En primer lugar deberás saber el significado de estas siglas, RGPD, porque será muy importante para el desarrollo de tu modelo de negocio digital. Pues bien, equivale a los que es en realidad el Reglamento General de Protección de Datos (RGPD) y que ha entrado en vigor muy recientemente. Y si tienes un comercio o tienda online deberás para cumplir con la legislación para no llevarte alguna que otra sorpresa negativa a partir de estos momentos.
¿Tengo que hacer algo para adaptar mi tienda o comercio al RGPD? En este sentido, deberás conocer que el RGPD es un reglamento aprobado a nivel de la Unión Europea y tiene por objetivo asegurar la protección de la información personal.
A partir de ahora, todas las empresas tendrán que poner a disposición en su web una Política de Privacidad que explique cómo están tratando los datos que disponen, ya sea de clientes, asociados, empleados o simplemente interesados en recibir información comercial.
Nuevos principios recogidos en el RGPD
En la actual reglamentación sobre la protección de datos en el ámbito europeo se contemplan nuevos escenarios para los dueños de un comercio digital. Y entre los cuales están los siguientes aspectos que te exponemos a continuación. En donde también es preciso que tengas en cuenta que el Parlamento Europeo y el Consejo han aprobado finalmente el Reglamento General de Protección de Datos (RGPD), que, con la aspiración de unificar los regímenes de todos los Estados Miembros sobre la materia, ha entrado en vigor el día 25 de mayo de 2016, si bien su cumplimiento sólo será obligatorio transcurridos dos años desde dicha fecha
Principio de responsabilidad. Habrá que implementar mecanismos que permitan acreditar que se han adoptado todas las medidas necesarias para tratar los datos personales como exige la norma. Es una responsabilidad proactiva. Las organizaciones deben ser capaces de demostrar que cumplen dichas exigencias, lo cual obligará a desarrollas políticas, procedimientos, controles, etc.
Principios de protección de datos por defecto y desde el diseño. En esta ocasión se deberán adoptar medidas que garanticen el cumplimiento de la norma desde el mismo momento en que se diseñe una empresa, producto, servicio o actividad que implique tratamiento de dato, como regla y desde el origen.
Principio de transparencia. Los avisos legales y políticas de privacidad deberán ser más simples e inteligibles, facilitando su comprensión, además de más completos. Incluso se prevé que, con el fin de informar sobre el tratamiento de los datos, puedan utilizarse iconos normalizados.
Nuevas obligaciones para las empresas digitales
En ocasiones, será obligatorio designar un Delegado de Protección de Datos (DPO), interno o externo, que asista a las organizaciones en el proceso de cumplimiento normativo. No obstante, la complejidad de la nueva norma hará muy recomendable esta figura en la inmensa mayoría de organizaciones.
En ciertos casos, se deberán realizar evaluaciones de impacto sobre la privacidad y que serán las que al final determinen los riesgos específicos que supone tratar ciertos datos de carácter personal y prevean medidas para mitigar o eliminar dichos riesgos.
Las empresas multinacionales tendrán como interlocutora a una sola autoridad de control nacional: la del establecimiento principal de la entidad. Es lo que se conoce como ventanilla única.
Las brechas de seguridad deberán ser comunicadas a las autoridades de control y, en casos graves, a los afectados, tan pronto sean conocidas, estableciéndose el plazo máximo de 72 horas.
Datos sensibles: se amplían los datos especialmente protegidos, incluyendo ahora los datos genéticos y biométricos. Se incluyen también en esta categoría las infracciones y condenas penales, aunque no las administrativas.
La selección de un encargado del tratamiento se endurece, puesto que habrá que elegir uno que aporte suficientes garantías de cumplimiento normativo.
Garantías adicionales para las llamadas transferencias internacionales de datos: con el establecimiento de garantías más estrictas y mecanismos de seguimiento en relación con las transferencias internacionales de datos fuera de la Unión Europea.
Sellos y certificaciones: se prevé que se creen sellos y certificaciones de cumplimiento que permiten acreditar la Accountability por parte de las organizaciones.
