Reglamento Europeo de Protección de Datos

29-dic-2017 9:58:41


¿Está preparada tu empresa para la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos?

Escrito por Juan Pablo Sánchez

¿Qué es el Reglamento Europeo de Protección de Datos (RGPD)?

Se trata de nueva norma de la UE que sustituirá a la Directiva de Protección de Datos de la UE de 1995 (DPD) para mejorar significativamente la protección de los datos personales de los ciudadanos de la UE y aumentar las obligaciones de las organizaciones que recopilan o procesan datos de carácter personal.


TABLA DE CONTENIDO

  1. Implicaciones para las empresas
  2. Nuevos derechos para los usuarios
  3. Medidas de seguridad que deberán adoptar las empresas
  4. ¿Cómo puede afectar este nuevo reglamento al marketing digital y al ecommerce?
  5. ¿Los datos deben almacenarse en la UE?
  6. ¿Qué ocurre con la captura de datos si la empresa no está en Europa?
  7. ¿Cómo deben prepararse las empresas ante la entrada en vigor de esta nueva normativa?
  8. El delegado de protección de datos
  9. HubSpot puede ayudar a tu empresa a cumplir con la RGPD

 

El 25 de mayo de 2018 entrará en vigor el nuevo Reglamento Europeo de Protección de Datos (RGPD) y será de aplicación muy similar en la mayoría de los países de la Unión Europea. Se trata de nueva norma de la UE que sustituirá a la Directiva de Protección de Datos de la UE de 1995 (DPD) para mejorar significativamente la protección de los datos personales de los ciudadanos de la UE y aumentar las obligaciones de las organizaciones que recopilan o procesan datos de carácter personal.

 

En España, se va a mantener la LOPD adaptada a ese nuevo reglamento europeo para no entrar en contradicción con él y evitar posibles conflictos. Esta nueva normativa incluye varias disposiciones nuevas para reforzar los derechos de los interesados y agregar sanciones más severas a las empresas por las infracciones que se cometan.

 

Si bien la legislación vigente de la UE (la Directiva de Protección de Datos de 1995) regula las entidades dentro de la Unión Europea, el alcance territorial del RGPD es mucho más amplio, ya que también se aplicará a las empresas no pertenecientes a la UE que comercialicen sus productos en la UE o que monitoricen el comportamiento de ciudadanos en la UE. Dicho de otra manera, incluso si tu empresa no tiene sede en la UE, pero recopilas o procesas datos de ciudadanos de la UE, también estarás obligado a respetar el RGPD.

 

Esta nueva normativa cambiará la forma de obtener los datos de los ciudadanos en todos los estados miembros de la Unión Europea e implica una concienciación global sobre la privacidad de las personas y de las empresas.


RGPD

 

El Gobierno español trabaja en un primer borrador del anteproyecto de ley de modificación de la Ley Orgánica de Protección de Datos (LOPD), un cambio necesario ante la entrada en vigor del próximo Reglamento Europeo de Protección de Datos en mayo de 2018.

 

Actualmente, en España tenemos dos leyes vigentes: la Ley Orgánica de Protección de Datos de Carácter Personal, la LOPD, del año 1999 y la ley 34/2002 de Servicios de la Sociedad de la Información y Comercio Electrónico. Estas dos normativas son las que se utilizan en la actualidad para regular y legislar las relaciones de las sociedades con el mundo digital.

 

Implicaciones para las empresas

 

Las empresas tendrán que examinar toda la normativa de privacidad de datos que siguen en este momento. Principalmente, porque el consentimiento de los usuarios que prestan su conformidad a que una compañía determinada trate sus datos personales tendrá que cumplir una serie de requisitos.

 

  1. Que sea libre
  2. Que sea informado
  3. Que sea expreso e inequívoco

 

La persona que presta ese consentimiento deberá hacerlo de forma libre, sin ningún tipo de coacción. El RGPD aumenta el estándar para las divulgaciones al obtener ese consentimiento, ya que este debe ser “dado libremente, específico, informado e inequívoco” y los responsables del tratamiento de datos deben emplear un lenguaje legal “claro y sencillo” que se “distinga claramente de otros asuntos”.

