¿Qué es el nuevo RGPD (GDPR)? - Dataplus consulting

¿Qué es el nuevo RGPD (GDPR)?

¿Qué es el nuevo RGPD (GDPR)?

El día 25 de Mayo entró en vigor en toda Europa el nuevo RGPD, en inglés GDPR (General Data Protection Regulation), que sustituye a la LOPD. El RGPD es una normativa que afecta a todas aquellas empresas que traten datos de los ciudadanos europeos aunque sean de Estados Unidos, como Google o Facebook. La principal novedad es que a partir del 25 de Mayo tendrás que dar tu consentimiento inequívoco para que las empresas puedan usar tus datos si eres ciudadano europeo. Es más, te tendrán que decir qué datos están utilizando, cómo los están tratando, para qué y quién es la persona responsable de los mismos.

Las grandes multas a las que se enfrentan quienes no cumplan con ella son uno de los puntos más controvertidos y mediáticos. Pero detrás de estas siglas también se esconde una nueva manera de informar a los usuarios sobre qué información cedemos y para qué se usa, lo que redundará en una mejora de las condiciones de tratamiento de los datos personales por parte de las empresas.

Pero lo primero de todo vamos a conocer un poco más a fondo qué es y en que nos afecta el nuevo Reglamento General de Protección de Datos.

Qué es GDPR (o RGPD)

GDPR, por sus siglas en inglés (General Data Protection Regulation), o RGPD por sus siglas en español (Reglamento General de Protección de Datos) es la nueva normativa que regula la protección de los datos de los ciudadanos que vivan en la Unión Europea.

El reglamento entró en vigor el 24 de mayo de 2016, pero será de obligado cumplimiento a partir del 25 de mayo de 2018.

Durante estos dos años, la Ley Orgánica de Protección de Datos (LOPD) ha seguido vigente, pero tiene fecha de caducidad. De hecho, se estima que para el último trimestre de 2.018 se apruebe una nueva ley (está ahora mismo en proceso de tramitación parlamentaria) que permita o facilite la aplicación del Reglamento a nivel nacional. Esta nueva ley no puede contradecir al GDPR, pero sí que definirá mejor algunos de sus aspectos (cuando un usuario es considerado menor, por ejemplo).

Se trata de la primera norma sobre esta materia que afecta a todos los países de la Unión Europea y unifica, por tanto, tanto los derechos como las obligaciones.

De hecho, durante años fue una reivindicación de muchas empresas y sectores, como el tecnológico, quienes tenían que hacer frente a 28 legislaciones diferentes sobre el uso y tratamiento de datos personales para poder ofrecer sus servicios en Europa.

A quién afecta GDPR

Esta nueva normativa determina que todas las empresas, independientemente de su país de origen o de actividad, deberán cumplirla si recogen, guardan, tratan, usan o gestionan algún tipo de dato de los ciudadanos de la Unión Europea. Y, por supuesto, nos afecta a todas las personas que vivimos en la Unión Europea.

GDPR va a ofrecer nuevas herramientas para que los usuarios sepamos qué
datos cedemos, cómo se guardan, quién accede a ellos y para qué se utilizan


El nuevo RGPD (GDPR) amplía los derechos de privacidad como individuo.

Este reglamento recoge y reconoce el derecho al olvido y el derecho a la portabilidad.

El primero establece que los ciudadanos podemos solicitar y lograr que nuestros datos personales sean eliminados cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita.

Mientras, el derecho a la portabilidad te permite que, si tus datos se están tratando de modo automatizado, puedas recuperarlos en un formato para cederlos a otro responsable. Estos datos deben estar «en un formato estructurado, de uso común y lectura mecánica (por ejemplo un excel) para que puedas transmitirlos fácilmente a otro responsable y facilitar así un cambio de proveedor. 

Otro de los nuevos derechos que contempla GDPR es el de acceso. Así, podrás pedir a las empresas que te confirmen si tus datos se están procesando, dónde y con qué propósito. Si lo haces, puedes pedir también una copia de tus datos personales sin que se te cobre por ello.

Pero, ¿qué es un dato personal?. Se considera dato personal cualquier información relacionada con una persona física que se puede utilizar para identificarla directa o indirectamente.

Puede ser cualquier cosa, desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales, información médica o una dirección IP de un ordenador.

Para que una empresa pueda utilizar estos datos, tendrás que dar tu consentimiento. Pero ya no se hará como hasta ahora, cuando las empresas suelen utilizar largos términos ilegibles y condiciones plenas de jerga legal o consentimientos implícitos por el uso de sus servicios o productos.

Con la entrada en vigor de RGPD (GDPR), la solicitud de consentimiento debe darse en una forma inteligible y de fácil acceso, con el propósito del procesamiento de datos adjunto a ese consentimiento. Es decir, que el consentimiento debe ser inequívoco, claro y distinguible de otros asuntos. Las empresas tendrán que mostrar sus condiciones de forma inteligible y de fácil acceso, usando un lenguaje claro y sencillo.

