GDPR/RGPD: la nueva ley de protección de datos
Cómo nos va a afectar la nueva normativa europea sobre protección de datos GDPR/RGPD
El 25 de mayo entra en vigor en toda la Unión Europea una nueva ley de protección de datos: GDPR (General Data Protection Regulation). Una normativa que afecta a todas aquellas empresas que traten datos de los ciudadanos europeos aunque sean foráneas a la UE.
A partir de ese momento las empresas tendrán qué comunicarte qué datos personales tuyos están usando, cómo se están usando, para qué fin y quién es responsable de los mismos dentro de la empresa. Con esta nueva normativa se pretenden unificar los derechos y obligaciones (tanto de los ciudadanos como de las empresas) en toda la Unión Europea.
La GPDR debe cumplirse tanto por empresas de la UE como por empresas de otros países
En unos meses se espera que en nuestro país se apruebe una nueva ley orgánica de protección de datos (LOPD) que se adapte a esta nueva normativa europea, pudiendo puntualizar o definir mejor alguno de los apectos de la misma, pero no contradecirla.
Quién debe cumplirla
A todas las empresas que gestionan, almacenan, explotan... etc. cualquier dato personal de cualquier ciudadano de la Unión Europea. No tienen por qué ser empresas europeas, pueden ser empresas de cualquier país, desde Microsoft hasta Rakuten.
Tus derechos
Esta nueva ley contempla el derecho al olvido, a la portabilidad y al acceso.
Olvido
Que sean borrados los datos personales cuando el usuario lo solicite, cuando los datos ya no sean necesarios para lo que fueron solicitados o que se hayan recopilado de forma ilícita.
Portabilidad
Puedas recuperar tus datos y que te sean suministrados en un formato que sea fácilmente legible y ampliamente compatible para que puedas suministrárselos a un nuevo proveedor que los necesite y requiera.
Acceso
Puedes solicitar a las empresas saber qué datos tuyos están almacenando y/o utilizando y con qué propósito.
Sanciones
La GPDR estipula que se puede llegar a sanciones de hasta el 4% de la facturación anual o 20 millones de euros según el caso. Se trata de sanciones para las infracciones más graves, como por ejemplo, no tener consentimiento expreso del usuario para procesar sus datos o no disponer de las condiciones necesarias en el entorno para mantener la privacidad de los datos suministrados.
Nuevas formas de consentimiento
Con la nueva ley las claúsulas de consentimiento deben presentarse de una forma legible, fácilmente inteligible y con un lenguaje claro y sencillo además de que sea fácil acceder a las mismas. El consentimiento debe presentarse además de forma independiente de otros conjuntos de claúsulas siendo inequívoco.
No podrán existir casillas de aceptación premarcadas ni textos ilegibles y/o inentiligibles
Por otro lado, no podrán existir casillas de aceptación premarcadas que permitan a las empresas el uso de tus datos personales para cualquier fin. Deberán especificarse e introducir diferentes casillas de verificación para cada uno de los casos en los que se vayan a utilizar tus datos personales.
Hay que tener en cuenta que debido al cambio en la normativa todas aquellas empresas que quieran cumplir con la misma tendrán que ponerse en contacto con nosotros para avisarnos que nuestro consentimiento dado con fecha anterior a la nueva normativa ya no es válido y tendremos que volver a aceptar (o no) las condiciones con el nuevo formato.
Avisos de incidentes de seguridad
Las empresas deberán informar en un plazo máximo de 72 horas si se he producido alguna vulneración de la seguridad de acceso a los datos, no sólo a las autoridades sino también a todos los usuarios que hayan podido ver comprometido la privacidad de sus datos personales.
Responsable de los datos
No es obligatorio que exista esta figura en todas las empresas. En cualquier caso, sus funciones serían la asesoría de los empleados acerca de sus obligaciones relacionadas con la protección de datos, supervisar el cumplimiento de la misma, servir como nexo entre la empresa y los usuarios acerca de este ámbito... etc.