 

La empresa deberá informar en cada caso con qué fines y en qué condiciones va a utilizar esos datos. Esencialmente, no se puede obligar a los clientes a dar su consentimiento y estos no pueden desconocer que están otorgando dicho consentimiento para el tratamiento de sus datos personales.

 
Reglamento General de Protección de Datos


Los usuarios deberán saber exactamente para qué están otorgando su consentimiento y han de ser informados previamente de su derecho a retirarlo si lo desean. Obtener el consentimiento requerirá, por tanto, una indicación positiva de acuerdo.

 

El consentimiento no podrá ser inferido de la ausencia de afirmaciones (silencio de la parte interesada), de casillas marcadas de manera predeterminada o de la inactividad, lo que significa que informar al usuario durante el proceso de autorización se volverá más importante tras la implementación del reglamento.

 

El usuario tendrá que manifestar expresamente que se pueden tratar sus datos, y ese consentimiento se dará de forma expresa.

 

Nuevos derechos para los usuarios

Derecho al olvido:

El reglamento también integra dos nuevos derechos para las partes interesadas; el derecho al olvido exige que los responsables del tratamiento de los datos alerten a los destinatarios subsiguientes sobre las peticiones de eliminación de datos.

 

Derecho a la portabilidad de datos:

Este derecho permite que los interesados soliciten una copia de sus datos en un formato común.

 

Estos dos derechos harán que sea más fácil para los usuarios solicitar que cualquier información almacenada se elimine o que la información recopilada se comparta con ellos. A partir de la entrada en vigor del nuevo RGPD, los usuarios podrán:

 

  • Obtener detalles del tratamiento de sus datos por parte una organización o empresa.
  • Obtener copias de los datos personales que una organización tiene de ellos.
  • Solicitar que se corrijan datos incorrectos o incompletos.
  • Solicitar que se eliminen datos que una compañía no tenga motivos legítimos para retener.
  • Obtener sus datos de una organización y pedir que se transfieran a otra empresa (portabilidad de datos).
  • Oponerse al tratamiento de sus datos por parte de una organización en determinadas circunstancias.
  • No someterse (con algunas excepciones) a la toma automatizada de decisiones, incluida la elaboración de perfiles.

 

OWASP-Sensitive-Data-Exposure-845173-edited.png


Por estos motivos, las empresas deberán revisar sus políticas de privacidad y tendrán que adoptar una serie de medidas de seguridad adecuadas en función del volumen y del tipo de datos que se traten. Dependiendo del tipo de infracción en cuestión, los responsables y encargados que no velen por el buen procesamiento de los datos personales o que incumplan de alguna manera los derechos de las partes interesadas podrían incurrir en multas de hasta 20 millones de euros o el 4 % de su ingreso anual global (la cifra que sea mayor).

 

Medidas de seguridad que deberán adoptar las empresas

 

El nuevo reglamento dice que se tendrán que adoptar las medidas que se consideren adecuadas en el mercado. En la actualidad, existen normativas ISO y será necesario conocerlas para ver qué medidas es necesario adoptar en cada caso. Algunas veces serán suficientes y otras, insuficientes. La propia Agencia Española de Protección de Datos orientará a las empresas en este sentido a través de comunicados o circulares que irá emitiendo.

 

La nueva normativa europea implicará un cambio radical en la obtención y captura de datos por parte de empresas y agencias. El mayor cambio vendrá dado por la obtención del consentimiento. En la actualidad se permite recibir un “consentimiento tácito”, que significa que si alguien no dice lo contrario se entiende que se acepta la obtención de datos. Este sería el caso de los datos obtenidos mediante las cookies de la web.

 

En el caso de los formularios, lo que habrá que hacer es crear una casilla de verificación en la que el usuario pueda marcar su consentimiento para todas las finalidades con las que se tratarán sus datos. Este debería estar informado acerca de para qué y en qué condiciones se va a usar esa información.