Esto implica dos cosas. Por un lado, que cuando te des de alta en un servicio, web, aplicación o producto, el aceptar los términos de uso irá por un lado y, por otro, todo lo relativo al tratamiento de tus datos.

Por otro lado, dejaremos de ver casillas premarcadas para el envío de publicidad, consentimientos tácitos para comunicaciones comerciales o cesiones de datos. A partir del 25 de mayo, las empresas están obligadas a informarte sobre cada finalidad del tratamiento de los datos, «la legitimación para su recogida y uso, y en su caso, la obtención del consentimiento por separado para cada finalidad», por lo que empezaremos a ver más casillas para que aceptes cada uno de estos aspectos.

Incluso se está estudiando la posibilidad de crear unos iconos estandarizados para facilitar la transmisión y comprensión de estas condiciones.

El usuario tendrá en sus manos el leer y aceptar las políticas de privacidad, por muy fáciles y sencillas que sean.

¿Quiere esto decir que recibiremos una avalancha de peticiones para que demos nuestro consentimiento en todos los servicios, aplicaciones y web en los que estemos dados de alta?

El RGPD nos dice es que los tratamientos que estén basados en un consentimiento de los interesados y que se haya obtenido antes de que el GDPR sea aplicable (es decir, del 25 de mayo). Si ese consentimiento previamente no se obtuvo de forma conforme al reglamento, ese consentimiento ya no es válido. Lo más normal es que las empresas adviertan a los usuarios de que están tratando sus datos con un consentimiento que ya no es válido y hay que volver a darlo de forma correcta. Además, en el caso de que un usuario denuncie que los datos se han cogido de forma ilícita es el denunciado quien debe probar que tenía los datos de forma lícita y conforme a los principios del RGPD.

Otro de los cambios importantes tiene que ver con las brechas de seguridad y violaciones de datos.

Con la entrada en vigor del RGPD (GDPR) las empresas deberán informar en un plazo de 72 horas de que han sufrido un incidente de seguridad. Y no sólo deberán dar parte a las autoridades competentes (en el caso de España, la Agencia de Protección de Datos), sino también a todos aquellos usuarios cuyos datos se hayan podido ver comprometidos.

Las empresas, además, deberán tener un responsable de los datos si procesan datos personales para dirigir publicidad a través de motores de búsqueda basados en el comportamiento en Internet de las personas o si tratan datos especialmente sensibles, como de salud o datos personales de menores.

El límite de 72 horas puede suponer un verdadero desafío para las empresas.

Aquí entra en juego el responsable de los datos (Chief Data Officer, CDO en inglés). No todas las empresas deben tener uno, pero de haberlo se encargará de informar y asesorar a los empleados sobre sus obligaciones bajo la ley de protección de datos; supervisar el cumplimiento de la legislación (incluidas las auditorías, actividades de sensibilización y la capacitación del personal) y actuar como un punto de contacto para las solicitudes de las personas con respecto al procesamiento de sus datos personales y el ejercicio de sus derechos, entre otras.

Las sanciones previstas por RGPD (GDPR) es uno de los temas más polémicos y controvertidos.

Las organizaciones pueden ser multadas con hasta el 4% de la facturación global anual por infringir RGPD (GDPR) o € 20 millones de Euros. Ésta es la multa máxima que se puede imponer por las infracciones más graves. Por ejemplo, no tener suficiente consentimiento del cliente para procesar datos o violar el núcleo de los conceptos de Privacidad por Diseño.

Existe un enfoque escalonado para multas. Así, una empresa puede recibir una multa del 2% de su facturación por no tener sus registros en orden, sin notificar a la autoridad supervisora y al sujeto de los datos sobre una infracción o la no realización de la evaluación de impacto.

Además, el nuevo RGPD (GDPR) introduce el concepto de ventanilla única, lo que facilitará la presentación de denuncias en toda Europa, «lo que da al usuario un mayor poder».

GDPR va a ofrecer nuevas herramientas para que los usuarios sepamos qué
datos cedemos, cómo se guardan, quién accede a ellos y para qué se utilizan


En resumen, la Unión Europea defiende que RGPD (GDPR) es un paso esencial para fortalecer los derechos fundamentales de los ciudadanos en la era digital y facilitar los negocios mediante la simplificación de las normas para las empresas en el mercado único digital.

Si tienes una empresa y necesitas cualquiera de nuestros servicios desde Dataplus Consulting estaremos encantados de asesoraros y poderos ayudar para que cumpláis con el nuevo RGPD de forma sencilla y ajustada. Somos profesionales del sector desde hace más de 10 años. Para cualquier solicitud de presupuesto o información añadida no dudes en contactarnos. Os esperamos.

 



Abrir chat
1
¿Necesitas ayuda?
DataPlus Consulting
Hola 👋
¿en qué podemos ayudarte?