El día 25 de Mayo del 2018 entró en vigor la GDPR (General Data Protection Regulation). Esta normativa afecta a todas las empresas dentro de Europa que traten con datos personales. (con tener un simple formulario de contacto es suficiente para tener que cumplirla). Se trata de una nueva regulación de protección de datos a nivel europeo obligatorio para todos los ámbitos económicos que utilicen datos personales de terceros.
Un poco de historia sobre el Reglamento Europeo de protección de datos:
El Reglamento General de Protección de Datos, tras un complejo proceso de formación, es finalmente publicado en el Diario Oficial de la Unión Europea el 4 de mayo de 2016, entrando en vigor 20 días después de su publicación y siendo aplicable a partir del 25 de mayo de 2018.
Para entender el significado de dicho Reglamento es preciso hacer mención junto a las Directrices de la OCDE de 1980, que fueron determinantes en la evolución que se ha producido de la protección de datos a nivel global. Estas normas comienzan a quedarse obsoletas entendiéndose necesaria una gran reforma debido al gran salto tecnológico al que asistimos durante el comienzo del nuevo siglo. Tanto es así que el referido Reglamento de 2012 en su artículo 94 se encarga expresamente de derogar la Directiva desde que el mismo se comience a aplicar (25 de mayo de 2018).
No obstante es preciso que no olvidemos la importancia que dicha Directiva ha tenido en la materia, ya que los principales principios y fundamentos del Reglamente están inspirados en los que ya recogía la Directiva constituyendo estos la esencia del derecho a la protección de datos.
En cualquier caso el Reglamento introduce importantes innovaciones en la materia, pasándose de una mera articulación de la gestión de datos a poner gran énfasis en la el uso responsable de los mismos (art. 5.2 del Reglamento). Del mismo modo, adquiere una notoria importancia la figura de las autoridades de control independientes, elemento esencial para el derecho fundamental a la protección de datos (art. 8.3 de la Carta Europea de Derechos fundamentales).
Analizando el significado de estos dos rasgos fundamentales se deduce que la máxima del nuevo Reglamento europeo de protección de datos no es otra que la de fortalecer la idea del uso responsable de la información así como su sistema sancionador, creando así un nuevo modelo de protección de datos.
La finalidad última del Reglamento es generar un marco más unitario y coherente a la hora de su aplicación que evite las diferencias en la aplicación de los derechos de protección de datos. No podemos olvidar que dicho Reglamento original del aparato legislativo de la Unión Europea tiene un alcance general y es obligatorio en todos sus elementos por lo que no cabe transposición aunque sí sea posible su posterior desarrollo.
Este hecho nos hace reflexionar sobre la relevancia de la materia y del elemento unificador que normativa ha pretendido introducir ya que tal y como establece el artículo 81 de la Constitución esta materia precisa ser regulada mediante Ley orgánica, si bien, queda contenida en un Reglamento europeo.
Es preciso analizar el efecto que este hecho puede generar en nuestra Ley Orgánica de Protección de Datos, que en ningún caso podrá considerarse derogada, sino que asume un papel de complemento con respecto al contenido que aparece en el Reglamento.
Este asunto lo resuelve el Reglamento en su artículo 2.2 a): “El presente Reglamento no se aplica al tratamiento de datos personales en el ejercicio de una actividad no comprendida en el ámbito de aplicación del Derecho de la Unión».
Lo que supone que será precisamente la LOPD la que actúa en estos casos no comprendido en el ámbito de aplicación del Reglamento.
Pros y contras de la ley de protección de datos europea:
- Lo bueno: ya no hace falta pagar en la Agencia Española de Protección de datos para poder utilizar datos de clientes. Esto es un ahorro considerable para las empresas. Además tampoco es necesario darse de alta en la Agencia Española de Protección de Datos para tratar con datos personales.
- Lo menos bueno: el tema multas ya no lo lleva la AEPD que hasta el momento no llegaba a regular todas las páginas por lo que mucha gente no cumplía con la ley de protección de datos. Las multas pasan de ser un máximo de 60000 euros de multa a 2 millones de euros o el 4% de la facturación anual.
Para actualizarla lo mejor es contratar a alguien que tenga el título de Data Protection Officer. Así podrá gestionar e implementar todo el texto legal y los sistemas de seguridad que necesita una página web. También debemos de nombrar un delegado o responsable de los datos.Si nuestra empresa es pequeña pues el responsable será la persona encargada de la empresa en caso de que no nombremos a nadie.Esta persona debe aparecer como responsable de protección de datos en el texto legal.
Desde el día 25 de mayo no podemos mandar publicidad a nuestros antiguos contactos a no ser que sigamos teniendo una relación económica con ellos. Si queremos seguir enviando correos publicitarios deberíamos mandar un correo pidiendo permiso para poder seguir haciéndolo.
El tema se pone serio con la nueva ley de protección de datos. Es recomendable actualizar tu página web para poder seguir teniendo contacto con antiguos clientes.
¿Como cumplir con la ley de protección de datos europea?
Registro:
Debemos tener un registro donde pondremos todos los cambios a nivel datos que vayamos haciendo. (si se sacan datos incluso si pasamos un contacto telefónico a nuestro móvil habrá que anotarlo.
Consentimiento Expreso
En los formularios de contacto hay que pedir un consentimiento expreso. Es decir ya no vale el “entendemos que al darle clic a enviar aceptas la política de datos o checkbox activados” el cliente deberá darle clic al check box para que sea válido.
Información sencilla:
En el mismo formulario se deberá dar información sencilla de para que utilizaremos los datos y donde se guardan.
Los clientes tienen los siguientes derechos
- al olvido: debemos de dar opción al cliente de darse de baja y borrar sus datos del registro.
- a la portabilidad, es decir el cliente podrá consultar en todo momento que datos tenemos de él.
- a la limitación de tratamiento: es decir sólo se podrán utilizar los datos para lo que se indique en el texto legal.
A partir de ahora nuestra web debe tener acceso a:
Política de cookies, política de privacidad, Aviso legal, Condiciones de contratación (en el caso de tiendas online o servicios)
Se deberá indicar claramente:
El responsable del tratamiento de datos: persona que lleva el registro en la empresa.
La finalidad de los datos: Para que finalidad se piden los datos
Los destinatarios de los datos: En este caso la empresa que recibe los datos
Los derechos del usuario: Derechos al olvido etc…
Gracias
Adaptar nuestra página web a la nueva ley de protección de datos europea no es sencillo. Aunque hay bastantes manuales que hablan del tema. Desde PowebDesign a parte de hacer diseño web económico también estamos certificados como Data protection officer por lo que podemos adaptar su página web.
Si lo desea puede ponerse en contacto desde el correo pablo@powebdesign.es o desde el formulario de contacto de la página de inicio.