Desaparece la obligación de inscribir los ficheros, que se sustituye por un control interno y, en algunos casos, un inventario de las operaciones de tratamiento de datos que se realicen, que se intuye de un contenido similar al que actualmente tiene el formulario en cuestión.
Sanciones: las cuantías de las sanciones por incumplimiento de la norma crecen, pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual (no se excluye de las multas a las Administraciones Públicas, aunque los Estados Miembros pueden acordarlo así).
Nuevos derechos que aporta la reglamentación
Transparencia e información. Las organizaciones, al tratar datos personales, deben proporcionar mayor información y de un modo más inteligible, completo y sencillo, lo que favorecerá la toma de decisiones por el ciudadano. Se tiene una especial consideración con los menores de edad en este punto.
Consentimiento. El consentimiento para poder tratar datos de carácter personal ha de ser inequívoco, libre y revocable y deberá darse mediante un acto afirmativo claro. No se admite consentimiento tácito.
Derecho al olvido. Se podrá revocar el consentimiento prestado para el tratamiento de datos personales en cualquier momento, pudiendo exigir la supresión y eliminación de los datos en redes sociales o buscadores de internet.
Derecho a la limitación del tratamiento en cuestión. Permite al ciudadano solicitar el bloqueo temporal del tratamiento de sus datos cuando existan controversias sobre su licitud.
Portabilidad de los datos. Se permitirá al ciudadano solicitar la transferencia de los datos personales de un proveedor de servicios en Internet a otro.
Denuncias. Se podrán presentar denuncias a través de asociaciones de usuarios.
Indemnizaciones y penalizaciones de su incumplimiento. Se reconoce la posibilidad de exigir indemnización de daños y perjuicios derivados del tratamiento ilícito de los datos personales.
El responsable del fichero podrá establecer un canon a la contestación de los ejercicios del derecho de acceso, teniendo en cuentas los costes administrativos que ello le suponga.
Consideraciones sobre su correcta aplicación
No obstante lo anterior, aún existen muchos aspecto que aún están pendientes sobre su desarrollo y concreción que quedan estipulados en esta reglamentación. En este sentido, cabe resaltar que los Estados Miembros, las autoridades de control, el Comité Europeo de Protección de Datos y la Comisión deberán precisar multitud de elementos que aparecen en el RGPD demasiado ambiguos o inconcretos.
En todo caso, las disposiciones contenidas en el Reglamento son directamente aplicables en cada uno de los Estados Miembros, sin necesidad de trasposición y obliga a las empresas privadas e instituciones públicas a afrontar un importante proceso de readaptación normativa.
Sin embargo, el RGPD no deroga automáticamente la LOPD y su Reglamento de desarrollo. Simplemente desplaza estas en la medida en que resulten incompatibles con él. En aquellos ámbitos en que dicha incompatibilidad no se produzca, ambas normativas coexistirán, lo que hace prever no pocos problemas prácticos e interpretativos, cuya resolución exigirá la asistencia de profesionales especializados que ofrezcan suficientes garantías. Mientras que por otra parte, el proceso de readaptación no es técnicamente fácil, por lo que será importante para las empresas contar con un asesoramiento jurídico especializado que ofrezca suficientes garantías.
Obtener un servicio de protección de datos
Una buena forma de obtener un servicio de protección de datos es pidiendo presupuestos a la Asociación de Empresas de Protección de Datos (AEPD.org). En este sentido, la AEPD.org dispone de un turno de oficio entre sus empresas asociadas. Su funcionamiento es simple: Hay que pedir un presupuesto a la AEPD.org y esta misma asociación lo distribuye entre sus asociados, intentando que el cliente final reciba un buen asesoramiento.
Si no se acude a la AEPD.org, la única forma de obtener presupuestos es ir una por una a las Webs de las empresas de protección de datos. Este procedimiento es más lento, pero también eficaz. En las próximas semanas haremos y publicaremos un listado de empresas LOPD, para hacer más fácil esta operación. Por el momento, quizás la mejor opción es acudir a la Asociación de Empresas de Protección de Datos.
Conclusiones finales
El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.
Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento.
El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.