El 25 de mayo entró en vigor la nueva ley europea de protección de datos GDPR, que reemplaza a la normativa anterior, que contenía más directrices que leyes. Y a estas alturas, todos estamos algo aliviados al saber que el pánico reinante no destruyó el mundo entero. Días antes todos los buzones de correos electrónicos se inundaron con correos con un contenido de copia y pega preguntando si querías seguir en contacto o no. Pero a pesar de toda la información, o exceso de ella, la realidad es que menos del 50% de las empresas estaban realmente preparadas para el cambio y la mayoría no entendían muy bien de qué se trataba.
Hoy contestamos a algunas preguntas hechas por nuestros clientes y que aplican a todas las empresas españolas o no. De ninguna manera se debe tener esta información como una asesoría legal, sino solamente como información general.
¿Qué significa GDPR? European General Data Protection Regulation
GDPR es un reglamento que sustituye a la anterior Directiva de protección de datos de 1995 y que obliga a modificar la actual LOPD (Ley orgánica de protección de datos española), y que busca mejorar la seguridad y protección de los datos de los consumidores. Para ello, impone nuevos requisitos para las compañías que operan en Europa en todos los sectores.
El consentimiento para el tratamiento de los datos adquiere una importancia crucial con esta regulación. A partir de este momento, será imprescindible para la portabilidad de los datos. También será necesario en determinadas ocasiones para procesar datos personales.
¿Cuáles son los puntos fundamentales? Podemos resumir la nueva ley en 3 puntos claves:
1) Consentimiento
Para el tratamiento de cierto tipo de datos será necesario obtener el consentimiento del afectado, que deberá ser específico, informado, inequívoco y, en algunos casos, explícito.
2) Transferencia de datos y derecho al olvido
GDPR, como novedad, establece el derecho a la portabilidad y el derecho al olvido. De esta forma, un consumidor puede pedir a una empresa que le entregue todos los datos personales de los que esta compañía dispone sobre él/ella.
Estos datos deben transmitirse en un formato estructurado, de uso común y legible por máquina, directamente a las otras empresas (a petición del consumidor) cuando sea técnicamente factible. En cuanto al derecho al olvido, es el derecho del titular de un dato personal a borrarlo, eliminarlo o bloquearlo.
3) Seguridad y trazabilidad
Para determinados procesos de datos, deben crearse mecanismos de certificación definidos por ley, dirigidos a disminuir el riesgo legal e incrementar la confianza de los clientes.
¿Qué significa que sea un reglamento?
Los reglamentos son actos legislativos vinculantes, por lo tanto tienen un rango de ley.
¿Qué cambios son lo que hay que tener de forma inmediata?
Este es listado que debes tener:
✓ Política de Privacidad
✓ Política de Cookies
✓ Aviso Legal
✓ Coletilla legal para el formulario de suscripción.
✓ Coletilla legal para el formulario de contacto en tu blog.
✓ Coletilla legal para el formulario de comentarios.
✓ Coletilla legal para el pie de tus e-mails.
✓ Coletilla legal para el pie de tus newsletters.
✓ Coletilla legal para el pie de tus facturas y presupuestos.
Otros textos a considerar, aunque sean a nivel más interno:
➞ Contratos y/o acuerdos de confidencialidad cosas personas con las que trabajas ya sean de tu equipo o bien colaboradores externos que tengan acceso a los datos de terceros que gestionas.
➞ Diversas fichas de los tratamientos de datos habituales en tu negocio (clientes, proveedores, suscriptores, colaboradores…)
¿Qué pasa si hay una infracción?
Las infracciones de datos pueden provocar un daño sustancial monetario y reputacional en cualquier empresa, sin importar su tamaño. El GDPR implica consecuencias adicionales para las organizaciones que no protegen adecuadamente los datos personales. Las compañías que violen el GDPR pueden recibir una multa de hasta el 4% de sus ingresos anuales globales o 20 millones de euros, la cifra más alta. Lo que es más importante, si la empresa está expuesta a los medios de comunicación, la cobertura de una noticia como está puede causar un daño reputacional a la marca.
Pero, como dijimos antes, no importa cuál sea el tamaño de la empresa, cuando se rompe la confianza con un cliente, lo enviamos directamente a la competencia.
Ahora cualquiera, clientes que se sientes no protegidos dentro de tu organización (o enemigos) pueden someter a la organización al escrutinio del reglamento mediante la presentación de una queja.
¿Existe algo bueno en esta ley?
