El nuevo Reglamento General de Protección de Datos (RGPD) entra en vigor el próximo 25 de mayo de 2018
¿Qué cambios trae el RGPD? , ¿cómo afecta al consentimiento informado?, ¿cuáles son las sanciones?
El 25 de mayo de 2016 la Unión Europea aprobó el Reglamento General de Protección de Datos (RGPD), con el objetivo de contar con una política de protección de datos única en todo el territorio de la unión, que será de obligatorio cumplimiento a partir del próximo 25 de mayo. Dicho reglamento reemplaza a cualquier ley en dicha materia de los países miembros, como a la Ley Orgánica de Protección de Datos (LOPD) y al Reglamento Real Decreto 1720/2007, en el caso de España.
Con esta ley, el usuario tendrá mayor protección de su privacidad y más derechos con respecto al tratamiento de sus datos. Paralelamente, se generará mayor confianza, lo que permitirá un mayor desarrollo de la economía digital.
La protección del usuario se ve reforzada con nuevos derechos y modificaciones de los existentes que le otorgan mayor poder y control sobre sus datos.
Algunos de los nuevos derechos incorporados en el RGPD son:
- TRANSPARENCIA e INFORMACIÓN: las empresas tienen que ofrecer al usuario información sencilla, completa e inteligible. Además, el usuario tiene derecho a ser informado de posibles violaciones en los datos personales, antes de las 72 horas después que la empresa haya constatado el problema de seguridad. La violación tendrá que documentarse internamente y notificarse de forma clara al interesado, incluyendo sus consecuencias y las medidas para poner remedio.
- CONSENTIMIENTO INEQUÍVOCO: Ya no se admite consentimiento tácito, como puede ser el silencio, las casillas ya marcadas o la inacción.
- DERECHO AL OLVIDO: El usuario puede solicitar en cualquier momento que se eliminen sus datos personales en redes sociales y en los buscadores de Internet. Además, también puede exigir que sus datos se eliminen una vez se haya cumplido con el fin para el que fueron recogidos.
- DERECHO A LA LIMITACIÓN DEL TRATAMIENTO. Permite al ciudadano solicitar el bloqueo temporal del tratamiento de sus datos cuando existan dudas acerca de la finalidad del mismo.
- PORTABILIDAD DE LOS DATOS. El ciudadano puede pedir que se le transfieran los datos personales de un proveedor de servicios en Internet a otro.
- DENUNCIAS. Se podrán presentar denuncias a través de asociaciones de usuarios.
- INDEMNIZACIONES. Se reconoce la posibilidad de exigir indemnización de daños y perjuicios derivados del tratamiento ilícito de los datos personales.
¿Qué cambios introduce el Reglamento General de Protección de Datos con respecto a la LOPD?
1. Acerca del deber de informar
La actual LOPD obliga a que las empresas den información al usuario en el momento en el que se soliciten datos de carácter personal sobre:
- La existencia del fichero, su finalidad y destinatarios.
- El carácter obligatorio o no de la respuesta, así como de sus consecuencias.
- La posibilidad de ejercitar los derechos ARCO de acceso, rectificación, cancelación y oposición.
- La identidad y datos de contacto del responsable del tratamiento.
El RGPD añade que se informe, a mayores, sobre:
- Los datos de contacto del Delegado de Protección de Datos o la base jurídica o legitimación para el tratamiento
- El plazo o los criterios de conservación de la información
- La existencia de decisiones automatizadas o elaboración de perfiles
- La previsión de transferencias a Terceros Países
- El derecho a presentar una reclamación ante las Autoridades de Control
Esta información debe de estar puesta a disposición del interesado en el momento en el que se soliciten los datos, previamente a la recogida o registro de los mismos, en el caso de que los datos se obtengan directamente del interesado. Las autoridades de Protección de Datos recomiendan adoptar un modelo de información por capas o niveles que incluyan los epígrafes siguientes: responsable, finalidad, legitimación, destinatarios, derechos y, si fuese necesario, procedencia. Preferentemente el modelo se presentará en forma de tabla y estará identificada con un título tal como “Información básica sobre protección de datos”.
