En estos últimos días seguro que recibiste multitud de mails solicitando renovar tu consentimiento para seguir recibiendo comunicaciones, incluso de sitios que ni siquiera conocías.
Y es que había una fecha clave límite, el 25 de Mayo, para que todas las empresas hicieran la transición hacia la nueva normativa en materia de protección de datos: el nuevo Reglamento Europeo en materia de Protección de Datos (RGPD), aprobado en 2016, que viene a armonizar las regulaciones de cada país miembro de la UE.
Algo lógico, si tenemos en cuenta que la Ley que estábamos aplicando se aprobó en 1999. Mucho ha llovido desde entonces, con una revolución digital que ha transformado la forma de operar en el mercado.
Pues bien, esta nueva normativa viene a garantizar un comercio digital integrado y seguro en entornos digitales y es mucho más exigente que la actual y propone un cambio de enfoque importante otorgando una mayor protección al usuario, para que éste tenga mucho más control sobre su propia información personal.
Eso se traduce en nuevas exigencias para todos los que gestionáis datos personales en entornos digitales.
Aquí te presentamos una lista de las nuevas reglas que debes tener presente para cumplir la normativa en materia de Protección de Datos de carácter personal:
1º El consentimiento: Ahora se requiere obtener un consentimiento explícito de los usuarios o clientes para poder gestionar sus datos. Este es un punto clave si tienes un blog o una web. Este consentimiento debe tener 3 características fundamentales para que sea legal:
- Debe ser expreso:no vale el consentimiento tácito.
- Debe ser específico: ligado a una finalidad concreta y no genérico.
- Debe ser verificable: debes poder acreditar que lo has obtenido.
¿Y qué implicaciones tiene esto para tu negocio?
- Debes desterrar los formularios de suscripción, contacto, registro etc., que no incluyan mecanismos informativos claros y no requieran el consentimiento de los usuarios. El silencio, las casillas pre marcadas o la inacción del usuario al requerir datos personales no serán legales de cara al nuevo reglamento de protección de datos.
- Deberás asegurarte de contar con un registro de todos los consentimientos que hayas obtenido. Recuerda que uno de los requisitos del consentimiento es que sea verificable, esto implica que deberás asegurarte que tu servidor de mail marketing te permita contar con este registro, que deberá incluir, el nombre del usuario, la huella de tiempo, su IP, y su correo electrónico.
2º Los usuarios y clientes tienen derecho a obtener información completa sobre el uso que estés haciendo de su información personal.
Deberemos especificar con mucho más rigor todo lo que incluya la información de las personas de quienes les requieras sus datos (en una suscripción, una foto, comentario, registro, etc.). Piensa que cada formulario de captura hace un uso diferente de la información de los usuarios, no es lo mismo un formulario de contacto que uno de suscripción.
3º Garantizar un acceso fácil de todos los que te aportan sus datos personales a la información que les concierne. Tus usuarios pueden pedirte que les confirmes si sus datos están siendo procesados, dónde y con qué finalidad.
4º En esta nueva normativa se incluye como novedad el derecho al olvido y al de oponerse incluso al uso de datos personales a efectos de establecimiento de perfiles. Si utilizas datos personales para marketing directo será necesario ofrecer una forma clara y sencilla para que el usuario pueda oponerse a su tratamiento.
5º El derecho a la portabilidad de los datos de un prestador de servicios a otro, que implica el traspaso de información de una empresa a otra si el usuario o cliente lo solicita, por ejemplo en el caso de redes sociales, o plataformas de contenido streaming.
Además de todo esto deberás tener en cuenta cierta información que debes ofrecer y que los usuarios deben conocer antes de que te faciliten sus datos:
1 La identidad del responsable de la gestión y, si procede, del delegado de protección de datos, otra novedad que hasta ahora no existía. Una web que no proporcione información completa del responsable no podrá considerarse nunca una web legal.
2 La identidad de los destinatarios o las categorías de destinatarios de los datos personales, que incluye informar de todos los servicios de terceros que utilices en tu web y que almacenen también esos datos, como Hosting, plataforma de e-mail marketing, servicio de captación de leads, etc.
3 Que sus datos personales se están recogiendo, utilizando o consultando, la medida en que dichos datos son o serán tratados y de las posibles consecuencias de no facilitar tales datos.
4 Las finalidades con las que vas a utilizar esos datos personales y la base jurídica del tratamiento.
5 El plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo.
6 La existencia de decisiones automatizadas, incluida la elaboración de perfiles para segmentación (por ejemplo cuando esta elaboración tenga consecuencias jurídicas para el afectado).
Por último, otra parte que debes tener en cuenta es el gran incremento de las sanciones por incumplimiento de cualquiera de estas premisas.
El nuevo reglamento dispara estos importes y en el caso de infracciones leves, pasa de los 600.000€ a los 10 millones de euros, o un 2% del volumen de negocio total anual del ejercicio anterior.
En el caso de infracción grave, estas dos cifras aún se elevan más hasta alcanzar los 20 millones de euros o un 4% del volumen de negocio.
Y lo que es aún peor, el nuevo reglamento prevé además la posibilidad de requerir indemnizaciones a los damnificados en materia de protección de datos, algo que no contemplaba la anterior Ley Orgánica de Protección de Datos.
Por lo tanto, no lo dejes para último momento y empieza cuanto antes a adaptar tu negocio digital!
https://www.aepd.es/media/guias/guia-rgpd-para-responsables-de-tratamiento.pdf