En el año 2016 entró en vigor el Reglamento General de Protección de Datos europeo (RGPD). El obligado cumplimiento del mismo se fijó a los dos años de su aprobación, y el 25 de mayo de 2018 marcará el inicio de la obligación para todos los miembros de la UE de observar sus disposiciones.
Nosotros, como ciudadanos de Europa, debemos seguir obligatoriamente esta reglamentación. Para ello, el proyecto de nueva Ley Orgánica de Protección de Datos (LOPD) adecúa nuestra ordenación jurídica al mismo, y se espera que esté funcionando para la fecha de obligatoriedad del reglamento europeo.
¿Qué es lo que aporta la nueva LOPD y cómo afecta a tu empresa?
En este artículo vamos a explicar, de una forma rápida y sencilla, cuáles son los cambios que vamos a tener que afrontar. Afortunadamente, estamos aquí para ayudaros en todo el proceso y servir de guía práctica.
Las novedades
El objetivo de la nueva LOPD es devolver el control de la información personal y confidencial a las manos de los usuarios.
Hasta ahora, se han producido muchos abusos en los entornos digitales a la hora de tratar con los datos de los usuarios. La venta de leads, datos personales, tratamiento de los mismos… siempre se ha hecho como si el propietario de estos fuese el agente recopilador.
Sin embargo, el nuevo reglamento impone una nueva forma de tratar los datos personales. Es muy importante que todas las empresas se adecúen a ello antes de mayo de 2018. Las sanciones serán cuantiosas.
Especialmente interesante es el Artículo 5 de la RGPD donde se establecen los principios relativos al tratamiento.
En cualquier caso, vamos a enumerar los puntos básicos que cambian el panorama de lo que se venía haciendo hasta ahora. Algunos apartados eran ya habituales y los tenemos asumidos, pero otros pueden resultar más restrictivos y novedosos.
Los 10 mandamientos que deberá seguir tu empresa
- Principio de licitud, lealtad y transparencia.
Debemos informar de una manera clara y transparente sobre los datos que vamos a recopilar de nuestros visitantes y clientes. Se debe usar un lenguaje directo y claro, y se debe especificar inequívocamente quién es el responsable del tratamiento y los fines por los que se recopilan.
Por supuesto, se debe informar asimismo sobre cómo pueden los usuarios acceder a los datos, los riesgos que existen al facilitarlos, normas y derechos aplicables, etc.
El sentido común dicta este punto: todo lo que se vaya a hacer con los datos, hay que advertirlo claramente, sin rodeos ni tapujos. Además, debe quedar muy claro quién es el responsable, su identidad, además de los medios para ejercer los derechos sobre ellos. Y qué vamos a hacer con ellos, exactamente.
Este es el mandamiento más importante: Se debe ser claro, contar para qué pedimos los datos, decirlo de manera sencilla.
- Minimización de datos
Tan solo debemos pedir los datos que por necesidad deban solicitarse al usuario para desarrollar la función o servicio correspondiente. Si en nuestra web de eCommerce vendemos productos, pediremos solo aquella información necesaria para proporcionar el servicio, no “aprovecharemos” la ocasión para solicitar más de lo debido. Es muy común, por ejemplo, pedir que el usuario indique si es hombre o mujer, cuando en la gran mayoría de los casos no es relevante para lo que se está realizando (dar de alta en un foro, hacer un pedido, etc.). En ese caso, salvo que le digamos al usuario que le pedimos ese dato para algo concreto (como por ejemplo para realizar un estudio) y nos de su permiso, no podremos solicitárselo.
Lo mismo se aplica, por ejemplo, a la hora de crear una lista de correo. Si nuestro objetivo es que los usuarios reciban nuestras comunicaciones periódicas, no deberíamos pedir su nombre, teléfono, etc. Bastaría con su correo electrónico.
- Minimización de datos
Es nuestra obligación informar al usuario sobre los datos recogidos, y para qué lo hacemos. Además, no podemos usarlos para otra finalidad que no sea la especificada en el momento de la recogida.
