Nuevo Reglamento General de Protección de Datos

23/05/2018   Noticias

Desde hace varias semanas, está en boca de todos la entrada en vigor del nuevo Reglamento General de Protección de Datos, que se hará efectiva mañana, viernes 25 de mayo, y que tendrá un gran impacto en las acciones de marketing y en la forma en que las empresas obtienen, almacenan, gestionan o procesan los datos personales de los ciudadanos.

Esta nueva normativa tiene como objetivo permitir a los ciudadanos un mayor control sobre sus datos personales y generar mayor confianza entre los consumidores que realicen compras online en diferentes estados de la Unión Europea (UE). Por lo tanto, uno de sus efectos es la ampliación de las obligaciones de las empresas, autónomos y administraciones públicas europeas, así como de aquellas compañías ubicadas fuera del ámbito europeo que ofrezcan sus productos o servicios a usuarios de países miembros o que reciban datos personales desde la UE.

A continuación enumeramos algunas de las principales novedades que trae consigo este nuevo reglamento, que contempla también un endurecimiento de las sanciones en caso de incumplimiento:

Nuevos principios

A los principios previstos en la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), se añaden otros nuevos:

- Principio de transparencia, que tiene como objetivo facilitar las relaciones entre el responsable de los datos y el interesado, y que provoca la desaparición de la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control, en este caso la Agencia Española de Protección de Datos (AEPD).

- Principio de limitación de la finalidad, que implica que los datos personales serán recogidos con fines determinados, explícitos y legítimos, que deberán determinarse en el momento de su recogida.

- Minimización de los datos, que supone que los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.

Nuevos derechos de los ciudadanos

La LOPD recogía para los interesados cuatro derechos: acceso, rectificación, cancelación y oposición (ARCO). Con este nuevo reglamento, esta lista se amplía con el derecho a la transparencia de la información, el derecho de supresión (olvido), el derecho de limitación y el derecho de portabilidad. El RGPD también exige que se creen procedimientos visibles, accesibles y de lenguaje sencillo para facilitar al interesado el ejercicio de sus derechos, que tendrá que ser posible también a través de medios electrónicos.

Ampliación del deber de información

Con el nuevo reglamento se exige la obligación de informar sobre la base legal para el tratamiento de los datos acerca del período de conservación, de la posibilidad de efectuar reclamaciones y de los demás derechos que se incorporan.

Obtención del consentimiento para el tratamiento de datos

Se mantiene que el consentimiento debe ser libre, informado, específico e inequívoco, pero, para que sea considerado inequívoco deberá existir una declaración del interesado que manifieste su conformidad, por lo que técnicas habituales llevadas a cabo hasta ahora como el silencio, las casillas ya marcadas o la inacción no constituirán una prueba de consentimiento.

Otra de las principales novedades es el tratamiento de los datos de menores. No podrán ofrecerse servicios de la sociedad de información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley de ámbito nacional establezca una edad inferior, que en ningún caso puede ser menor de los 13 años.

A partir de ahora se exigirá a las empresas una actitud consciente, diligente y proactiva del tratamiento de los datos, con la consecuente aplicación de medidas de seguridad.

Evaluación del impacto del tratamiento de datos personales

Se deberá evaluar el origen, la naturaleza, la particularidad y la gravedad de los riesgos para los derechos y libertades de las personas físicas, además de comunicar las violaciones de seguridad a la autoridad pertinente de protección de datos, la AEPD, en un plazo máximo de 72 horas.

Delegado de Protección de Datos

Esta figura, que asume competencias en materia de coordinación y control del cumplimiento de la normativa, no es obligatoria para todas las organizaciones. Sólo deberán contar con un delegado las empresas públicas, aquellas que tengan un tratamiento de datos a gran escala o las que recojan datos especialmente sensibles.

Autoridades de protección de datos

Se mantendrán las autoridades nacionales y sus funciones, pero pasarán a estar coordinadas por un organismo dependiente de la Comisión Europea: el Comité Europeo de Protección de Datos.

Atención a las cookies de la página web

La ley obliga a informar a los usuarios y a obtener su consentimiento para utilizar o instalar cookies, y prevé sanciones importantes en caso de incumplimiento. Si únicamente se utilizan cookies técnicas, o bien si éstas son necesarias para prestar un servicio solicitado por el cliente, pueden instalarse sin permiso expreso.

En definitiva, a partir de ahora las empresas tendrán que cuidar más la seguridad de los datos, ya que serán responsables de la gestión de los datos personales que manejen y, sobre todo, de su seguridad. Es importante formar a los trabajadores en este ámbito y no permitir que se deje a la vista información sensible de clientes o terceras personas en las que figuren el nombre, el teléfono o la dirección de correo electrónico.

Si tenéis dudas sobre la aplicación de esta normativa, la Agencia de Protección de Datos ha creado una herramienta de ayuda, Facilita, destinada a aquellas empresas que realizan tratamientos de datos personales que, a priori, implicarían escaso nivel de riesgos (como puede ser el caso de los talleres de reparación) tales como datos de contacto y facturación de los clientes o proveedores o de los empleados.