Saltar al contenido

Todo sobre RGPD

Ley RGPD

Ha llegado a nosotros una nueva normativa sobre protección de datos personales. Se llama Reglamento general de protección de datos (rgpd), en ingles GDPR.

El Reglamento de la Unión europea del 2016/679  del Parlamento europeo y del Consejo de 27 de abril de 2016 y entra en vigor el 25 de mayo del 2018,  es de obligado cumplimiento para empresas, profesionales, autónomos e instituciones.

Este nuevo orden jurídico deroga artículos de leyes anteriores, actualiza o matiza otros y añade nuevas normas de seguridad y control para mejorar a las ya existentes.

Lo bueno de esta normativa es que se aplica en toda Europa de forma unificada, algo que reclamaban empresas y usuarios. Gracias a esta unificación ahora será más fácil la gestión y control de los datos. Un gran avance reclamaban  profesionales y empresas.

Se aplica de forma suplementaria a la LOPD, por lo que las dos siguen en vigor.

Si tu empresa es española estás obligado a cumplirla. Tambien si eres profesional autónomo o diriges una institución.

¿Qué tiene de nuevo RGPD?

  • ❯❯ Afecta a toda Europa
  • ❯❯ Se aplica a cualquier actividad que se realice en territorio de la Union Europea. Aunque luego se traten fuera, es decir, se alojen en ordenadores fuera deEuropa.
  • ❯❯ Le afectan a todas las empresas o profesionales:
    • Vendan vienes o servicios dentro de la Unión, aunque sean gratuitos.
    • Controlen comportamientos de usuarios.
  • ❯❯ Aumentan las sanciones hasta 20 millones de euros o 4% de facturación.

gdpr union europea

¿Cómo cumplir el reglamento?

Si tienes una empresa o eres un autónomo debes tener en cuenta esto para cumplir con el reglamento.

Vamos a nombrar los aspectos generales que debes tener en cuenta.

✅ Primero: Si tienes datos en servidores en línea las personas  que controlen estos datos deben ser  jurídicos e informáticos. Esto significa que dejes los servidores donde tienes los datos a profesionales que cumplan estos requisitos.

✅ Segundo: Se debe realizar una auditoría por estos profesionales si tienes los datos en servidores propios. El  artículo 25  nombra qué tipo de medidas técnicas y organizativas se deben implementar en la empresa. Hay que actualizar la de  LOPD.

✅ Tercero: Comunicar al interesado que va a darnos los datos de forma clara ( (art. 5 LOPD +  art. 13 RGPD):

  • ❯ Finalidad de los datos
  • ❯ Donde va estar el fichero
  • ❯ Los derechos de la persona que aporta sus datos
  • ❯ La identidad del responsable del fichero donde estarán nuestros datos
  • ❯ La base jurídica del tratamiento de los datos
  • ❯ El tiempo máximo que estarán en el fichero
  • ❯ Identificar de responsable de datos
  • ❯ Si se van a trasladar a otros países fuera de la Union Europea
  • ❯ Que se tiene derecho a presentar reclamación.

✅ Cuarto: Firmar nuevos contratos por escrito con los terceros que tengan acceso a los datos de tu empresa.

✅ Quinto: Tener medidas de seguridad avanzadas, si tienes contratados un servidor a una empresa externa de confianza ya se encarga ella de cumplir con este requisito de la Ley. La novedad es que el RGPD traslada a las empresas la responsabilidad de realizar las medidas de seguridad que emplearán pera el tratamiento de datos.

✅ Sexto: Si eres una gran empresa entonces tienes que tener en cuenta un nuevo concepto el de evaluación del impacto. Pero si eres una gran empresa tendrás una corte de abogados y asesores jurídicos que te pueden explicar este aspecto detalladamente.

