Josep Navajo, socio fundador de Delvy Abogados y la nueva ley de protección de datos GDPR/RGPD

Josep NavajoEn la entrevista de hoy tenemos a Josep Navajo, socio fundador de Delvy Abogados, y quien nos comentará las mayores implicaciones del nuevo Reglamento General de Protección de Datos (RGPD), o en inglés GDPR (General Data Protection Regulation). Esta nueva normativa será de obligado cumplimiento a partir del 25 de mayo de 2018 y cualquier persona que recoja datos personales de personas que vivan en la Unión Europea estará obligado a ella.

Probablemente te estés preguntando si cambia mucho respecto a la actual Ley Orgánica 15/1999, del 13 de diciembre de Protección de Datos de Carácter Personal. Pues la verdad es que mucho. Hasta ahora tenías que mandar los archivos a la Agencia Española de Protección de Datos, informar a tus usuarios a través de unas notas legales y pedirles el consentimiento de captación de datos a través de un checkbox, pero ahora hay cambios importantes y nuevas particularidades.

¿Qué trae de nuevo/diferente la nueva RGPD?

1. Rige el principio de transparencia: Hasta ahora se tenían que registrar e informar de todos los ficheros a la Agencia Española de Protección de Datos (inscripción fichero Nota). Actualmente, con el nuevo reglamento está declaración desaparece y hay que hacer un registro de actividades. Este registro incluirá todas las actividades que realiza la empresa, a qué usuarios se toman sus datos, cómo se almacenan, cuánto tiempo se almacenan estos datos, etc. Es decir, que será una foto de cómo la empresa tiene organizada toda la protección de datos. Ahora deberás tener tu propio documento interno que vayas actualizando y teniendo al día y que de alguna forma sustituye a la presentación del Nota que había hasta ahora.

Es interesante ver que este registro de actividades no solamente hay que hacerlo a nivel Online y sino también offline dentro de la compañía. Debes añadir también qué información recaban tus proveedores externos (si los tienes), qué información recabas de tu/s trabajador/es, etc. Si a nivel web no cambias nada pero ahora pasas de tener 5 empleados a 35 y empiezas a trabajar con otros despachos, freelances, etc., tendrás que actualizar ese documento.

2. Cuando recabes datos de una persona física tiene que ser con un fin determinado, explícito y legítimo: Es decir, que antes obtener un solo dato, el usuario tiene que saber por que lo vas a hacer (por ejemplo, para mandarle una newsletter, hacerle remarketing, etc.). La forma en que se lo explicamos es informándole como hasta ahora en un apartado de política de privacidad.

Otra particularidad de este reglamento es que además de informarle tienes que guardar el consentimiento expreso, por lo que ya no habrá más casillas premarcadas, sino que las empresas tendrán que mostrar las condiciones de forma fácil y clara. De esta manera, empezaremos a ver tantas casillas como aspectos a consentir. Si además usas los datos para hacer perfiles o enviar publicidad comercial, el usuario deberá marcar casillas independientes (¡Vaya patadón a la UX!)

3. A los derechos ARCO (que hacen referencia a los Derechos de acceso, Derecho de rectificación, Derecho de cancelación Derecho de oposiciónse han añadido el Derecho al olvido y el Derecho a la portabilidad: El derecho al olvido añade el derecho a que tu información personal sea eliminada si así lo deseas, siempre y cuando quien posea estos datos no tenga razones legítimas para retenerlos; y el derecho a la portabilidad añade el derecho de transmitir los datos de un responsable a otro (lo mismo que pasa ahora con las empresas de telefonía).

4. Deberás informar durante cuánto tiempo vas a almacenar los datos: Hasta ahora no había necesidad de informar al usuario sobre esto, simplemente recababas la información y te deshacías de ella cuando te parecía bien y sin que el usuario supiera durante cuánto tiempo tratabas sus datos. Es interesante ver que incluso si recogemos los datos de forma agregada (acumulamos datos y no a nivel personal), deberemos informar al usuarios.

