Protección datos

borrar-datos-personales-internet

Desde el 25 de mayo de 2018 es de obligado cumplimiento el Reglamento General de Protección de Datos (RGPD). Una legislación europea que entró en vigor el pasado 25 de mayo de 2016 pero que ha dado estos 2 años de plazo para que todos los obligados a su normativa se adaptaran a su articulado.

El RGPD recoge el derecho a la protección de datos personales y control sobre el uso que personas físicas, jurídicas y organismos públicos hacen de los mismos. Y la primera duda a resolver es si autónomos y pymes estáis obligados a su cumplimiento.

Pues bien, según el propio texto de la normativa “todas las empresas, sociedades, autónomos, comunidades, asociaciones y administraciones públicas de los Estados miembro”, están obligados a su cumplimiento. Por lo que, obviamente, sí que estais obligados.

Además el RGPD es de aplicación en todo el territorio de la Unión Europea (UE), el Reino Unido (tras su salida del espacio comunitario en 2019) y todas las empresas que, siendo de fuera, ofrezcan bienes o servicios a personas o controlen su comportamiento dentro de la UE.

Las claves del RGPD

El RGPD se articula en base a unos principios básicos que sirven para articular los pilares sobre los que sustenta toda la normativa. Relativos a la protección, el tratamiento y el envío

internacional de los datos personales, pueden resumirse en:

  1. La información tiene que ser recabada de forma clara y de manera que sea fácilmente comprendida por el interesado.
  2. Los datos, además tienen que utilizarse para el fin previamente establecido y mantenerse actualizados y almacenados garantizando su seguridad.
  3. El tratamiento de los datos siempre tiene que ser lícito y por eso tiene que cumplir con determinadas condiciones como que se dé el consentimiento expreso del interesado para poder ser usados, que sean usados para la firma de un contrato en el que intervenga el interesado o cuando sean imprescindibles para proteger intereses legítimos.
  4. Los datos, en principio, no pueden salir del Espacio Económico Europeo y si van a salir, tienen que observarse en el envío las garantías suficientes para la correcta protección de los mismos.

De hecho, su efecto sancionador solo se pone en marcha cuando sucede la infracción. Así que antes de llegar a ese punto, estos son los pasos que debes dar:

  1. Designa un Delegado de Protección de Datos (DPD) si tu negocio o empresa tiene como objetivo el tratamiento de datos (por la propia naturaleza de tu actividad o para poder desarrollar la misma) o si los tratas a gran escala.
  2. Elabora un Registro de Actividades de Tratamiento teniendo en cuenta para qué van a ser utilizados los datos.
  3. Realiza un Análisis de Riesgos con el que estudiar el nivel de peligrosidad que hay entorno al tratamiento y almacenamiento que haces con los datos personales que manejas. Piensa en qué tipo de datos manejas, el contexto en el que los mueves y los elementos más relevantes que intervienen en ellos.
  4. En cuarto lugar, tienes que hacer una Evaluación de Impacto mediante la que analizar las medidas de salvaguarda que tienes implementadas para salvaguardar los datos en caso de sufrir una fuga de información y/o cometer una infracción.
  5. Analizadas las que ya tienes, y teniendo en cuenta los riesgos, define e implementa aquellas que sean necesarias para cumplir con el RGPD.

Atención a las sanciones previstas en el RGPD

El RGPD amplia las sanciones que contempla la LOPD española, pero es bastante impreciso al respecto. La norma de nuestro país establece una tipología entre infracciones leves, graves o muy graves, algo que no hace la directiva europea que especifica que para establecer la sanción  habrá que atender al caso particular y estudiar, entre otras:

  • La naturaleza, gravedad y duración de la infracción.
  • La intencionalidad o negligencia.
  • Las medidas adoptadas por el responsable del tratamiento de los datos para minimizar los daños.
  • El grado de responsabilidad del responsable del tratamiento de los datos en la infracción.
  • El grado de cooperación con la autoridad de control.
  • La categoría de los datos de carácter personal afectados.
  • Cualquier otro agravante o atenuante aplicable a las circunstancias del caso.

Y ten cuidado porque las infracciones que se contemplan pueden llegar a alcanzar entre los 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global de tu actividad o empresa.

Además, por primera vez se permite a los estados que establezcan faltas y delitos penales en base a las violaciones de su articulado.

El RGPD también recoge derechos para proteger tus datos personales frente a terceros

Esta normativa europea no solo contempla tus obligaciones, sino que también regula los derechos que podrás exigir a otros autónomos y pymes con respecto a tus datos personales:

  1. Derecho a conocer: para qué van a ser usados tus datos y hasta cuándo, y de qué modo, se van a conservar.
  2. Derechos a solicitar al responsable la suspensión del tratamiento de tus datos, la limitación de su uso, la defensa de estos o su portabilidad a otro proveedor.
  3. Derecho a rectificar tus datos cuando sean inexactos o estén incompletos.
  4. Derecho a suprimir tus datos por el tratamiento ilícito de los mismos, porque desaparezca la finalidad para la que fueron recabados o cuando revoques tu consentimiento.
  5. Derecho a la oposición al tratamiento de tus datos por motivos personales o cuando el objetivo del tratamiento sea el marketing directo.

Además, por primera vez se regula el derecho al olvido con el que podrás eliminar tu rastro por completo, o parte de él, de Internet.

Información importante que debes conocer

Los datos personales confidenciales, como la información de salud o la información que revela el origen racial o étnico de una persona, requerirán una mayor protección. No debes almacenar datos de este tipo dentro de tu cuenta o aplicación móvil.

Si eliges usar tu propia Política de Privacidad y  Términos del Servicio, debes asegurarte de mantener un registro de los cambios que realices. De acuerdo con el nuevo Reglamento de Protección de Datos, debes poder demostrar qué información se les proporcionó a tus usuarios y si dieron su consentimiento cuando descargaron información en una fecha específica. Eso significa que si realiza iteraciones a lo largo del tiempo, debes mantener los registros de cada versión.

Si estás utilizando un software de terceros dentro de la aplicación a través de integraciones o de la funcionalidad de Sitio Web que recopilen o procesen datos personales, deberás agregar esta información a tu Política de privacidad personalizada y añadir el consentimiento adecuado.

Ejemplo: si estás utilizando una integración de marketing por correo electrónico y recibes una solicitud para que se elimine una cuenta de usuario, deberás eliminar al usuario en el CMS y procesar la eliminación en el software de terceros, como MailChimp.

0 Comentarios

Dejar una respuesta

Si continuas utilizando este sitio, aceptas el uso de las cookies. Más información

Las opciones de cookie en este sitio web están configuradas para "permitir cookies" para ofrecerte una mejor experiéncia de navegación. Si sigues utilizando este sitio web sin cambiar tus opciones o haces clic en "Aceptar" estarás consintiendo las cookies de este sitio.

Cerrar