Ejemplo básico para la suscripción a lal blog de Alsernet:
Información básica sobre Protección de Datos | |
Responsable | Alsernet 2000 S.L. + info |
Finalidad | Gestionar el envío de información de interés para el usuario + info |
Legitimación | Consentimiento del interesado + info |
Destinatarios | No se cederán datos a terceros, salvo obligación legal + info |
Derechos | Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional + info |
Información adicional | Puede consultar la información adicional y detallada sobre Protección de Datos en nuestra página web: https://www.alsernet.es/aviso-legal |
En cada epígrafe habrá un enlace a la información adicional (segunda capa) en donde se completará con todos los detalles la información resumida anteriormente. Así por ejemplo, en lo referente al responsable hay que incorporar datos como la dirección postal y la dirección electrónica.
Las inscripciones de los datos en la Agencia Española de Protección de Datos (AEPD) ya no será necesaria. Las empresas tienen la obligación de llevar registro interno. De esta manera se eliminan las trabas burocráticas y se agilizan los procesos. Aparece la figura del Delegado de Protección de Datos (DPD), a la que el RDPD otorga un papel destacado y es el encargado de poner en práctica las medidas para limitar el acceso a los datos únicamente para los fines que se han requerido, velando siempre por la confidencialidad.
2. El consentimiento
Es importante los cambios a la hora de obtener el consentimiento. La nueva RGPD dice en su artículo 32: “El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen.”
Es decir:
- Libre: es decir, debe de tener opción de aceptar o no, sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil. Además, el interesado puede retirar el consentimiento en cualquier momento y debe poder hacerlo con la misma facilidad que para darlo.
- Específico: referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento. En ningún caso se puede ampliar la finalidad una vez el usuario ha consentido la recogida y el tratamiento de sus datos. Si hubiese más de un fin para los datos, deberá solicitarse para cada uno de ellos.
- Informado, es decir, que el afectado conozca con anterioridad al tratamiento la existencia del mismo y las finalidades para las que el mismo se produce.
- Inequívoco: no se puede deducir el consentimiento de determinados actos que realice el usuario, es decir, de un “consentimiento presunto” como puede “el silencio, las casillas ya marcadas o la inacción”. Es necesario que exprese claramente una acción que implique que hay consentimiento. No son válidas aceptaciones tácitas como ocurría hasta ahora en la LOPD con casillas ya marcadas.
3. Sanciones
Las multas previstas por el RGPD son mucho más elevadas que por la LOPD. Los interesados podrán reclamar ante una autoridad de control cuando no se cumplan las normas de protección de datos y las sanciones a las que se enfrentan los responsables del tratamiento podrán ser de hasta 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior cuando se trate de una empresa.
La adhesión a un código de conducta o un mecanismo de certificación demostrará que se cumplen con las obligaciones y tienen el deber de cooperar con la autoridad de control ofreciéndoles los registros en caso de que ésta los solicite.
Hemos encontrado dos ejemplos de ecommerce que ya han implementado la RGPD en su web:
Ejemplo de modelo de consentimiento de recogida de datos personales según el RGPD en Kiehl’s
Ejemplo de modelo de consentimiento de recogida de datos personales según el RGPD en El Corte Inglés
La Agencia Española de Protección de Datos (AEPD) ha publicado la GUÍA PRÁCTICA DE Análisis de riesgos en los tratamientos de datos personales sujetos al RGPD.
Con todos estos cambios y otras nuevas incorporaciones que no han sido detalladas en este post, las empresas tiene que revisar sus actuales modelos de conformidad con la LOPD y adaptarlas al nuevo Reglamento antes de su entrada en plena aplicación el próximo 25 de Mayo. Si tienes dudas o quieres que te implementemos el nuevo modelo en tu tienda online o web corporativa, no dudes en ponerte en contacto con nosotros pinchando aquí o llámanos al 902 187 187.
Fuentes:
¿Qué te pareció el post?
0 comentario(s)
Aún no hay comentarios, ¿quieres ser el primero?