RGPD o GPDR: nueva normativa sobre protección de datos
Miguel Nicolás
-
Ya está aquí la RGPD o GPDR, una actualización de la normativa sobre protección de datos que tienes que conocer y cumplir si vendes online. ¡Infórmate!
-
-
El marco legal sobre protección de datos está cambiando en Europa de manera muy importante. La RGPD o GPDR es una actualización de esta normativa que no puedes pasar por alto, especialmente si tienes una tienda online o una página web.
Seguro que esta normativa te preocupa y te haces muchas preguntas, ¿qué te parece si intentamos resolver las principales?
-
¿Qué es la RGPD o GDPR?
-
En estos casos suele ayudar bastante descomponer las siglas. GDPR es el acrónimo de:
- General
- Data
- Protection
- Regulation
Y, como puedes imaginar, RGPD son las siglas en castellano de la misma ley (Reglamento General de la Protección de Datos).
Se trata de una ley impulsada a nivel comunitario para generar un nuevo marco jurídico que sea capaz de brindar una mayor protección y legislar de manera más uniforme en todo el territorio europeo en materia de protección de datos personales.
-
-
¿En qué consiste la RGPD o GDPR?
-
Esta ley está promulgada a nivel europeo y es de obligado cumplimiento por parte de las empresas, sociedades, autónomos, comunidades y asociaciones de los estados miembros.
Se caracteriza por establecer algunos nuevos requerimientos que debemos cumplir si no queremos incurrir en la ilegalidad en materia de protección de datos (incluso aunque ya estuviésemos adecuados a la LOPD, ya que la nueva normativa es más restrictiva que esta última y establece un control más minucioso del uso que se hace de la información).
Es importante recalcar el carácter europeo de la ley, ya que prohíbe de manera expresa el envío de los datos recabados fuera del espacio económico de la comunidad si no es a un país que ofrezca plenas garantías. Las reclamaciones deberán ser elevadas ante la autoridad nacional correspondiente.
A nivel de procedimientos, la RGPD exige que exista un conocimiento expreso de la base legal en el momento de recabar los datos.
Es decir, el usuario tiene que ser debidamente informado del tratamiento que se va a hacer de la información que está cediendo y, además, de una manera clara, inequívoca y alejada de tecnicismos que puedan hacer farragosa su interpretación.
Por otra parte, si queremos aplicar de manera correcta la RGPD, tendremos que crear dos nuevas figuras a efectos legales dentro de la empresa: el responsable y el encargado del fichero de datos (que en realidad pueden ser la misma persona dentro de la organización).
El responsable es aquella persona o entidad que crea la base datos en la que se recoge la información personal o, al menos, que decide sobre su uso y gestión. Esta figura, que ya estaba prevista en la ley orgánica de protección de datos, ahora tiene que designar a su vez un encargado.
-
-
La definición de encargado del fichero no deja mucho lugar a la interpretación. Se trata de: “la persona física o jurídica […] que trate datos personales por cuenta del responsable del tratamiento” es decir, desde un perfil interno de la compañía a un servicio jurídico externo contratado por la misma.
Entre las obligaciones de responsable y encargado está la notificación al organismo pertinente (en el caso de España, a la Agencia Española de Protección de Datos) y al afectado tanto la existencia de los datos como del lugar donde han sido almacenados.
Un concepto de gran importancia dentro del nuevo marco legal es el de accountability o responsabilidad activa. Básicamente lo que significa es que todo aquel que gestione bases de datos de carácter personal tiene la obligación de poner por su parte todos los medios y medidas que propicien un uso legítimo de los mismos.
Todos los procesos y procedimientos deben ser auditados internamente. Las medidas de seguridad deben ser máximas, notificando al organismo correspondiente cualquier incidencia, y sólo deben recogerse y emplearse los datos estrictamente necesarios.
Todo esto, idealmente, debería estar documentado en un documento interno.
La nueva normativa pone especialmente el foco en las alertas en casos de violaciones de seguridad, que deberán ser notificadas al organismo correspondiente en un periodo nunca superior a 72 horas.
Esta información también deberá ponerse en conocimiento de los afectados, cuando el riesgo sea considerado alto, en un lenguaje claro y transparente que pueda ser perfectamente entendido por los mismos sin precisar de formación legal, entendiendo el procedimiento que se va a seguir.
Hay que destacar también que la RGDP es extensiva también a los trabajadores, no solo a los clientes. Se debe firmar un contrato de confidencialidad con ellos, y, aunque en parte eso ya estaba recogido en la antigua LOPD, se amplían los supuestos y soportes para llegar a todos los datos del trabajador a los que accede la empresa (control de correo, teléfonos de empresa, grabaciones de circuito cerrado de seguridad…).
-
¿Cuándo entra en vigor la RGPD o GDPR?
-
Lo cierto es que ya tiene efecto. De hecho está activa desde el 25 de mayo de 2016. Antes de asustarte hay que decir que, aunque lleva en vigor casi dos años, se estableció un periodo de carencia y adaptación para que todos los afectados pudieran adecuarse debidamente.
