RGPD: ¿qué es exactamente y cómo afecta a mi negocio?

El 25 de Mayo de 2018 entró en vigor el conocido como RGPD (Reglamento General de Protección de Datos), una normativa europea relativa a la protección de las personas físicas en lo relativo al tratamiento de datos personales.

No hay que confundir con la LOPD española, que también sigue su desarrollo particular y probablemente también habrá novedades en el futuro a este respecto.

¿A qué negocios afecta? ¿Cuál es el ámbito del RGPD?

Lo primero que hay que tener en cuenta es que el RGPD no es una normativa que tenga una aplicación particular a un tipo de negocio. En nuestro caso, dado que somos una agencia de diseño web, algunos clientes nos han preguntado si actualizar el Aviso Legal en su página web es lo único que tienen que hacer para cumplir la normativa.

Nos tememos que no. El RGPD es algo que afecta al negocio en su totalidad, no solo a su página web (que no es más que un pequeño escaparate del negocio en internet). En el momento en el que un negocio trata datos personales de personas (por ejemplo, sus clientes o empleados), tiene que cumplir con el RGPD.

¿Y qué es un dato personal? Cualquier dato que pueda identificar a una persona: nombre, DNI, una fotografía, email, la dirección IP, etc.

Hay muchos aspectos del negocio que revisar, como los contratos que se firman con clientes, empleados, proveedores, medidas de seguridad, etc. Por lo que podemos decir que los textos del tipo Aviso Legal de la página web, son una mera anécdota en todo lo relativo al RGPD.

Por tanto, nuestro primer y mejor consejo (tal y como hemos hecho en DespachoTres), es ponerse en manos de un especialista (principalmente un abogado) para que revise todo lo relativo al negocio para realizar la adaptación a la nueva normativa.

Qué cambios hay en el RGPD con respecto a la LOPD

Sin ser expertos legales, y tras hablar con uno, estos son algunos de los cambios más importantes que hay que tener en cuenta:

Entrada en vigor del RGPD

La nueva normativa entra en vigor el día 25/05/2018. A partir de ese momento todo negocio debería estar adaptado a dicha normativa.

¿Quiénes tienen que cumplir con el RGPD?

Absolutamente todas las empresas y profesionales que traten con datos personales de ciudadanos de la Unión Europea. Esto quiere decir que negocios en países como EEUU o latino-américa, también están obligados a adaptar sus negocios a la nueva ley.

Para los negocios extranjeros existen las Autoridades de Control, por lo que es de suponer que se crearán convenios entre países para garantizar este cumplimiento.

Reformas con respecto a la LOPD

  1. Ficheros. Hasta ahora las empresas tenían que inscribir sus «ficheros» ante la AEPD (Agencia Española de Protección de Datos). En el RGPD se sustituyen los ficheros por el Registro de Actividades de Tratamiento. No es algo obligatorio para todas las entidades, pero sí recomendable (según indican los expertos).
  2. Consentimiento. Actualmente el consentimiento (por ejemplo para suscribirse a un blog o newsletter) podía ser expreso o tácito. Por ejemplo, mediante las típicas coletillas del tipo «Si te suscribes a nuestro boletín aceptas las condiciones…«. Con el RGPD el consentimiento únicamente puede ser expreso. Esto quiere decir que en las cajas de suscripción de una newsletter, por ejemplo, habrá que poner el típico «check» obligatorio de marcar para el usuario.
  3. Derechos. Actualmente tenemos los conocidos como derechos ARCO (Acceso, Rectificación, Cancelación y Oposición). Ahora tendremos derechos sobre los datos (derecho de acceso -informar sobre el tratamiento-, rectificación, supresión – conocido como derecho al olvido- y portabilidad -transmitir los datos a otro responsable de tratamiento-) y derecho sobre el tratamiento (limitación, oposición -cancelar el tratamiento de los datos-, y el derecho de presentar una reclamación ante la autoridad de control).
  4. Nuevos principios. Actualmente, con la LOPD, los principios existentes son Calidad de los datos, Información y Consentimiento. Con el RGPD se aumentan estos principios a los siguientes: lealtad y transparencia, confidencialidad, fines, conservación (no más del tiempo necesario), minimización (obtener los mínimos datos para obtener los fines), exactitud, integridad (medidas de seguridad), responsabilidad proactiva.
  5. Medidas de seguridad. Hasta ahora teníamos medidas en función de la tipología de los datos almacenados (básico, medio y alto). Con el RGPD se tienen que tener las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
    • Algunas medidas de seguridad: conservación de los datos (digital o físico), restricciones de acceso, eliminación de datos (por este motivo condenaron a Facebook), copias de seguridad (internas y externas, en prevención de ataques tipo Ransomware), protección (antivirus, cifrado), riesgos, medidas de carácter internacional, auditorías y certificado SSL (si se tiene página web).
    • Violaciones de la seguridad. En caso de violación de seguridad se dispone de un máximo de 72 horas para notificar a la autoridad de control. Y si había un riesgo alto para el interesado, habrá que notificarlo también al interesado.
  6. Nuevas medidas: dependiendo del tipo de negocio:
    • Evaluación de impacto: para las organizaciones que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas.
    • DPO o Delegado de Protección de Datos.
    • Registro de actividad de tratamiento: para aquellos que realizan un tratamiento de datos de riesgo para la privacidad de los interesados, o traten datos sensibles.
    • Análisis de riesgos del negocio.
  7. Sanciones: las sanciones se han incrementado, con sanciones que pueden ir hasta los 20 millones de euros, o el 4% de facturación (en el caso de las empresas).

