Nuevo Reglamento General de Protección de Datos (GDPR)



Después de dos años desde su aprobación, este próximo 25 de mayo de 2018 será plenamente exigible el Reglamento (UE) 2016/679 o Reglamento General de Protección de Datos (en adelante, RGPD). Si bien es cierto que su principal objetivo sigue siendo garantizar la protección de los derechos y libertades de los ciudadanos de la Unión Europea (UE) y, en particular, su derecho a la protección de los datos personales, establece nuevos requisitos respecto a lo establecido por la actual Ley Orgánica de Protección de Datos (en adelante, LOPD).

Sin duda, el RGPD establece un nuevo paradigma en materia de protección de datos e importantes cambios que deben ser acometidos sin dilación para continuar, entre otras cuestiones, con una buena práctica del email marketing.

Antes que nada, ¿Quiénes están obligados a cumplir el nuevo GDPR?

Esta normativa aplica a cualquier empresa, persona o ente público cuya actividad involucre el manejo de datos de carácter personal, ya sea de manera directa o mediante terceros. Cabe destacar que el RGPD amplía su ámbito territorial de aplicación respecto al establecido por la anterior normativa aplicable en la materia, de manera que cualquier responsable o encargado del tratamiento, esté o no establecido en la UE que ofrezca bienes o servicios o controle el comportamiento de ciudadanos de la UE estará obligado al cumplimiento del Reglamento.

¡A continuación identificamos las principales novedades que deberás tener en cuenta para estar preparado para esta nueva etapa! 

1. Consentimiento por parte del usuario
Los principios de consentimiento libre, informado, específico e inequívoco que establece la LOPD se mantendrán, sin embargo, ya no se admitirá el consentimiento tácito mediante el silencio o inacción del interesado. El nuevo Reglamento exige una declaración o acción positiva por parte del usuario demostrando su consentimiento.

De igual manera, toma fuerza el principio de limitación, el cual establece que únicamente deben ser recabados y tratados aquellos que sean considerados necesarios para prestar el producto o servicio correspondiente.

En materia de datos de menores, será obligatorio obtener el consentimiento de los padres o tutores si el interesado fuese menor de 16 años. Un aspecto importante que deberás tener en cuenta es que dicho consentimiento será obligatorio por parte de ambos progenitores si se tiene la patria potestad o tutela compartida. Sin embargo, el RGPD permite el legislador de cada Estado miembro de la UE establezca en sus leyes una edad, inferior a la indicada. En este sentido, en el caso de España debe tenerse en cuenta que, el proyecto de la que será la nueva LOPD, establece como edad mínima los 13 años para el tratamiento de datos sin necesidad de requerir el consentimiento y autorización de los tutores. Sin embargo, deberemos estar atentos a este respecto, pues como decimos, se trata de un proyecto de ley.

2. Deber de informar
De igual modo que con la actual LOPD, el RGPD exige informar al usuario durante el proceso de recogida de datos acerca de la identidad responsable del tratamiento, la finalidad del tratamiento y los destinatarios de la información, entre otros. Sin embargo, se han añadido nuevos aspectos importantes que deberás incluir: 
  • Especificar la base legal del tratamiento de datos
  • Plazo de conservación de los datos personales.
  • Información sobre los derechos del interesado, especialmente los nuevos.
  • Identificación, en su caso, del Delegado de Protección de datos.
  • Posibilidad de presentar una reclamación ante la autoridad de control.
  •       La existencia de transferencias internacionales de datos, incluidas aquellas que se deriven del acceso a los datos por parte de un encargado del tratamiento.
Adicionalmente, en caso de que los datos no hubieran sido recabados directamente del interesado, el responsable del tratamiento deberá informarle, además, de otras cuestiones, tales como de la tipología de datos personales de que se trate y de la procedencia de los mismos en un plazo máximo de un mes. 