 ✅ Séptimo: La gran novedad es el artículo 35 del RGPD, se tiene que nombrar un delegado de protección de datos en algunos tipos de empresa. Puede ser cualquier tipo de persona. Estas empresas son:

  • ❯ Que lleven en su actividad una observación habitual y sistemática de los datos de los interesados.
  • ❯ Que manejen datos a gran escala categorías especiales.

manual RGPD proteccion datos

Guía detallada de cumplimiento

La AEPD ha sacado una guía de cumplimiento que vamos a resumir, y poner con un lenguaje sencillo. Te la puedes descargar completa en el enlace que ponemos al final de la página.

  • ➥ Adaptar los formularios de LOPD.
  • ➥ Informar en el mismo momento que se solicitan los datos.
  • ➥ Si los datos fueron transferidos de otra empresa tienes un mes para comunicar a esa persona que tienes sus datos.

Vamos a detenernos en ese punto, es importante, si una empresa toma un dato de contacto de una web y lo añade a una base de datos, debe informar a la persona interesada en menos de un mes que le ha añadido a esa base datos.

La empresa que tiene el dato personal debe acreditar que se ha hecho la comunicación. Solo hay algunos casos excepcionales en los que no se debe hacer.

  • ➥ Informar de forma clara y sencilla de la recogida de los datos y su uso.
  • ➥ Informar por niveles si es mucha la información.

Otro aspecto en el que nos detenemos. A veces puede ser muy incómodo informar sobre todos los derechos y uso de los datos, por lo que en estos casos se permite informar de unos básicos el momento de tomar los datos y otros que se informarán más adelante.

La información básica debe venir en forma de tabla y claramente identificable y visible, sin trucos o artimañas para que no se vea bien:

Tabla de informacion basica

La información de segundo nivel se debe ofrecer por papel anexo, en página web, PDF descargable, por teléfono, etc.

En la información de segundo nivel se debe dejar muy claro la finalidad de los datos, para que no se puedan usar para todo. También si se van a usar en procesos automatizados.

También es relevante en este segundo nivel si los datos son necesarios para la ejecución del contrato, cumplir alguna Ley o por interés público.

Y por último es muy importante poner un epígrafe sobre los derechos de los interesados:

  • ❱ Derecho a solicitar el acceso a los datos personales relativos al interesado
  • ❱ Derecho a solicitar su rectificación o supresión
  • ❱ Derecho a solicitar la limitación de su tratamiento
  • ❱ Derecho a oponerse al tratamiento
  • ❱ Derecho a la portabilidad de los datos

como cumplir la RGPD

¿Qué hago si tengo un pequeño negocio?

Vamos a dar algunos consejos a los pequeños emprendedores que tienen una App o una página web, donde toman los datos de sus usuarios para enviarle emails, ofertas, comunicados, etc.

La LOPD sigue vigente, por lo que debes seguir cumpliéndola.

La llegada de del Reglamento general de protección de datos lo que ha hecho es unificar la normativa en Europa, que ahorra muchos problemas si tienes usuarios de otros países.

Por lado, otorga muchos mas derechos a las personas y obligaciones a las empresas a la hora de tomar los datos y de usarlo.

Lo que debes hacer es lo siguiente:

  • ❱ Poner en tu web los datos de la tabla bien visibles a la hora de solicitar los dato, y una página especial con la ampliación de información de los datos. Debe estar visible a la hora de tomar los datos, no vale esperar que el usuario haga un clic para ver las condiciones.
  • ❱ Obtener el consentimiento explícito de la persona, no  vale dejar la casilla marcada.
  • ❱ Tener un email especial para atender las peticiones de los usuarios sobre sus datos. No olvides que tienes 72 horas para responder sobre una solicitud de los datos.
  • ❱ Poner muy claro para que se van a usar la datos, ya no puedes usar una lista por ejemplo para email marketing si no se lo habías especificado al cliente, o utilizarla para llamarlo si no se lo habías especificado.
  • ❱ Tienes que dividir en dos bloques diferenciados aceptar los términos de uso y, por otro, el tratamiento de tus datos. Ya no se podrá poner juntos de forma confusa.
  • ❱ Un consentimiento para cada finalidad. Tendrás que poner una casilla para cada tipo de uso que vayas a hacer los datos.
  • ❱ Si tienes datos antiguos no te valdrán, tendrás que volver a pedir el consentimiento expreso de cada usuario.
  • ❱ Si te hackean los datos tendrás que comunicárselo a tus usuarios en 72 horas como máximo.