Política de privacidad web

 

Aun así, la frontera entre la legalidad y la ilegalidad de la “Política de cookies” no está del todo definida. Mientras que el nuevo reglamento es muy estricto en lo que a formularios se refiere, no interpreta una cookie como una forma de obtención de un dato de carácter personal. Quizás dentro de unos meses se interpretará que estas cookies deberán cumplir con el reglamento europeo de protección de datos, pero de momento la Agencia no ha entrado en este debate.

 

¿Cómo puede afectar este nuevo reglamento al marketing digital y al ecommerce?

 

Al igual que en el resto de los casos, tanto en el ecommerce como en el sector del marketing digital, la obtención explícita del consentimiento por parte del usuario para tratar sus datos va a ser el aspecto clave para actuar conforme a la normativa.

 

Respecto al tema de elaboración de perfiles y segmentación, ponemos un ejemplo práctico: el usuario que compra en un portal suele rellenar un formulario ligado a una política de privacidad. En este caso, sería legal que la empresa utilizase esos datos para realizar campañas de emailing promocionando ofertas vinculadas al portal, como ya se hace hoy en día. Lo que cambiará con la entrada en vigor de la nueva normativa europea será que para realizar, por ejemplo, un análisis de perfiles, se necesitará el consentimiento expreso del usuario. Y respecto a los píxeles de seguimiento que se consiguen y utilizan a través de grandes plataformas, deberemos remitirnos a las políticas de privacidad de cada una de ellas.

 

¿Los datos deberán almacenarse en la UE?

 

No existe ninguna obligación en el RGPD de almacenar los datos en la UE, y las normas relativas a la transferencia de datos personales fuera de la UE no cambiarán. Esto significa que los datos se pueden transferir al extranjero siempre y cuando se encuentren “protegidos adecuadamente”.

 

Por ejemplo, la UE ha elaborado una lista de países que considera que proporcionan un nivel de protección adecuado (conocidos como “países de la lista blanca”), por lo que está permitido transferir datos a esos países. Cuando un país no figura en esa lista de la UE (como por ejemplo, Estados Unidos), el responsable del tratamiento debe recurrir al uso de disposiciones contractuales aprobadas (por ejemplo, las cláusulas modelo o las normas empresariales obligatorias) u otra medida alternativa determinada por la ley, como la certificación del Escudo de la Privacidad.

 

¿Qué ocurre con la captura de datos si la empresa no está en Europa?

 

En este caso, habrá que comprobar en primer lugar si la empresa está adherida al acuerdo de protección de datos Escudo de la Privacidad y luego saber si ese proveedor dispone de unas cláusulas específicas que cumplan con la normativa de los diferentes países en los que opera. Así, estas plataformas norteamericanas tendrán que adaptarse a la normativa europea si no quieren arriesgarse a recibir las sanciones que antes hemos comentado.


Captura datos

 

¿Cómo deben prepararse las empresas ante la entrada en vigor de esta nueva normativa?

 

Más que un cambio en la norma será un cambio en la aplicación de la norma. Será necesario trabajar el tema de la obtención del consentimiento. El consejo de los expertos es:

  • Dar unas primeras pautas
  • Trabajar de forma interna las obligaciones que se van a tener y cómo ejecutarlas.
  • Esperar a ver cómo evoluciona la normativa, el anteproyecto de ley que prepara el Gobierno español.
  • Conocer la interpretación de la Agencia Española de Protección de Datos.
  • Fijarse en qué están haciendo la competencia y nuestros referentes.

 

En función de eso, llegado el momento y antes del 25 de mayo de 2018, deberemos tener preparada nuestra versión de cómo vamos a obtener ese consentimiento para recopilar los datos de los usuarios.

