El Reglamento Europeo de Protección de Datos (RGPD UE 2016/679) es un Reglamento cuyo objeto es regular el tratamiento de los datos personales de los ciudadanos europeos y la circulación de los mismos. El RGPD entró en vigor en mayo de 2016, pero no se aplicó hasta mayo de 2018, dos años después. A diferencia de la anterior Directiva Europea de Protección de Datos (95/46/EC), el nuevo Reglamento es de aplicación directa en todos los estados miembros de la UE. Su principal objetivo es unificar toda la normativa existente de protección de datos en los estados miembros de la Unión Europea y acabar así con la disparidad de criterios en cuanto a sanciones, ejercicio de derechos, etc.
En España, el RGPD ha dejado obsoleta a la anterior normativa: la LOPD 15/1999 y su Reglamento de Desarrollo RD /2007 ambos textos normativos han sido derogados. Como novedad en diciembre de 2018 se aprobó la nueva Ley Orgánica de Protección de Datos Personales y Garantía Derechos Digitales (LOPD-GDD 03/2018), que adapta las disposiciones del RGPD a España.
La Agencia Española de Protección de Datos, la entidad de control que se encarga en España del cumplimiento de la normativa sobre protección de datos, ha publicado diversas guías que tienen como objetivo concienciar a empresas y ciudadanos de la importancia de la correcta gestión de los datos personales y la privacidad.
Todas las empresas y autónomos están obligados a cumplir con el RGPD y con la LOPD-GDD, puesto que no hacerlo puede acarrear importantes sanciones económicas de hasta 20.000.000 de euros o un 4% del volumen de negocios
¿Cómo aplicar el RGPD y la LOPD-GDD en tu empresa?
Como hemos explicado, el cumplimiento del RGPD y la LOPDGDD es obligatorio, por ello, es esencial que todas las empresas, independientemente de su tamaño, cumplan con esta normativa. A modo de resumen las empresas como Responsables o Encargadas del Tratamiento con datos personales deben tener en cuenta las siguientes consideraciones:
- El consentimiento del interesado para el tratamiento de sus datos debe ser explícito, libre, informado e inequívoco para cada finalidad del tratamiento. Ya no son válidos los consentimientos tácitos o por omisión. La empresa necesita un consentimiento explícito por parte del cliente para poder utilizar sus datos. Si ese consentimiento explícito no se ha dado, la empresa no podrá enviar publicidad por medios electrónicos, o ceder los datos a terceros.
- Es imprescindible informar a los clientes, trabajadores y otras categorías de interesados, con claridad y sin el abuso de tecnicismos, sobre los aspectos del almacenamiento de datos, con el objetivo de que estén bien informados en cada momento. La AEPD aconseja adecuar el lenguaje de los avisos legales al público objetivo y la utilización de un sistema de información por capas.
- Esta nueva normativa también pone especial hincapié en los terceros con los que las empresas trabajan habitualmente, este es el caso de los proveedores, que son encargados del tratamiento de los datos personales. Las empresas deben asegurarse de que los proveedores con los que mantienen lazos profesionales, también cumplan con la normativa de protección de datos y firmar un contrato de confidencialidad en el tratamiento de datos. Elegir a un proveedor que no cumple con las garantías y medidas de seguridad exigibles, puede comportar una sanción para la empresa que lo ha contratado.
- Según el perfil de empresa y el nivel de riesgo de los datos tratados, por ejemplo, si se trata de federaciones deportivas, centros sanitarios, colegios, fundaciones, etc. es necesario contar con un Delegado de Protección de Datos (DPD). Esta figura se encarga de asesorar a la empresa para que cumpla con las obligaciones legales referentes a la protección de datos. También será obligatorio realizar una Evaluación de Impacto en Protección de Datos (EIPD) antes de implementar tratamientos que impliquen un alto riesgo, como por ejemplo, el uso de datos biométricos (huella dactilar) para el control horario, o el seguimiento y monitorización de vehículos o personas a través de aplicaciones mediante GPS.
- Otra de las novedades que presenta el RGPD tiene relación con la supresión de datos o derecho al olvido, lo que significa que los clientes pueden pedir la eliminación inmediata de los datos publicados. En cuanto a nuevos derechos la LOPD-GDD impone a las empresas nuevas obligaciones en forma de derechos para sus trabajadores, como el derecho a la desconexión digital o el derecho a la intimidad en relación a videovigilancia o en sistemas de geolocalización.
¿Cómo afecta el RGPD al ámbito online?
Las empresas también deben adaptar sus páginas web y todos sus recursos de marketing online (acciones de email marketing, por ejemplo) al RGPD y a la LOPD-GDD ¿Qué debe hacer la empresa, a nivel online, para respetar el reglamento?
- Modificar los textos legales para adaptarlos a la nueva normativa y ponerlos en un lugar visible de la página web.
- Adaptar todos los formularios de suscripción y los formularios de contacto, con check-box (casillas de validación) para cada una de las finalidades del tratamiento con datos personales. Evitar las casillas pre-marcadas y los consentimientos tácitos.
- Si las empresas cuentan con un blog, también deberán adecuar los textos legales del mismo.
- Por último, no hay que olvidarse del deber de información en el pie de los e-mails y de las respuestas automáticas.