Hace algunos meses entró en vigencia el nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea, en el cual se estipula que aquellas empresas, entidades públicas o profesionales que manejen datos personales de terceros están obligados a cumplirlo.
Esto sin duda ha generado muchos temas de conversación, sobre todo, por las nuevas directrices que de ahora en adelante deberán tomarse en cuenta y que antes no eran necesarias al momento de manejar un negocio o sitio web, un blog o alguna otra herramienta empresarial digital donde recojas datos de carácter personal. Pero, ¿Cómo cumplir con el RGPD? Estos temas pueden resultar algo engorrosos, pero no hay que preocuparse, intentaremos dar respuesta a esta y otras dudas en torno a las modificaciones en este reglamento.
Antes de saber cómo cumplir con el RGPD, es necesario hacer énfasis en que forma parte de la Ley Orgánica de Protección de Datos (LOPD), un estatuto español que tiene un carácter personal. Antes de que se llevaran a cabo estas modificaciones, esta ley estipulaba que era exclusivamente para países miembros de la Unión Europea, sin embargo, a partir del año 2018 pasó a regir para todo el mundo, es decir, que cualquier persona que trate datos de carácter personal de usuarios que forman parte de la Unión Europea, deberá cumplir con el RGPD.
Consideraciones cuando recopilamos datos de usuarios:
- Base jurídica o legitimización para el tratamiento de estos datos
- Plazos y criterios de conservación de la información
- Si se realiza un proceso de profiling o perfilado de clientes (basado en sus intereses, histórico de compras, etc)
- Si los datos que tenemos de usuarios se compartirán con terceros
- Reclamaciones que se pueden presentar ante las autoridades de control
Dependiendo de la cantidad de información que manejemos, la empresa deberá contar con una figura de Delegado de Protección de Datos.
El nuevo Reglamento exige revisar:
- Consentimientos previos de usuarios para asegurarse que cumplan con los requisitos del nuevo Reglamento. Estos consentimientos deben ser claros y explícitos como se explicará más adelante.
- La transferencia de los datos para saber todos los procesos necesarios para enviar información de un prestador de servicio a otro y que éstos cumplan con los requisitos de la RGPD.
- El acceso a los datos de clientes y la configuración para que sean controlados por el mismo usuario para modificar su perfil cuando lo considere necesario (rectificar o suprimir sus datos de la base de datos de la empresa)
- Las notificaciones que se hacen a los usuarios para saber cuando sus datos pueden estar comprometidos.
- Adecuar los contratos previos y posteriores con todos los proveedores de la empresa para que cumplan con la RGPD.
Para estar al día con todo se deben considerar dos principios fundamentales:
- Proactividad por parte de la empresa o negocio que maneje datos de usuarios. Para ello hay que tener presente todo lo expuesto anteriormente, y prever estrategias para enfrentar posibles problemas asociados con la RGPD como, por ejemplo, el uso de redes sociales y el cuidado de la privacidad de terceros.
- Transparencia para comunicar a los usuarios cómo se obtuvieron sus datos y cómo son utilizados.
De presentarse cualquier incidencia, las empresas deberán comunicarlo en un plazo de 72 horas a la Agencia Española de Protección de Datos, a fin de que se registre y se tomen las medidas necesarias para salvaguardar los derechos de terceros.
Aspectos básicos para cumplir con el RGDP:
- El consentimiento expreso es fundamental
La nueva normativa europea establece que es vital que las personas den su consentimiento expreso e inequívoco para que otros puedan usar sus datos personales, ya que esta aprobación por lo general va ligada al tipo de contenido y servicios que se les estarán ofreciendo en un futuro a esa persona. La cesión de esos datos autorizados deberá incluirse en el consentimiento expreso e inequívoco suscrito, de otro modo no podría cederse esa información personal.
- Nuevos derechos para los usuarios
Derecho al olvido. Acá el usuario tiene el derecho de, si así lo quiere, ser “borrado de internet”, incluso canalizándolo a través de la Agencia Española de Protección de Datos.
Derecho a la portabilidad. Por ejemplo, si se quiere cambiar de proveedor de servicio de telefonía o cualquier otro, que exista la posibilidad de poder descargar todos los datos de un usuario para ser transferidos a un tercero que tenga su autorización y se borren todos estos datos personales de la empresa anterior.
Mayor protección del menor. Un aspecto importante, ya que con la puesta del RGPD se establecen los 16 años como la edad mínima para poder ingresar a las redes sociales, email, mensajería y otros servicios digitales. Por lo tanto, estos servicios están en el deber de conseguir el consentimiento de los usuarios con esta edad mínima requerida y, de no alcanzarla, se debe contar con la aprobación de los tutores o padres.
¿Es necesario contratar un Delegado de Protección de Datos?
Una de las obligaciones del RGPD es que todas las empresas con más o menos 250 trabajadores que gestionen datos de forma masiva, deben incorporar los servicios de un DPO o Delegado de Protección de Datos (ya sea bajo la figura del contrato o como parte del sindicato) para encargarse de hacer cumplir la normativa de privacidad y actuar como interlocutor con la Agencia Española de Protección de Datos.
El nuevo carácter mundial del RGPD lo ha transformado en algo serio, pues se están ampliando las fronteras en cuanto a cumplimiento legal de la ley de protección de datos, por lo que seguramente comenzarán a surgir nuevos convenios bilaterales entre naciones como una manera de exigir y dar cumplimiento a esta obligación. No obstante, tocará esperar que el tiempo transcurra para ver cómo se irá conjugando esta obligación, ya que todo va a depender de la cooperación que exista entre diversos Estados.
Además, hay que considerar el tema de las sanciones del RGPD, ya que es recomendable seguir al pie de la letra las nuevas directrices para evitar penalizaciones por concepto de incumplimientos en materia de protección de datos, teniendo en cuenta que pueden abarcar grandes porcentajes de la facturación, algo que no debe tomarse a la ligera.
¿Qué seguro contempla la protección de propiedad industrial e intelectual?
En el caso de Markel, nuestro seguro de Markel IT está diseñado para cubrir, entre otras cosas, reclamaciones “sobre la propiedad intelectual y/o industrial, pérdida de registros informáticos de documentos o fallo en la protección de datos”.
Revisa las coberturas y detalles de nuestro seguro de responsabilidad civil para empresas IT para evitar los múltiples riesgos asociados al sector tecnológico.
