11 repercusiones del RGPD que debes cumplir tras el 25M

Si no tienes tiempo de leerlo, te damos la opción de oírlo 😉

Desde el 25 de mayo hay un nuevo reglamento europeo de protección de datos (RGPD), algo que afecta a todas las empresas sin excepción. Hasta esa fecha, trabajábamos bajo la Directiva 95/46/CE de 1995, pero a raíz de los avances y cambios tecnológicos que hemos vivido en la última década, se ha tenido que revisar a fondo para proteger a los consumidores.

El Big Data, la robótica, el internet de las cosas, la inteligencia artificial, la realidad aumentada… ¿Te suenan no? Pues todas estas tecnologías son las que han propiciado estos cambios. El objetivo principal del RGDP es regular de manera uniforme el tratamiento de los datos. Y viene a garantizar el derecho al honor y la intimidad personal, pero sobre todo el fin último es salvaguardar los datos que hoy por hoy fluctúan por la red.

¿Cuántas veces te han llegado emails publicitarios sin tu saber ni quiénes son?

En muchas ocasiones se hace de forma ilegal y te acribillan a publicidad, siendo esto lo que esta ley viene a amparar. Intentará que toda publicidad o tráfico de datos se realice de una manera legal, con el consentimiento del afectado, y de que haya sido informado acerca del uso que va a hacerse de sus datos. Y además, se han desarrollado una serie de derechos que tiene el usuario, entre otros:

• Derecho a ser informado del uso de sus datos.
• Derecho a cancelar los datos o modificarlos (¿Te suena eso de:”si desea ejercer sus derechos de accesos, rectificación, cancelación u oposición…”?).
• Derecho a conocer quién es la persona que maneja sus datos y para qué.

Esto plantea dos cuestiones muy importantes a las empresas: ¿qué novedades trae consigo? y ¿qué repercusiones tendrá para las empresas y los administradores de páginas web?

Las principales repercusiones a las que se tienen que atener las empresas, sobre todo las que forman parte del comercio online, son:

1. Seguridad General de los datos de la empresa.

1. Evaluación del impacto de la protección de los datos: Será obligatorio realizar evaluaciones de riesgos y definir las medidas de protección para minimizarlos. Especialmente relevante para empresas que recurren a la computación en la nube.
2. Obligaciones de notificación: Normas más estrictas. Cuando se tenga conocimiento sobre incidentes de seguridad, estos deben notificarse en un plazo de 72 horas tanto a los interesados como a las autoridades responsables.
3. Delegados de protección de datos: Toda empresa con más de 10 trabajadores dedicados al procesamiento de datos personales debe recurrir a un delegado de protección de datos.
4. Datos de los trabajadores: Las disposiciones correspondientes en el RGPD afectan a los departamentos de Recursos Humanos, en los que también repercuten alguna de sus modificaciones.
5. Responsabilidad y multas: A partir de ahora las empresas pueden tener que responsabilizarse de las infracciones cometidas en el manejo de los datos recogidos. Algo que podrá traducirse en multas muy elevadas.

2. Seguridad de los datos personales.

1. Obligaciones de documentación: Las empresas estarán obligadas a acreditar la protección de datos con documentación interna. Tendrán que demostrar qué datos se han almacenado y con qué finalidad, cómo se procesan y cuándo se eliminan.
2. Supresión de datos: Ahora solo se podrán conservar los datos personales durante el tiempo necesario para la finalidad prevista. Si se extingue la autorización para el tratamiento de los mismos, estos deben eliminarse.
3. Privacidad desde el diseño: significa que las empresas deben tener en cuenta la protección de datos incluso en el diseño técnico de sus procesos comerciales, de modo que estos traten con la menor cantidad de datos personales posible.
4. Privacidad por defecto: se trata de evitar que los consumidores lidien con ajustes técnicos complejos para conseguir limitaciones en el procesamiento de datos.
5. Fundamentos de la autorización: los interesados también tienen que consentir explícitamente el uso de sus datos personales y además el consentimiento del trabajador o consumidor solo es aplicable a los usos especificados.
6. Derechos de acceso y de supresión: los ciudadanos europeos tienen derecho a conocer qué tipo de datos tiene una empresa sobre su persona y cómo los utiliza. Además, los consumidores también pueden exigir a la empresa que elimine sus datos, para lo que se establece el “derecho al olvido”.

Las normas del RGPD también aportan repercusiones para el e-commerce y los gestores de páginas web.

Cosas que no cambian (por ahora):

• Las normas con respecto a los temas más importantes para los gestores de páginas web (cookies, seguimiento de los usuarios, spam y marketing directo) se introducirán probablemente a partir de 2019.
• Los principios generales del RGPD se aplicarán a las páginas web, al big data y a las redes sociales, así como a las cookies, a las herramientas de seguimiento y a las medidas de targeting.
• El RGPD es, en cierto sentido, una solución provisional, ya que junto con el RGPD entraría en vigor una nueva normativa sobre protección de datos: el Reglamento de e-privacy o de privacidad electrónica de la Unión Europea.
• Si el proyecto se convierte en ley, tendría consecuencias significativas en seguimiento, tracking y publicidad personalizada. Además, aún no se ha determinado qué cambios se producirían en el proceso legislativo. Por ello, todavía es demasiado pronto para preocuparse por el Reglamento de e-privacy, pues no se va a aplicar antes de 2019.

No obstante, los gestores de páginas web y los e-commerce no deben perderlo de vista. A diferencia del RGPD, que regula los principios de protección de datos, el Reglamento de e-privacy se refiere a un sector específico: la protección de la privacidad en la vida diaria digital, de ahí que a los gestores de páginas web se vayan a tener que enfrentar a nuevas normas.

Cosas que sí que cambian ya:

Los cambios más importantes para los gestores de páginas web son:

1. La amplia obligación de documentación acreditativa del RGDP
2. Permisos más complejos
3. Los principios básicos de privacy by design y privacy by default
4. Mayores derechos de acceso y de supresión
5. El derecho a la transferibilidad de los datos
6. Deberes informativos más amplios
7. La prohibición de asociación en las autorizaciones
8. Multas muy elevadas

Si todavía no has puesto en marcha la adaptación de tu empresa, ya tardas, ya que al tratarse de un reglamento europeo es jurídicamente vinculante y aplicable de inmediato en todos los estados miembros. Así que ya afecta a la práctica empresarial de toda PYME de forma inminente.