 

Para realizar una rápida evaluación y saber si tu empresa está preparada para cumplir con este reglamento, puedes contestar y valorar las siguientes preguntas:

Recopilación de datos

  • ¿Qué datos personales recopilamos/almacenamos?
  • ¿Los obtenemos de manera honesta? ¿Tenemos los consentimientos necesarios y se informa debidamente a las partes interesadas sobre el propósito específico para el que utilizaremos sus datos? ¿Fuimos claros y precisos sobre ese propósito y les informamos sobre su derecho a retirar el consentimiento en cualquier momento?
  • ¿Nos aseguramos de no retener los datos más tiempo del necesario y de mantenerlos actualizados?
  • ¿Protegemos los datos empleando un nivel de seguridad apropiado en función del riesgo? Por ejemplo, ¿se requerirá cifrar o usar pseudónimos para proteger los datos personales que poseemos? ¿Limitamos el acceso para asegurarnos de que solo se estén utilizando para el fin previsto?
  • ¿Recopilamos o procesamos alguna categoría especial de datos personales, como datos personales confidenciales, datos de menores, datos biométricos o genéticos, etc.? Si es así, ¿cumplimos con los estándares para su recopilación, procesamiento y almacenamiento?
  • ¿Transferimos datos personales fuera de la UE? Si es así, ¿contamos con la protección adecuada?


slider-security-584252-edited.jpg

Plan de proyecto del RGPD

  • ¿Hemos creado un plan de proyecto para garantizar el cumplimiento antes de mayo de 2018?
  • ¿Hemos obtenido la aceptación a nivel ejecutivo para garantizar que contamos con los recursos y el presupuesto necesarios para el desarrollo del proyecto?
  • ¿Necesitamos una evaluación de impacto de la privacidad de datos?
  • ¿Necesitamos contratar a un delegado de protección de datos?
  • ¿Implementamos una política de protección de datos, basada en el diseño y por defecto, para garantizar que estamos considerando sistemáticamente el impacto potencial que un proyecto o una iniciativa podría tener sobre la privacidad de las personas?
  • ¿Hemos considerado cómo procesamos los datos de los empleados en nuestro plan?

 

Procedimientos y controles

  • ¿Se informó a los miembros de nuestro equipo de seguridad que deben ser conscientes de sus obligaciones en el marco del RGPD? ¿Cuentan con los recursos suficientes para implementar los cambios necesarios y los nuevos procedimientos?
  • ¿Disponemos de procedimientos para atender las solicitudes de los interesados que desean modificar, eliminar o acceder a sus datos personales? ¿Cumplen estos procedimientos con las nuevas normas del RGPD?
  • ¿Disponemos de procedimientos oportunos de notificación de seguridad para garantizar que cumplimos con nuestras obligaciones de denuncia reforzadas en el RGPD en caso de incumplimiento en el tratamiento de los datos?
  • ¿Nuestro personal está capacitado en todas las áreas de la privacidad de datos de la UE para garantizar que manejan los datos en virtud de la ley?
  • ¿Revisamos y auditamos regularmente los datos que poseemos?

 

Documentación

    • ¿Contamos con una política de privacidad? Si es así, ¿necesitamos actualizarla para cumplir con el RGPD?
    • ¿Tenemos una política definida sobre los períodos de retención para todos los datos personales, desde datos de clientes, clientes potenciales y proveedores hasta datos de empleados? ¿Es compatible con el RGPD?
    • ¿Nuestros procedimientos internos se encuentran documentados adecuadamente?
    • Si somos un encargado del tratamiento de datos, ¿hemos actualizado nuestros contratos con los responsables pertinentes para garantizar que incluyen las disposiciones obligatorias establecidas en el Art. 28 del RGPD?
  • En caso de que nuestros proveedores terceros procesen datos personales en nuestro nombre, ¿nos hemos asegurado de que nuestros contratos con ellos están actualizados para incluir los requisitos del RGPD?

