Este 25 de mayo entra en vigor una nueva normativa en España que afecta a la manera en que nos relacionamos con los datos que guardamos de nuestros clientes. Hasta ahora todos los datos que teníamos almacenados estaban regulados por la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, pero a partir del 25 de mayo, esta ley se verá modificada por el Reglamento Europeo de Protección de Datos (GDPR de sus siglas en inglés).
Esto significa que si tú o tu empresa tenéis datos de carácter personal, los tratáis o los recopiláis, estáis obligados a cumplir con el nuevo reglamento, que exige cambios en la gestión de la privacidad a gran escala en todas las empresas y conlleva importantes sanciones en caso de incumplimiento. Estas sanciones varían de si se consideran graves (con un máximo de 10 millones de euros de multa) o muy graves (con un máximo de 20 millones de euros de multa). El principal objetivo de este nuevo reglamento consiste en homogeneizar y dar una coherencia uniforme a todas las leyes de protección de datos de los países miembros de la Unión Europea en una única ley vinculante.
¿Cuáles son los principales cambios?
A continuación vamos a repasar todos y cada uno de los principales cambios que tenemos previstos con la entrada en vigor del nuevo reglamento.
- Registro de los datos.
Si hasta ahora debías registrar los datos en la Agencia Española de Protección de Datos, ahora solamente debes registrar las operaciones de tratamiento de datos que se realicen a través de un sistema, que facilita la misma Agencia, llamado Facilita RGPD. Se trata de una herramienta gratuita y sencilla de utilizar en la que, una vez finalizada su ejecución, los datos aportados durante el desarrollo de la misma se eliminan, de manera que la misma Agencia Española de Protección de Datos no puede conocer la información que se ha aportado. Es importante tener en cuenta que FACILITA RGPD está orientada a empresas que tratan datos de escaso riesgo, como por ejemplo, datos personales de clientes, proveedores o recursos humanos.
En todo caso, ¿qué hacemos con los datos que están especialmente protegidos? ¿Dónde los verificamos?
- Datos especialmente protegidos
En el nuevo Reglamento General de Protección de Datos se consideran datos especialmente protegidos, por primera vez, aquellos que se refieren a la información genética y biométrica y a la orientación sexual de las personas. Estos datos se suman a los que ya anteriormente se consideraban especialmente protegidos: las opiniones políticas, la afiliación sindical, las convicciones religiosas, las convicciones filosóficas, el origen racial o étnico, datos relativos a la salud y la vida sexual. Como normal general, el Reglamento General de Protección de Datos establece que el tratamiento de estos datos está prohibido, excepto en los siguientes casos:
- Cumplimiento de obligaciones y ejercicios de derechos en el ámbito del Derecho Laboral y de la seguridad y protección social.
- Protección de intereses vitales del interesado.
- Tratamiento efectuado en el ámbito de las fundaciones o asociaciones cuya finalidad sea filosófica, religiosa o sindical.
- Tratamiento de datos manifiestamente públicos.
- Tratamientos necesarios para la formulación, ejercicio o defensa de reclamaciones, o tratamientos efectuados por tribunales en el ejercicio de su función judicial.
- Por razón de interés público en el ámbito de la salud pública.
- Cuando son necesarios para fines de archivo e interés público, fines de investigación científica o histórica o fines estadísticos.
- El consentimiento expreso
Esta es sin duda una de las principales novedades del nuevo reglamento. A diferencia de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, el nuevo Reglamento establece que cualquier persona o empresa que quiera tratar los datos debe ofrecer un consentimiento que debe ser expreso, inequívoco, libre y revocable.
En este sentido, si hasta ahora la ley española permitía ofrecer consentimiento de forma implícita, por ejemplo, a través de la omisión del consentimiento, el nuevo Reglamento establece que el consentimiento solamente será válido si se acompaña de un acto afirmativo claro. Este dato afecta especialmente a la manera en que enviamos newsletters o correos electrónicos masivos, pues al no ser válidos ya los consentimientos implícitos o por defecto, toca adecuar los formularios para legitimar ese consentimiento. Las compañías deben revisar y adecuar las bases de datos de sus formularios de captación para todos y cada uno de esos tratamientos, incluidos aquellos que se obtuvieron con anterioridad a su entrada en vigor y que no cumplen con los requisitos de la nueva normativa. El nuevo Reglamento incluye también la figura del Delegado de Protección de Datos, que será obligatoria para las administraciones públicas y para determinadas empresas privadas.
- Textos legales más claros
A partir de la entrada en vigor del nuevo Reglamento, los textos deberán ser más claros y transparentes. Es obligatorio ofrecer información completa de lo que se quiere informar para que el usuario tenga la plena capacidad de saber qué “está firmando” en el momento que hace clic y acepta el consentimiento, si realmente quiere hacerlo.
- Terceros con los que compartimos la información
El Reglamento no solamente afecta a los países de la Unión Europea, sino que además tiene afectaciones en los proveedores no europeos, especialmente estadounidenses, que realizan tratamiento de datos. Todos esos proveedores que traten o recopilen datos de ciudadanos europeos deberán cumplir la normativa de la Unión Europea si tienen los servidores en Estados Unidos. Este dato es muy relevante para todas aquellas empresas que usan Mailchimp u otros clientes de newsletters, pues deberán adecuar las herramientas utilizadas (plantillas, textos, formularios, etc.) a los nuevos requerimientos para asegurarse de que cumplen con los estándares exigidos por el reglamento europeo.
- Nuevos derechos para los usuarios
El reglamento establece tres nuevos derechos que la ley española de 1995 no contemplaba: el derecho al olvido, el derecho a la portabilidad y el derecho de limitación de tratamiento.
Los usuarios tendrán así el derecho a que las empresas que gestionan sus datos personales no solamente destruyan sus datos, sino que también podrán exigir que sean eliminados de sus bases de datos para no recibir información nunca más. Si el usuario quisiera recibir nuevamente información de la empresa, debería volver a iniciar todo el proceso de validación otorgando el consentimiento expreso que comentábamos anteriormente en este post.
La introducción de estos nuevos derechos permitirá a los usuarios tener más control sobre sus datos, pudiendo exigirle a la empresa que los gestiona que limite su uso sin necesidad de dar explicaciones.
Con todas estas modificaciones el nuevo Reglamento Europeo de Protección de Datos quiere otorgar a los ciudadanos más control sobre sus datos y ofrecerles un marco jurídico más favorable al actual y sacarlos así de una situación de indefensión que en los últimos meses ha estado en el centro del debate a causa de la supuesta venta de datos personales de usuarios de Facebook a terceros.
Y vuestra empresa, ¿está lista para la llegada de la nueva normativa en protección de datos? Si tenéis dudas sobre cómo cumplir con todos los requerimientos legales o necesitáis llevar a cabo los ajustes necesarios para hacerlo, ¡en Goalplan estaremos encantados de ayudaros! 😉
