Todo lo que necesitas saber sobre la RGPD: la nueva normativa para la protección de datos

A estas alturas, seguramente ya has visto en más de un sitio estas siglas que hacen que se nos trabe la lengua. Por si aún no lo sabes, la RGPD es la nueva normativa europea para la protección de datos y entra en vigor el próximo 25 de mayo. Esto significa que, hay que implementar una serie de medidas en nuestros sitios webs para estar al día. Toma nota porque el no cumplimiento de esta ley, puede acarrear una sanción administrativa considerable.

¿Qué diferencias hay en la nueva ley de protección de datos?

El primer cambio es en cuanto a la ‘actitud’ de la ley. Mientras su antecesora, la LOPD (esta también te suena, ¿verdad?) era reactiva, la nueva RGPD es proactiva y se valorará positivamente la mejora continua y la muestra de buena voluntad por parte de la empresa. No tenemos que esperar a que pase algo para actuar, sino que tenemos que ir implementando cada vez más medidas para que no haya errores.

Esta normativa se centra en el usuario otorgándole más derechos y facilidades:

  • El usuario contará con facilidades para acceder a sus datos, rectificarlos, cancelarlos u oponerse a su uso (Derecho ARCO).

  • El usuario tendrá que dar su consentimiento explícito para el uso de sus datos, pudiendo elegir para qué fines cede su información y para cuáles no.

  • El usuario tendrá derecho al olvido y a la portabilidad de sus datos en un formato que permita una fácil transferencia (es decir que puede pedir que se eliminen todos sus datos o que se exporten)

¿Qué nuevas obligaciones tiene la empresa con la entrada en vigor de la RGPD?

  • La empresa está obligada a realizar un análisis de riesgos y evaluaciones de impacto. Es decir, debe analizar las consecuencias de un supuesto filtrado de esos datos que almacena y especificar los riesgos que existen para el usuario si eso ocurre. Cualquier filtración de datos debe hacerse pública en las siguientes 72 horas desde su descubrimiento.

  • Además, estará obligada a registrar documentalmente las operaciones de tratamiento.

Estas obligaciones vienen acompañadas de sanciones por su incumplimiento: en concreto serán del 4% de la facturación global anual o de hasta 20 millones de euros, la cantidad que sea mayor.

¿Cómo se controla el cumplimiento de la nueva ley de protección de datos?

Para asegurar el cumplimiento de esta nueva norma, aparece una nueva figura en la empresa: el Delegado de Protección de Datos (DPD o DPO). Este nuevo actor será el encargado de salvaguardar el cumplimiento de la normativa, siendo el nexo de unión entre el usuario y la empresa.

Esta nueva figura, deberá acreditar su conocimiento y registrarse en la AEPD (Agencia Española de Protección de datos). Esta figura, no es obligatoria para todas las empresas, aunque se valorará de forma positiva a aquellas organizaciones que cuenten con esta persona.

Pero entonces… ¿qué tengo que hacer para cumplir con la ley RGPD en mi web?

Cualquier sitio web, debe adecuar sus notas legales para cumplir con la nueva normativa. Si hasta ahora contábamos con tres notas legales (aviso legal, política de privacidad y uso de cookies), a partir del 25 de mayo deberemos ponernos al día actualizando toda esta información y añadiendo los cambios precisos.

Los principales cambios que deben llevarse a cabo:

  • Se deberá facilitar al usuario el consentimiento explícito para el uso de sus datos.

  • Este consentimiento deberá especificar de forma clara cuál es el uso que se realizará de los mismos.

  • El consentimiento será libre y granular, es decir, el usuario tendrá la opción de aceptar o no cada uno de estos consentimientos legales. Diferenciando las tipologías de datos que tiene la empresa y el uso que se va a dar a esos datos.

En la práctica, esto se traduce en que el usuario encontrará una lista con hasta 4 tipos de consentimientos para el uso de sus datos, o lo que es lo mismo, 4 “checks” en un formulario que el usuario deberá “clickar” para confirmar que está de acuerdo con el uso que se van a dar a sus datos:

1 – Datos personales: estos datos deberán ser guardados en la base de datos, aceptando el check de la privacidad

2 – Uso de datos para fines de marketing: si queremos usar esos datos para fines de marketing el usuario deberá aceptar de manera explícita (check ) la “política de publicidad”, donde se explicará para que se van a usar sus datos, este consentimiento deberemos guardarlo en nuestra base de datos junto con su información.

3 – Datos sensibles: Si los datos que usa la web son sensibles (Datos médicos, de afinidad política, religiosos…) además de incluir un check sobre el tratamiento de datos sensibles, estos tendrán que guardarse en una base de datos encriptada o seudonominizada.

4 – Transferencias internacionales: si los datos se van a tratar de manera internacional también habrá que incluir un check con la política de tratamiento de datos internacionales.

Estos 4 “checks” tendrán que quedar registrados junto con el resto de datos del formulario para saber quién otorgó el consentimiento, cuándo y cómo se otorgó y qué información recibió. Cada uno de esos “checks” debe ir acompañado de una nota legal que especifique y amplíe la información.

Como hemos comentado al principio, esta información debe almacenarse de forma correcta, ya que deberá ser fácilmente exportable y actualizable por el propio cliente. Ya no sirve sólo con tener el consentimiento del usuario, sino que tendremos que ser capaces de acreditarlo.

¿Qué pasa con los consentimientos recibidos antes del 25 de Mayo?

Los emails que actualmente se utilizan con fines publicitarios deberán reconfirmarse para poder hacer uso de ellos. Es decir, el usuario debe aceptar explícitamente el uso de estos datos con este fin.

No podremos hacer uso publicitario de los datos de aquellos usuarios que no actualicen esta información antes del 25 de mayo, por lo que en este caso, planificarse y anticiparse es básico si no queremos dejar de utilizar estos datos en nuestras acciones publicitarias a los leads captados hasta la fecha.

Evidentemente, también se tendrán que adecuar los textos legales de la web para estar vigente con la nueva normativa, diferenciando en esos 4 consentimientos de datos que ya hemos mencionado (personales,  marketing, sensibles y transferencias internacionales).

¿Cómo afectan estos cambios a las cookies?

La nota legal referente a las cookies y su uso, continúa como hasta ahora ya que los cambios que traerá para ellas la “Privacy” no se harán efectivos hasta Diciembre. Esta es una normativa aún en definición.