 

El delegado de protección de datos

 

En términos de seguridad, el RGPD obligará a muchas empresas a nombrar a un delegado de protección de datos (DPO) para ayudar a supervisar los esfuerzos de su cumplimiento. Las organizaciones que necesitarán contar con la figura del DPO serán autoridades públicas y organizaciones cuyas actividades implican el seguimiento de manera regular y sistemática de los datos a gran escala u organizaciones que procesan lo que actualmente se conoce como datos personales de carácter confidencial. Los DPO también ayudarán en la supervisión de las relaciones de los responsables con los proveedores que procesan y almacenan datos personales. De esta manera, contribuirán a revisar las prácticas de seguridad de los proveedores e informarán a estos sobre las solicitudes de las partes interesadas.

 
Delegado de protección de datos


HubSpot puede ayudar a tu empresa a cumplir con la RGPD

 

Durante el actual periodo de implementación del reglamento, y antes de su entrada en vigor, HubSpot está evaluando los nuevos requisitos y restricciones impuestas por la nueva normativa y está desarrollando las medidas necesarias para garantizar el correcto tratamiento de los datos de sus clientes antes de la fecha límite de 2018.

 

Actualmente, los equipos de tecnología y seguridad están trabajando para efectuar los cambios necesarios en el servicio de HubSpot y cumplir con la fecha límite de mayo de 2018. De esta manera, los clientes de HubSpot podrán cumplir con sus obligaciones en el marco del RGPD a la hora de recopilar y almacenar datos personales de la UE.

 

El equipo legal de HubSpot también se está ocupando de garantizar que su documentación legal (es decir, los “Términos de uso para los clientes”, el “Acuerdo de procesamiento de datos” y la “Política de privacidad”) se actualice para reflejar cualquier modificación del producto e incluir las disposiciones obligatorias para el encargado del tratamiento de datos que exige el artículo 28 del RGPD.

 

Además, HubSpot, Inc. dispone de una Certificación del Escudo de la Privacidad con el Departamento de Comercio de EE. UU., la cual garantiza que se establezcan las salvaguardias adecuadas al transferir datos personales de la UE a EE. UU. Esta plataforma también ofrece un “Acuerdo de tratamiento de datos” (que contiene las cláusulas modelo aprobadas por la UE) a determinados clientes que tienen su sede en la UE/EEE, bajo solicitud.

 

En resumen, para cumplir con el nuevo reglamento europeo de datos, estos son los consejos de los expertos:

 

  • No hace falta ser pioneros y adelantarse, sino ver cómo va evolucionando la normativa.
  • Tener conocimiento de la incidencia de este nuevo reglamento en la compañía o negocio.
  • Valorar la posibilidad de trabajar con un delegado de protección de datos (DPO) y contar con el asesoramiento legal de abogados especializados en este reglamento.
  • Conocer cuáles van a ser las nuevas obligaciones y qué coste van a tener en la empresa.
  • Tenerlo todo preparado para cuando se publique el nuevo reglamento antes de mayo de 2018.

 

El consumidor cada vez es más exigente y conoce mejor la normativa en vigor, por lo cual va a ser muy estricto con el cumplimiento de sus derechos.

 

Respecto a las compañías encargadas del tratamiento, el análisis de datos o la gestión de envíos, es muy probable que se vean obligadas a adaptarse antes porque sus clientes se lo van a demandar.

 

Por lo tanto, lo más importante es que las políticas de privacidad sean lo más transparentes y directas posibles para obtener el consentimiento expreso del usuario. Por otro lado, es clave conocer las obligaciones que, como empresa, se van a tener a partir de la entrada en vigor de la normativa, pero sin adelantarse antes de ver cómo va evolucionando todo. El anteproyecto de ley ayudará también a facilitar y a entender la aplicación del reglamento.

 

Fuente: https://www.hubspot.es/data-privacy/gdpr 



Mr.Inbound - El Reglamento Europeo de Protección de Datos

Juan Pablo Sánchez

Written by Juan Pablo Sánchez

Fundador de A Small Job y Maestro Jedi con más de 15 años de experiencia en comunicación y eventos. La fuerza le ha permitido desarrollar poderes creativos y estratégicos que aplica en cada trabajo.