Seguro que en los últimos meses y sobre todo en los últimos días, has sido bombardeado por correos electrónicos de empresas que trataban de conseguir la renovación del consentimiento para seguir recibiendo envíos por ese medio. Posiblemente hayas revisado algunos aspectos del nuevo reglamento pero te habrás dado cuenta de que muchos conceptos del mismo han quedado poco definidos y abiertos a múltiples interpretaciones, ya que no existe un conjunto de acciones obligatorias claras.
Este post intenta ser una guía con claves sobre cómo cumplir con el RGPD, el Reglamento General sobre Protección de Datos (también denominado GDPR por su siglas en inglés), centrado en las cuestiones prácticas que nos afectarán a todos en nuestra actividad diaria. Hemos concentrado las cuestiones que suscitan especial interés en cuatro puntos, pero es un tema de bastante complejidad por ello para implementarlo recomendamos el asesoramiento de un profesional que domine la materia.
El RGPD se centra en múltiples cuestiones pero desde una visión práctica, tanto de empresario como de consumidor, podemos concretarlo en los siguientes puntos
1. Importancia del consentimiento expreso e inequívoco.
Con esta nueva normativa europea es vital contar con el consentimiento expreso e inequívoco de la persona que nos cede sus datos personales para poder utilizarlos, además ese consentimiento debe de estar íntimamente ligado a una finalidad, siendo esa finalidad autorizada la única para la que podemos usar esa información personal. Dicho de otro modo, si nos ceden los datos para gestiones administrativas no podemos contactar con la persona para venderle otro servicio. La cesión de esos datos autorizados debe de estar también incluida en el consentimiento expreso e inequívoco suscrito, en caso contrario tampoco podemos ceder esa información personal
2. Principios que debe de cumplir tu gestión sobre protección de datos.
A las empresas se las abre un nuevo escenario en esta materia ya que se aumentan considerablemente sus obligaciones, y más que sus obligaciones, su forma de afrontar esta materia, se las impone principalmente la obligación de tener una estrategia para afrontar estos temas.
Por ello, concretamos la indicación en los siguientes principios:
– Proactividad. Las empresas, profesionales o entidades responsables del fichero van a tener la obligación de ser proactivos, es decir, no vale simplemente con cumplir unos requisitos formales y guardar los documentos en un cajón y no implementarlo en la actividad diaria, todo lo contrario, es nuestra actividad diaria la que tiene que contar con unas previsiones para cumplir la normativa sobre protección de datos.
Por ello, es aconsejable contar con alguien que elabore estrategias para recoger el consentimiento, controlar los contratos de acceso a datos por cuenta de terceros, firmar los contratos de confidencialidad de los empleados, controlar lo que se publica en la redes sociales, si puede afectar a la empresa o a la privacidad de terceros… y por supuesto preocuparse de que se cumplan las medidas de seguridad que se han establecido que garantizan que los riesgos a los que se verán sometidos los datos personales de los terceros con los que interactuamos serán minimizados al máximo.
– Obligación de comunicar incidencia: En el momento que suframos una incidencia que afecte a seguridad de la información, debemos de comunicar esa incidencia la entidad de control, en este caso la Agencia Española de Protección de Datos, para que la misma la registre y tome las medidas necesarias para salvaguardar los derechos de los terceros. El plazo de comunicación es de 72 horas.
– Transparencia: Las empresas tiene la obligación de informar claramente a los ciudadanos como se utilizan sus datos personales y como se han obtenido.
3. El usuario tiene nuevos derechos ¿los conoces?.
El RGPD fortalece la figura del usuario que cuenta con nuevos derechos, de los que debemos de reseñar los siguientes:
– Derecho al olvido. Se refuerza el derecho al olvido, o derecho a ser borrado de internet, hablando de forma coloquial, que ya existía, pudiéndose canalizar a través de la Agencia Española de Protección de Datos. En estos casos hay que valorar su entrada en contradicción con el derecho a la información.
– Derecho a la portabilidad. Consiste en la posibilidad de recibir toda la información completa con los datos personales de cada uno, algo necesario en caso de cambiar de servicio con otra empresa. El RGPD introducirá, al menos, unos derechos inexistentes hasta ahora como el de la posibilidad de descargarse sus datos en un formato electrónico, así como solicitarle a la empresa que remita esos datos personales a otra para ser dados de alta en otro servicio.
– Mayor protección del menor: La LOPD establece una edad mínima de 14 años para poder ingresar, a los diferentes servicios digitales (Redes sociales, correo electrónico, sistemas de mensajería…). Con la puesta en marcha del RGPD, se asciende esa edad hasta los 16 años. Los servicios digitales deberán recabar el consentimiento de los usuarios de mayor edad y, en caso de no alcanzarla, habrá que contar con la aprobación de los tutores o padre.
4. ¿Necesitas un delegado de protección de datos (DPO)?.
Esta es la pregunta que debe de hacerse cualquier responsable de una empresa o entidad que maneja datos personales, tengo que incorporar a mi plantilla a un profesional que gestione esta materia.
El RGPD establece la obligación de que todas las empresas de más de 250 trabajadores o de menos de 250 trabajadores que gestionen datos de forma masiva, tienen la obligación de incorporar los servicios de un DPO. Las funciones del DPO es encargarse de que se cumpla la normativa sobre privacidad y actuar como interlocutor con la Agencia Española de Protección de Datos.
La figura del DPO puede ser personal de la empresa, en ese caso cuenta con protección laboral, para entendernos es una figura similar a un delegado sindical, o puede sr una persona subcontratada que nos cobre por sus servicios.
La figura del DPO en el proyecto de Ley Orgánica de Protección de Datos que se está tramitando, en la actualidad está en fase parlamentaria, amplia la obligación del DPO en su artículo 34, estableciendo una detallada especificación de los casos en los que será preceptiva la designación de un DPO. Los supuestos destacados por el precepto mencionado, serían esencialmente:
- Los colegios profesionales y sus consejos generales.
- Los centros docentes y las Universidades públicas y privadas.
- Las entidades que exploten redes cuando traten habitual y sistemáticamente datos personales a gran escala.
- Los establecimientos financieros de crédito.
- Las entidades aseguradoras y reaseguradoras.
- Las empresas de servicios de inversión.
- Los distribuidores y comercializadores de energía eléctrica.
- Las entidades responsables de ficheros comunes para la evaluación de la solvencia patrimonial y crédito o de los ficheros comunes para la gestión y prevención del fraude.
- Las entidades que desarrollen actividades de publicidad y prospección comercial.
- Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas.
- Las entidades que tengan como uno de sus objetos la emisión de informes comerciales que se refieran a personas físicas.
- Los operadores que desarrollen la actividad de juego a través de canales electrónicos, informáticos, telemáticos e interactivos.
- Quienes desempeñen actividades de seguridad privada.
Para finalizar ¿Conoces el factor humano? El factor humano es determinante a la hora de cumplir la normativa sobre privacidad. ¿Están tus empleados suficientemente preparados?
De nada sirve la preocupación de la empresa si las personas que manejan la información no están correctamente preparados para cumplir con la normativa. Siendo responsable la empresa en todo caso frente al incumplimiento.
Por, todo ello, y en atención a la complejidad e importancia del tema, esperamos que este post haya servido para aclarar los aspectos esenciales del RGPD.