5. Aparece la figura del Delegado de protección de datos (DPO): Esta nueva figura era el anteriormente llamado como Responsable de seguridad. Esta figura no es obligatoria para todas las organizaciones: únicamente exclusiva las empresas públicas, las que tengan un tratamiento de datos a gran escala o las que recojan datos especialmente sensibles o relativos a condenas o infracciones penales. La labor de esta persona es básicamente asumir las competencias de coordinación y correcto cumplimiento de la normativa de protección de datos.

6. Realizar una evaluación de impacto: Es parecido al informe de auditoria que había que hacer antes y solo aplica a esas empresas que realicen tratamientos de datos que puedan implicar un alto riesgo para los derechos y libertades de las personas físicas. Se debe evaluar el origen, la naturaleza, la particularidad y la gravedad de dicho riesgo. Según la nueva normativa estas evaluaciones deben realizarse de forma periódica, pero no especifican la periodicidad por lo que una frecuencia lógica podría ser cada 6 meses.

7. Incremento de multas de 2-4% de la facturación global anual y hasta un máximo de €20 millones: Hasta ahora las multas máximas podrían ir desde 900 euros a 600.000, a partir de mayo de 2018, no se establecen cuantías mínimas y las máximas pueden alcanzar los 20 millones de euros o hasta el 4% del volumen de negocio infractor.

 

¿A quién afecta la nueva normativa?

La nueva ley aplica a cualquier persona o empresa que recoja, use, guarde o trate datos personales de personas que vivan en la Unión Europea. Esta nueva normativa afecta no solo a empresas que se encuentren en la Unión Europea sino también a gigantes como Amazon o Apple, que estarán sujetos a dicha normativa.

Curiosamente, España estaba considerado como uno de los países más estrictos en materia de protección de datos. Sin embargo, había otros países de la Unión Europea que eran más permisivos en este ámbito y de cara a unificar todas las políticas a nivel Europeo y de cara a que los usuarios tengan mayor control sobre sus datos han creado esta nueva normativa.

 

Como responsable de un proyecto web/app, ¿qué debería hacer?

A nivel de empresa debemos:

  1. Hacer un documento del registro de actividades donde se expongan todas las formas en las que tratas, usas y almacenas los datos de otros usuarios.
  2. Mirar a quién se ceden datos y cómo están regulados los contratos: Esto aplica no solamente a trabajadores o freelances, sino también a proveedores de software como Mailchimp, Dropbox, etc. ¿quién tiene acceso a nuestros datos y cómo está regulada la relación?
  3. Mirar a nivel interno qué medidas de seguridad tenemos para almacenar los datos, es decir, ¿los estamos encriptando? ¿Los guardamos en un servidor propio o en la nube? ¿Qué nube es? Etcétera.
  4. Poner a la disposición de los usuarios un email o forma de contacto para ejercitar sus derechos.
  5. Hacer las reuniones periódicas para controlar que toda la documentación e información está al día.
  6. Si tienes alguna brecha de seguridad, deberías comunicárselo a la Agencia.

A nivel web/app deberemos añadir todos los checkboxes y actualización de datos para que los usuarios tengan clara y fácilmente toda la información sobre cómo se van a tratar sus datos, si se les va a mandar publicidad, newsletter, etc.

¿Cómo se puede saber si una web no cumple con al RGPD?

Es bastante fácil saberlo ya que es tan sencillo como revisar que los checkboxes de los formularios estén bien puestos. Si, por ejemplo, un formulario te pide el e-mail para que te suscribas a una newsletter pero no tiene el checkbox de consentimiento, entonces no cumple con la normativa.

Otra forma de saberlo es mirando en la política de privacidad y ver si está incluida la nueva normativa o por el contrario encontramos la que hace referencia a la Ley Orgánica 15/1999, y en cuyo caso no la estaría cumpliendo.

¿Qué problemas podemos tener si no estamos al día?

Como se ha comentado, el mayor riesgo que corremos es el de tener una inspección y no tener toda la documentación a punto y tener que pagar entre 2-4% de la facturación global anual. Estas cifras pueden asustarnos menos que los €900.000 que había hasta ahora, pero para las grandes empresas o para aquellos cuyo margen sea reducido, puede convertirse en un verdadero dolor de cabeza.

Artículos relacionados
Deja tu respuesta