaciones. Esta respuesta debe ser proactiva por parte del usuario, que debe dar su consentimiento de forma explícita, accediendo a un enlace (y no de forma tácita).

Son tus datos, tú decides

Los usuarios son en definitiva quienes tienen el poder de decisión sobre sus datos, pudiendo ejercer en todo momento la modificación de los mismos o su cancelación. Las empresas deben proveer de forma clara cómo pueden ejercer esos derechos. Estos derechos han sido conocidos hasta ahora como ARCO (acceso, rectificación, cancelación y oposición), a los que se añaden nuevos: limitación de tratamiento, portabilidad y el derecho de al olvido.

Asimismo, se modifican los plazos: “con la LOPD el plazo de atención del derecho de acceso era de un mes y para el resto de 10 días y con el RGPD se unifica el plazo de atención a 1 mes para todos los derechos”, explican desde Innotec.

En cada correo electrónico comercial, informativo, boletín de noticias o similar, deben incluir las opciones para darse de baja de dichas comunicaciones. Y en sus webs, deberás poder encontrar fácilmente sus políticas de protección de datos y quién es el responsable de esos ficheros. Si no, tienes el derecho de solicitar toda esta información.

La Agencia Española de Protección de Datos comparte en su web una gran cantidad de guías y manuales para usuarios y empresas.

Sanciones

No cabe duda de que si todas las empresas (o la gran mayoría) se están poniendo al día para llegar al día señalado en el calendario con todos los deberes hechos, es porque las consecuencias pueden ser muy graves.

Se añaden nuevas sanciones y se incrementan otras, como por ejemplo el aumento de las multas para evitar las denominadas “infracciones rentables”. El artículo 83 del reglamento plantea la posibilidad de cifrar las multas administrativas entre los 10 y los 20 millones de euros, o hasta el 4% del volumen de negocio total.


¿Quieres estar al día de las noticias tecnológicas, de ciberseguridad e innovación? ¡Apúntate aquí para recibir nuestra newsletter!

APÚNTAME

Deja un comentario