Hay que resaltar que los datos que le tienes que dar a tus usuarios son los del registro, no los que dejen en tu web cuando la estén usando.

Un ejemplo real

Podemos tomar de ejemplo a Google que ya ha integrado la normativa en sus cláusulas de aceptación, si el gigante Google, con toda su corte de abogados y juristas, lo hace de la manera que vamos a explicar, pues suponemos que a una pequeña empresa, autónomo, profesional o página web de ventas, le bastará con hacerlo igual que ellos.

Aquí va el ejemplo de Google:

Ahora cuando entras a cualquier servicio de Google ya te salen los dos botones de aceptación.

 

ejemplo doble clausula RGPD

Se puede ver en la imagen el botón de acepto en gris que son para las condiciones del servicio, y una casilla aparta para marcar sobre las condiciones de tratamiento sobre tus datos.

Si hace clic en el enlace de “condiciones de tratamiento de datos”. Te lleva a una página que ya deben tener todas las empresas, donde se explica muy claro todo lo relacionado con los datos y los derechos que tienen los usuarios.

Si entras en esa página, puedes acceder a los formularios correspondientes que ya son obligatorios para poder solicitar los datos y la cancelación de los mismos.

Así que si quieres cumplir la normativa ya tienes un referente en lo que hace Google.

Un pequeño detalle a tener en cuenta es que solo nos pone una casilla de consentimiento, y esto es por que los datos que le vamos a dar solo son para un servicio. Si fueras a usar los datos para otros servicios, en principio tendría que haber más cláusulas de consentimiento.

Ahora vamos a exponer el Corte Inglés:

Como se puede comprobar ya te avisan de todos los departamentos, y te dan el email de los responsables de los datos de todos los departamentos que tienen, y que tus datos van a ir a todos esos sitios.

Corte ingles aceptar clausulas

Puedes leer de forma clara y sencilla todo. Y tienes todos los datos para reclamar tus derechos.

En el siguiente paso nos aparecen dos casillas para marcar:

corte ingles RGPD

Pone claramente que das tu consentimiento para recibir comunicaciones. Aparte de lo anterior, donde ya te informaban que te iban a meter en la base de datos de todos sus departamentos.

Aparte tienes que marcar otro consentimiento para el área financiera.

Aquí se ve un ejemplo de como ha afectado el nuevo reglamento, teniendo que marcar dos casillas para dos consentimientos expresos para el manejo de tus datos.

Banco Santander: 

Descarga la carta que esta enviando el Banco Santander a todos sus clientes para explicar como afecta el nuevo reglamente: ➥Descargar carta del Banco a sus clientes.

En la carta del banco ya identifican al responsable de los datos, algo que obliga el nuevo reglamento, para que finalidad se van a usar, los derechos de las personas y solicitan el consentimiento expreso para su uso.

Esperamos poder más ejemplos estos días cuando revisemos otros servicios.

Documentos esenciales

AEPD: Guía para el cumplimiento del deber de informar.

AEPD: Directrices para la elaboración de contratos entre responsables y encargados del tratamiento.

AEPD: Guía del Reglamento General de Protección de Datos.

📩 Mándanos un email: info@leydeprotecciondedatos.top , estaremos encantados de recibir tus comentarios para mejorar la información de esta página.

Esta página web es solo informativa, somos especialistas en derecho y nuevas tecnologías pero no vendemos ningún servicio. Si quieres asesoramiento jurídico deberás acudir a un despacho profesional de abogados. Ellos son los únicos capacitados para asesorarte profesionalmente en tu caso en particular.

Summary
Review Date
Reviewed Item
Nuevo reglamento RGPD
Author Rating
51star1star1star1star1star