Por ejemplo, si le solicitamos a un usuario en nuestra web su nombre, correo electrónico y dirección postal para enviarle un producto, luego no podemos usar su email para enviarle ofertas y noticias si no se lo hemos advertido cuando le recogimos los datos para el pedido.
- Limitación en el plazo de conservación
Una vez que los datos hayan servido a su propósito, deben ser cancelados, y es ahora obligatorio incluir plazos para su supresión o revisión periódica.
El responsable del tratamiento ha de establecer plazos para su supresión o revisión periódica.
- Integridad y confidencialidad
Lo que antes era más que recomendable, ahora es una obligación. Este punto es especialmente relevante, y va a dar mucho que hablar en el futuro, pues las amenazas de seguridad en la red son un hecho.
La implicación es clara: si solicitas datos personales, tienes que tener un entorno seguro y preparado. Y las consecuencias de no hacerlo pueden ser catastróficas, pues las sanciones son bastante elevadas.
La ciberseguridad ya no es una opción recomendable, sino una obligación legal, en cualquier empresa moderna.
- Derecho al olvido
Este punto está directamente relacionado con la limitación en el plazo de conservación. El usuario debe poder solicitar la eliminación de los datos almacenados por los encargados, bien sea porque ya cumplieron su función, ha caducado el plazo, se ha revocado el consentimiento, o se han obtenido ilegalmente.
- Capacidad de portabilidad
Se debe permitir al usuario recuperar su información para entregarla a otro responsable en un formato adecuado.
- Principio de responsabilidad proactiva
Ahora, es responsabilidad de quién recopila los datos el velar del cumplimiento del reglamento con todas las medidas razonables a su alcance. No se puede uno ya lavar las manos si sufre un robo de información. Ahora habrá que demostrar que, efectivamente, habíamos puesto todas las medidas de seguridad lógicas en funcionamiento.
Los perjudicados podrían pedirnos incluso indemnizaciones por ello, una novedad, así que solo hay un camino si queremos protegernos: cumplir la ley y protegernos adecuadamente.
- Notificación de las violaciones de seguridad
Y muy relacionado con el punto anterior, ahora estamos obligados a informar de una brecha en nuestra seguridad, y en menos de 72 horas. Tendremos que comunicarlo a la Agencia de Protección de Datos, y si los datos son de carácter sensible, también a los afectados.
- Registro de actividades de tratamiento
Si nuestra empresa tiene más de 250 empleados o cuando se traten datos sensibles, como pueden ser de salud, etnia, religión, datos penales y procesales, o puedan suponer un riesgo para los derechos y libertades, tenemos la obligación de llevar un registro interno de los tratamientos de los datos personales.
Un nuevo panorama
La nueva LOPD trata de establecer un marco donde salvaguardar a los usuarios de las amenazas de un entorno online que hasta ahora ha sido bastante hostil en el tema de protección de datos.
La ciberseguridad es ahora protagonista, y serán necesarios profesionales con profundos conocimientos tanto de la normativa como de la seguridad.
En ambos campos, podemos aportar toda nuestra experiencia. Realizamos auditorías, nos encargamos de las comunicaciones con la Agencia de Protección de Datos, de la redacción de los documentos legales necesarios para incorporarlos en la web o tienda online.
Recordemos que será necesario revisar todos los formularios, campos, cuadros de texto… todos los elementos que sirvan para solicitar datos. Deben cumplir la ley, informando al usuario, y en muchos casos, habrá que variar la estructura o información solicitada.
A pesar de que en principio pudiera parecer un problema o una desventaja, nada más lejos de la realidad.
La nueva ley nos permite ser más competitivos y generar mayor confianza en los navegantes. Eso aumentará la cifra de mercado, y superará con creces los costes de implementación y gestión de una buena política de protección de datos.
Tus clientes, leads y visitantes te verán como una empresa fiable, segura y seria.