El inicio efectivo del marco legal o, al menos, la obligatoriedad de estar al día lo marca una fecha muy próxima: el 25 de mayo de 2018. A partir de este momento todo aquel que no haya adaptado la captación, tratamiento y gestión de los datos de carácter personal a la RGPD estará en riesgo de ser sancionado.
-
-
¿Qué multas prevé la RGPD o GDPR?
-
La verdad es que las sanciones prometen ser ejemplarizantes. Está previsto que oscilen entre el 2% y el 4% de la facturación anual de la empresa y los 20 millones de euros, que se establecen como máximo.
Evidentemente son multas de una gran cuantía, lo que demuestra que la Unión Europea se empieza a tomar muy en serio el uso comercial de los datos personales.
-
¿Y qué pasa con los datos que tengo almacenados?
-
En principio nada. Siempre y cuando se hayan obtenido de la manera que exige el nuevo reglamento (es decir: con el conocimiento y consentimiento explícito del que los cede) no es necesario realizar una nueva notificación.
Si no se ha hecho de manera legal, sí que es necesario realizar una nueva notificación a los usuarios, pidiéndoles su consentimiento expreso e informándoles del tratamiento previsto de los datos.
Y en cualquier caso, lo que cambia es cómo vas a recabar los datos de tus clientes en el futuro. Si antes podías solicitar la suscripción de tus clientes o la cesión de datos como el email sin más líos legales, ahora es imprescindible que el cliente acepte su cesión y tratamiento en un tick box habilitado a tal efecto.
-
EJEMPLO: Si un usuario comenta en nuestro blog y para ello es necesario que nos ceda su email, para poder comentar debe aceptar la cesión de ese email y el tratamiento que vayamos a darle mediante la aceptación expresa de un texto legal que lo explique. Pero, peor aún, ya no podremos enviar emails de carrito abandonado a usuarios que no se han registrado, lo que pone en la cuerda floja todas las estrategias de retargeting vigentes hasta el momento.
-
¿Cómo adapto mi página a la nueva RGPD?
-
Toda interacción del usuario con la página en la que se produzca un intercambio de datos, ya sea una compra o mecánica promocional, tiene que estar sujeta a este nuevo marco jurídico.
-
Estos son algunos pasos que tienes que seguir para asegurarte una correcta observación de las normas:
- Adaptar los formularios eliminando todos los opt-ins automáticos. A partir de ahora, el usuario debe denotar intencionalidad de manera directa y proactiva para completar la compra o la suscripción. Además, en el formulario es obligatorio que exista una cláusula informativa del tratamiento que se va a hacer de los datos.
-
- Actualizar la Política de Privacidad para que refleje:
- Mención expresa al cumplimiento de la RGPD.
- Constatar qué información estás recogiendo y con qué fin se va a utilizar (en ningún caso puede usarse para otro que el objetivo aquí expuesto).
- Indicar si hay terceras partes que pueden tener acceso a los datos y, en el caso de ser así, informar de quienes son.
- Especificar la identidad del responsable de los datos personales.
- Informar a los usuarios de su derecho de corrección y desistimiento, así como indicarles el proceso para ejercer su derecho a desaparecer de nuestra base de datos. -
- La política de cookies ya no se puede aceptar de manera tácita o implícita (el clásico mensaje de “si continúas navegando se entenderá que aceptas…”). Desde este momento hay que establecer un botón para aceptar de manera directa esta política.
- Registra los datos del usuario que acepta las cookies mediante una base de datos. Esto es básico ante una eventual denuncia o auditoría, ya que deben presentarse los datos justificando que se está adaptando a la RGPD.
- Añade a tus formularios de contacto una casilla de verificación. Es importante que el usuario exprese su consentimiento de manera directa.
-
- Añade un link para ampliar la información en el caso que el usuario quiera hacerlo. Deberás detallar en profundidad:
- La finalidad de los datos
- Legitimación de los datos
- Destinatarios de los datos
- Derechos de los datos
- Información adicional -
- Detalla en tu página de Condiciones Legales quién es el responsable de los datos, con una dirección física y una web donde el usuario que quiera ampliar información o eliminar sus datos pueda contactar.
- En el caso de las páginas que gestionan perfiles, como los eCommerce, debes permitir que los usuarios puedan acceder a sus datos y modificarlos o eliminarlos si así lo desean.
- Asegúrate que tu hosting o servidor es seguro y cumple con el GDPR (Reglamento Europeo de Protección de Datos). Los servidores europeos suelen serlo. En el caso de que tu servidor sea de Norte América, debe estar en la lista “Safe Harbour”.
- Si utilizas aplicaciones externas de analítica, CRM, gestores de correo, etc. asegúrate que cumplen con el GDPR.
- Repasa la redacción de tus condiciones legales y política de cookies. Toda esta información tiene que ser inteligible y clara.
-
Y tú, ¿ya has adaptado tu eCommerce a la RGPD o GDPR? ¿Qué pasos has seguido? ¿Te quedan dudas? ¡Compártelas en los comentarios!
-
Imágenes | Unsplash, Fotolia.