¿Cómo adapto mi negocio al RGPD?

Este es un resumen de algunas de las tareas a realizar para la adaptación de un negocio a la RGPD, extraídos de presupuestos de expertos en la materia (algunas de ellas dependerá del negocio en particular):

  • Verificación y puesta en marcha de las medidas de seguridad necesarias y adecuadas al tipo de negocio.
  • Revisión y elaboración, si procede, del registro de actividades de tratamiento de datos.
  • Análisis de la necesidad de la existencia de un DPO (Delegado de Protección de Datos), según los tratamientos de datos realizados.
  • Realización de un informe de riesgos y una evaluación de impacto en materia de protección de datos.
  • Revisión y elaboración de las cláusulas necesarias para cumplir con lo establecido en la normativa, a la hora de informar o recoger el consentimiento del afectado cuyos datos son tratados (clientes, empleados…).
  • Redacción de contratos y cláusulas relativas a los llamados «encargados del tratamiento». Es decir, personas o empresas que «tratan» (tienen acceso) datos de carácter personal de tu negocio, pero no los utilizan para su beneficio. Por ejemplo, una asesoría que necesita de todos los datos necesarios para llevar la contabilidad y tiene acceso a facturas, documentación sensible, etc..
  • Verificación de la adopción de medidas de seguridad adecuadas a los tratamientos efectuadas.
  • Redacción de modelos de cartas de contestación frente a posibles ejercicios de derechos de acceso, rectificación, cancelación u oposición.
  • Verificación de cumplimiento de códigos de conducta o mecanismos de certificación.
  • Elaboración de documento acreditativo de adecuación de la empresa a la normativa sobre protección de datos para su presentación en los organismos públicos o privados si le es requerido.
  • En particular, en el caso de las páginas web, habrá que:
    • Crear nuevos textos legales. Concretamente: Aviso Legal, Política de Privacidad, Política de Cookies y Condiciones generales de contratación (si se venden productos y servicios a través de internet).
    • Revisar formularios y «cajas» de suscripción en la página web.
    • Aquellos que utilizan servicios de email marketing, tendrán que obtener de nuevo el consentimiento de sus suscriptores. Es decir, tendrán que enviar un correo indicando que se han actualizado las políticas de privacidad y que, si se quiere continuar en la lista, tendrán que consentirlo expresamente. Si no lo hacen, habrá que borrar los datos de los suscriptores.

Para aquellos que se sienten cómodos tratando personalmente aspectos legales, hay herramientas como LexBlogger que permiten generar todos los textos legales para la página web, contratos, correos electrónicos, etc, etc.

Para el resto, recomendamos delegar la adaptación en un profesional. Principalmente en un abogado especializado, puesto que es una normativa legal y los abogados, al final, son los encargados de su interpretación y aplicación (y defensa en tribunales, llegado el caso).

Reader Interactions