3. Nuevos derechos de los interesados

Actualmente la LOPD reconoce el derecho de acceso, rectificación, oposición y cancelación, conocidos como los “derechos de ARCOS”. Sin embargo la nueva normativa ha añadido los siguientes:
  • Derecho a la transparencia de la información: el usuario deberá ser informado del tratamiento de los datos de manera clara y concisa para garantizar una fácil comprensión.
  • Derecho de supresión (derecho al olvido): los interesados tendrán derecho a que sus datos personales sean eliminados cuando, entre otras cuestiones, éstos ya no sean necesarios para la finalidad por la cual fueron recogidos o tratados inicialmente.
  • Derecho a la limitación del tratamiento: los interesados tendrán derecho a solicitar al responsable la limitación del tratamiento de sus datos en caso de incurrir en inexactitud, ilicitud, reclamaciones y oposición.
  • Derecho de portabilidad: los interesados podrán solicitar al responsable sus datos y transferirlos a otra empresa.
  •          Derecho a no ser objeto de una decisión que evalúe aspectos personales relativos al interesado, y que, en base a esta, produzca efectos jurídicos en él. En este sentido, el interesado tiene derecho a obtener intervención humana, a recibir una explicación de la decisión tomada después de tal evaluación y a impugnar la misma. 
4. Evaluaciones de impacto

La nueva legislación exige la elaboración de Evaluaciones de Impacto (Privacy Impact Assesment) cuando sea probable que un tratamiento de datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas. Esto aplica particularmente a actividades que elaboren perfiles sistemática y automatizadamente con efectos jurídicos, o realizan una observación sistemática a gran escala de una zona de acceso público o que tratan a gran escala referentes a la salud, orientación sexual, ideología política, entre otros.
La Agencia Española de Protección de Datos ha publicado una Guía para la “Evaluación de Impacto en la protección de Datos Personales” con la intención de proporcionar una referencia a las empresas de cómo llevar a cabo una correcta evaluación conforme a la leyMás información.

5. Notificación de violaciones de seguridad

El responsable tiene como obligación comunicar a la Agencia Española de Protección de Datos (AEPD) cualquier incidente de seguridad de los datos personales que se haya producido dentro de su organización en un plazo de 72 horas desde que se tiene constancia de ella.

Asimismo, cuando sea probable que la violación de la seguridad entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable deberá comunicárselo, igualmente, al interesado sin dilación, salvo si:
  • El responsable ha adoptado medidas de protección apropiadas.
  • El responsable hubiera tomado medidas ulteriores que garanticen que no exista la probabilidad de que se concretice el riesgo.
  • Suponga un esfuerzo desproporcionado, en cuyo caso se deberá optar por una comunicación pública o una medida semejante.
6. Registro de las actividades de tratamiento de datos personales

Todas las empresas o particulares que traten datos de carácter personal deberán realizar un registro de las actividades efectuadas indicando la siguiente información:
  • Nombre y datos de contacto del responsable del tratamiento y, en su caso, del DPO.
  • Tipología de los datos personales que se traten.
  • Categorías de interesados
  • Destinatarios de los datos.
  • Trasferencias internacionales de datos, en su caso.
  • Plazos previstos para la supresión.
  • Finalidad del tratamiento.
  • Medidas técnicas y de seguridad adoptadas por la empresa para realizar dicho tratamiento.
7. Delegado de Protección de Datos (DPO)

Se deberá incorporar la nueva figura de DPO en (i) aquellas empresas donde el tratamiento lo lleve a cabo una autoridad u organismo público (excepto los tribunales en su función judicial), (ii) en aquellas que su finalidad principal sea la observación habitual y sistemática de interesados a gran escala, y (iii) en aquella que su actividad principal consista en el tratamiento a gran escala de datos de categorías especialmente sensibles. El Delegado de Protección de Datos tiene como obligación garantizar el cumplimiento de la nueva normativa y ejercer como punto de contacto con la autoridad de protección de datos.
En cualquier caso, el resto de compañías podrán designarlo voluntariamente.

8. Sanciones

Una vez aclaradas las que consideramos las novedades más relevantes del Reglamento, surge la pregunta que todos nos hacemos: ¿Cuáles son las posibles sanciones a las que nos exponemos?

Las multas por incumplimiento comenzarán a aplicarse a partir del día 26 de mayo de 2018 y sin duda son mucho más elevadas que las establecidas por la LOPD. De esta manera, dichas sanciones pueden alcanzar cifras de entre 10 y 20 millones de euros o entre el 2% y el 4% del volumen de negocio total anual global (del grupo), en función de la gravedad, naturaleza y duración de la infracción, entre otras cuestiones.

El nuevo Reglamento supone un mayor compromiso de las empresas con la Protección de Datos y a menos de un mes de entrar en vigor, el desafío de todos es tener claro cuáles son nuestras nuevas obligaciones e implementarlas lo antes posible. Lejos de verlo con nerviosismo, asumamos estos nuevos cambios con optimismo y realicemos los cambios necesarios para continuar con una buena práctica del email marketing.

Comentarios