Todo lo que debes saber sobre la nueva regulación europea de los datos
Ignacio Arriaga · 09 Oct, 2017 · Legislación · 4 min
Este es uno de esos posts que puede darte un poco de pereza leer, lo sabemos. Pero también sabemos que es realmente importante, ya que hay muchas cosas que te afectan, especialmente si tienes una PYME. Vamos a ver en detalle todo lo que necesitas saber sobre la nueva regulación europea de datos. Ya sabes aquello de “el desconocimiento de la ley no exime de su cumplimiento”. Y se vienen cambios importantes.
¿De dónde sale esta nueva ley de protección de datos?
Bueno, lo cierto es que tampoco es tan nueva. El Reglamento Europeo de Protección de Datos está en vigor desde el 25 de mayo de 2016. Actualmente, hay un cierto periodo de carencia en el que la aplicación de estas resoluciones no era de obligado cumplimiento… hasta el 2018.
Resumiendo: tenemos hasta el 26 de mayo de 2018 para ajustarnos a la ley y evitar problemas graves más adelante.
¿Qué dice el Reglamento General de Protección de Datos de la UE?
Con el asunto de la protección de datos, Europa se ha puesto seria.
Hasta el momento, cada estado miembro se regía según sus propias leyes. Y esto generaba un cierto descontrol, además de muchísimos conflictos. Desde mayo del año que viene, el RGPD obligará a España a sustituir la actual LOPD (Ley Orgánica de Protección de Datos) por una nueva ley ajustada a la nueva norma comunitaria (con algunos matices en los que se puede desarrollar un poco).
Uno de los conceptos más importantes a tener en cuenta es lo que se ha dado en llamar principio de responsabilidad proactiva.
Entre un montón de terminología legal, viene a decir que el responsable de la obtención de datos debe hacer un análisis de los datos que se obtienen, para qué y cómo se está haciendo. Y, en función de eso, poner todos los medios técnicos y humanos para garantizar un uso de los mismos ajustado a la ley. Pudiendo, si es preciso, demostrarlo ante los interesados o las autoridades supervisoras.
Hay que ponerse las pilas.
Ya no vale la inacción como forma de consentimiento
El consentimiento tiene que ser inequívoco y en algunos casos explícito. Por ejemplo, cuando se estén recogiendo datos sensibles.
En el caso de las famosas cookies, sí que se puede considerar que el consentimiento se implicita, por el hecho de seguir navegando.
Los datos que hayas recogido antes de la aplicación del RGPD puedes seguir utilizándolos, pero siempre que los hayas recogido en base a lo que marca la nueva regulación (con el consentimiento expreso y no por omisión).
Hay que ser transparente
Esto lo vamos a agradecer todos los usuarios. La RGPD dice claramente que la comunicación tiene que ser comprensible para cualquier ser humano. Muchas veces parece que es imprescindible haber estudiado derecho.
Dice textualmente que se deben “evitar las fórmulas especialmente farragosas” y utilizar un lenguaje “claro y accesible para los interesados”.
Al usuario se le debe proporcionar información sobre:
- Base jurídica del tratamiento.
- Si se tiene intención de realizar transferencias de datos internacionales.
- Datos del delegado de Protección de Datos.
- Detallar la intención de crear perfiles.
- Obligación de entregarle esta información por escrito (esto incluiría los medios digitales, por supuesto).
Aplicación de derechos ARCO
Esto, lógicamente, permanece invariable desde la LOPD. Se trata del derecho que todo usuario tiene al acceso, rectificación, cancelación y oposición de los datos personales cedidos a terceros.
Es imprescindible que, como responsable de los datos, facilites al máximo el ejercicio de los derechos de los interesados. Esto significa, por ejemplo, que debes permitir que se ejerzan por medios digitales (especialmente en el caso de obtener los datos por este canal) y, por supuesto, de manera gratuita.
Ahora hay que ser especialmente claro a la hora de acreditar ante el usuario que se han ejercido sus derechos informándole en un plazo no superior a un mes. En casos que revistan una especial complejidad, puede extenderse el plazo hasta el doble (dos meses). Pero de hacerlo se le debe comunicar esta extensión dentro del primer mes.
Recuerda que el interesado tiene ahora derecho a recibir una copia por escrito de los datos personales que se están tratando. Incluso se puede contemplar el ofrecer acceso a un sistema en el que el usuario pueda consultar toda esta información.
En cuanto al borrado de datos y para no complicar más el asunto, decirte que si sigues la jurisprudencia aplicada en el caso de la UE en el caso de Google Spain (2014) está todo bien.
Responsable-encargado
Como decíamos al principio, la figura del responsable adquiere aún más peso. Para ser precisos, digamos que su pro-actividad y su buena praxis.
Es imprescindible que se mantenga un registro de actividades, se apliquen medidas de seguridad y, en los casos previstos por el RGDP, se designe un Delegado de Protección de Datos. Recuerda: principio de responsabilidad activa.
Dentro de las funciones del responsable, hay una particularmente importante: el análisis de valoración del riesgo (tipo de tratamiento, naturaleza de los datos, número de interesados, sensibilidad, cruce de datos entre distintas fuentes, tecnologías invasivas como la geolocalización, finalidad de la obtención de los datos…).
Medidas de responsabilidad activa
Es importante establecer un protocolo para el uso de la información, tanto antes como durante la obtención de los datos. Esto incluye medidas tanto a nivel técnico como organizativo.
Debes revisar en detalle la nueva regulación europea de datos, porque incluye muchas más variables que la antigua LOPD.
Evidentemente, cuando hablamos de una ley tan compleja y con un efecto tan importante sobre las PYMES que operan en Europa, es imprescindible estudiar un poco.
Aquí te hemos presentado los datos más importantes, aunque hay mucho más a tener en cuenta (transferencia de datos internacional, listas de verificación…). Por eso, te dejamos un enlace de la Agencia de Protección de Datos que te puede ayudar a despejar cualquier duda.
¿Te vas a poner ya con la adaptación a la nueva regulación europea de los datos? ¿O vas a esperar al año que viene?
No te pierdas ni un post del blog, síguenos en Twitter a @Acumbamail y danos un LIKE en Facebook (aquí tienes nuestra página) para aprender todo sobre marketing online.
Imágenes | Fotolia, Unsplash.