La ley ayudará a crear una relación de confianza entre tu negocio y sus suscriptores. Saber exactamente qué tipo de experiencia o contenido quieren los suscriptores te ayudará a cumplir y superar sus expectativas. El GDPR permite que sus suscriptores comprendan exactamente qué datos se recopilan y cómo se usarán.
Y dado que el GDPR proporciona a los suscriptores el derecho de especificar y actualizar fácilmente los permisos (por ejemplo, permitiéndoles optar por o dejar de recibir cierto contenido), también debería generar menos denuncias y reclamos de spam.
En el GDPR: ¿Qué es un Data Controller y un Data Processor?
Un controlador de datos es una figura central cuando se trata de proteger los derechos del interesado (por ejemplo, el individuo). Como su nombre lo indica, controla el propósito general y los medios, o el “por qué” y el “cómo” se usarán los datos.
El controlador de datos puede usar una organización externa para llevar a cabo el procesamiento de los datos que controla. Estas organizaciones que procesan los datos en su nombre se llaman procesadores de datos.
Es importante señalar que el procesador de datos no controla los datos y no puede cambiar el propósito o el uso del conjunto particular de datos. El procesador de datos se limita a procesar los datos de acuerdo con las instrucciones y el propósito dados por el controlador de datos.
¿Cómo se definen los roles de Data Controller y Data Processor?
Según GDPR, las organizaciones deben comprender la diferencia entre los controladores de datos y los procesadores de datos. Dependiendo de a cuál de estos pertenezca tu organización, el GDPR establece obligaciones y límites de lo que se puede hacer con los datos personales y quién es responsable de qué.
Los procesadores de datos solo deben usar datos personales según lo indique el controlador de datos. El incumplimiento por parte del procesador de datos con respecto a las instrucciones del controlador de datos, o el propio GDPR, refleja la reputación del controlador de datos. Por lo tanto, los controladores de datos deben exigir garantías a través de acuerdos de procesador de datos para garantizar que el procesador de datos maneje adecuadamente los datos personales.
El “subproceso” tiene en cuenta el ciclo de vida completo de los datos y considera cualquier otro (sub) procesador de datos en la cadena. Los controladores de datos deben tener en cuenta esta cadena al seleccionar un proveedor de servicios de terceros y exigir que los requisitos de los procesadores de datos también se apliquen a los subprocesadores.
Los líderes de SRM deben revisar los criterios obligatorios de selección de proveedores y agregar requisitos de protección cualitativos a través de adquisiciones en el proceso de selección de proveedores. Esto mejora el “ajuste” de un procesador de datos con los requisitos de cumplimiento de privacidad y el perfil de riesgo del controlador de datos en general.
¿Hay algo sobre el encriptado en la GDPR?
El cifrado es una forma de criptografía y viene en muchas formas y tipos, con varias soluciones y aplicaciones, que incluyen transmisiones y operaciones de Internet y de datos que a menudo no “vemos” ni conocemos.
El cifrado y la criptograma son claves en el modelo de datos de las actualizaciones de transacciones de blockchain. Los debates sobre este tema y la nueva ley, apenas han comenzado. El tema ocupa solo algunas líneas en la nueva ley y en algunos casos en particular es recomendable y puede traer beneficios. Aunque el encriptado no es obligatorio bajo la nueva ley, si tu empresa lo usa es mejor que mires los textos en detalle.
Los controladores de datos deben tener una política que rija el uso del cifrado, incluidas directrices que permitan al personal comprender cuándo deberían y no deberían usarlo.
¿Qué pasa si hay un fallo de seguridad?
La nueva ley es clara al respecto:
“El responsable del tratamiento debe comunicar al interesado una violación de los datos personales, sin demoras indebidas, cuando dicha violación de los datos personales pueda suponer un alto riesgo para los derechos y libertades de la persona física a fin de permitirle tomar las medidas necesarias.”
¿Cómo está relacionado el GDPR y el Cloud Computing?
Un controlador de datos es responsable de la conducta de cualquiera de sus procesadores de datos. El incumplimiento con respecto a GDPR en el lado del proveedor se refleja en el cumplimiento de la organización del usuario final. Hay formas de retener el control desde la perspectiva del usuario final y se incentiva a los proveedores de servicios a ajustar sus productos por igual. Mudarse a la nube, tener los datos tu empresa en Cloud Computing, puede aumentar los aspectos de seguridad de la actividad de procesamiento, por eso es muy importante que tu proveedor de dicho servicio tenga todos los riesgos bajo su control, como GEYMA, en donde aseguramos tu negocio protegiendo tus datos desde cualquier dispositivo. Visita las SOLUCIONES que tenemos para ti. 📲
