Todo lo que tienes que saber sobre la nueva normativa de Protección de Datos
(Actualizado el 5 de julio de 2019)
¿Sabías que desde mayo de 2018 se aplica un nuevo Reglamento General de Protección de Datos (RGPD), que acoge toda la normativa europea? De hecho, desde junio de 2017, el Consejo de Ministros ya anunció la adaptación a la normativa europea. Como consecuencia, tienes que asumir como normativa de referencia de protección de datos el RGPD y no las normas españolas, como venía sucediendo hasta ahora con la Directiva 95/46.
Las nuevas leyes europeas de protección de datos no sólo modifican algunos aspectos de la tradicional Ley de Protección de Datos, sino que incorpora nuevas obligaciones. De ahí que sea tan importante que te informes bien. No obstante, la ley que sustituirá a la actual Ley Orgánica de Protección de Datos (LOPD), sí podrá incluir algunas precisiones o desarrollos en materias en las que el RGPD lo permite.
Y como adaptar tu web a la protección de datos requiere de un laborioso proceso de control, desde Txerpa Asesoría Online queremos resumirte las novedades más destacables, ¡para que tu web cumpla con la normativa de protección de datos!
El nuevo Reglamento General de Protección de Datos incorpora el principio de responsabilidad proactiva. Éste exige a las empresas u organizaciones un comportamiento proactivo y responsable, a la hora de recoger y utilizar los datos de los usuarios o clientes. Además, exige a dichos organismos a analizar los datos que recogen, con qué finalidades lo hacen y el tratamiento que se realizan sobre los mismos.
Se trata de realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD), con carácter previo, a la puesta en marcha de aquellos tratamientos que sea probable que conlleven un alto riesgo para los derechos y libertades de los interesados.
El tipo de análisis variará en función de cuestiones como por ejemplo el tratamiento y naturaleza de los datos, el número de interesados afectados...
Además, se ofrece una Lista de Verificación, con la que Europa pretende ayudar a las organizaciones y empresas en general a saber en qué punto se encuentra su empresa, en cuanto a la adaptación a la nueva normativa de protección y tratamiento de datos.
En el caso de los autónomos, como se trata de empresas pequeñas que realizan un tratamiento de la información de poca complejidad, según la normativa europea, pueden hacer este análisis basándose en una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados. Tal vez hayas leído por ahí que las empresas deben incorporar un Delegado de Protección de Datos. Como eres autónomo y se presupone que no manejarás un alto volumen de datos personales de tus usuarios, en principio tú no deberías disponer de esta figura profesional.
Tendrías que responder a cuestiones como...
¿Se tratan datos sensibles?
¿Se incluyen datos de una gran cantidad de personas?
¿Incluye el tratamiento la elaboración de perfiles?
¿Se pretende utilizar los datos obtenidos para una finalidad para otro tipo de finalidades?
Te recordamos que hagas el TEST de la herramienta FACILITA, para comprobar si cumples con la normativa de protección de datos. Es un comienzo a la hora de incorporar en tu web y negocio todo lo necesario.
Hay cuestiones de la antigua LOPD que también se mantienen en el nuevo RGPD, a la hora de realizar el tratamiento de datos personales de los usuarios. Es decir, dicho tratamiento necesita apoyarse en una base que lo legitime. Hablamos de:
obtención del consentimiento.
existencia de una relación contractual.
etc
Explicación de la base legal sobre la que se desarrolla el tratamiento de los datos:
Tendrás que especificar en tu web la base legal sobre la que desarrollas el tratamiento, a la hora de recoger los datos de los usuarios.
Además, tendrás que indicar si necesitas determinada información para realizar una operación, u ofrecer un servicio. Un ejemplo sería la recopilación necesaria de datos para poder realizar transferencias internacionales.
La identificación de la base legal es indispensable para estar en condiciones de demostrar que cumples con las previsiones del RGPD. Como te comentábamos al principio, recuerda que tanto la identificación, como la documentación, deben adaptarse al tipo de tratamiento que vayas a realizar, así como a las características de tu empresa.
Toda la información que des a tus usuarios tendrá que ser comprendida fácilmente, por lo que deberás usar un lenguaje sencillo. Ya no valen los tecnicismos, o simplemente escribir una breve frase que haga referencia a la ley. Así como la LOPD sólo exige que se ofrezca la info a los usuarios, el RGPD te dice que debe entenderse. Ahí es nada. El usuario tiene que acceder a una información de fácil comprensión, por lo que no te valdrá ya hacer alusión simplemente al artículo de turno o ley de referencia.
Nueva lista de información que debe ofrecerse a los usuarios:
El antiguo listado de la LOPD se amplía, incorporando:
Base jurídica del tratamiento.
Intención de realizar transferencias internacionales.
Datos del Delegado de Protección de Datos (si existiera).
Elaboración de perfiles.
Tendrás que dar toda esta información a los interesados por escrito, incluidos los medios electrónicos.
De hecho, para lograr dejar más clara al usuario toda esta materia, la UE ya está trabajando en determinados iconos estandarizados.
El consentimiento del usuario para ceder los datos debe ser inequívoco y explícito:
Otra de las grandes novedades de la RGPD, es que desde mayo de 2018, el visitante de tu página tiene que ofrecerte su consentimiento de manera explícita, para poder recopilar sus datos de navegación. Es decir, que haga click en el botón de 'Ok' o 'Acepto'.
¿Recuerdas que antiguamente si el visitante de tu web seguía navegando en tu página, sin haber aceptado la política de cookies, podías conseguir sus datos de navegación? Esto es porque la LOPD admite la navegación por omisión. Bien, pues esto no está permitido con la nueva normativa.
Derecho al olvido:
Otra de las grandes apuestas de la nueva ley (establecida tras la jurisprudencia que el Tribunal de Justicia de la UE estableció en el caso Google Spain), que apuesta por el derecho del usuario al borrado y cancelación de los datos personales. Si ya aplicas esta práctica, no tienes que cambiar nada. Si no, y has hecho públicos los datos personales de los usuarios que quieren que sus datos sean borrados, deberás adoptar medidas al respecto, como informando a otros responsables de la solicitud del interesado de borrar su información personal.
Recuerda que el incumplimiento de esta normativa puede conllevar multas de miles de euros, o incluso la retención del 2% al 4% de la empresa. Como consecuencia, si eres un autónomo que tratas datos personales de los usuarios de tu web o clientes para poder desarrollar tu actividad económica, te recomendamos que consultes bien la normativa, aunque ya has visto que en tu caso las labores son mínimas en comparación con otro tipo de empresas.
Negocios con recopilación de datos poco sensibles no se ven tan afectados. De hecho, la herramienta FACILITA RGPD de la Asociación Española de Protección de Datos (AEPD) te ayudará a saber cómo proceder.
Para negocios con recopilación de datos más sensibles, sí es conveniente acudir a una empresa especializada, pero sobre todo consultar primero en la web de la AEPD. De hecho, este organismo acaba de denunciar posibles fraudes de empresas que ofrecen este servicio ‘a coste cero’. Mucho cuidado a la hora de elegir empresa, porque determinadas acciones comerciales pueden llevar sanciones.
Y si buscas asesoría online con servicio de facturación online, ¡cuenta con Txerpa! Elige tu Plan tanto si eres autónomo como empresa y consigue asesoría continua y facturación online ¡por el mismo precio que otras asesorías!
Usa el chat de esta página, contáctanos desde info@txerpa.com - 971 914 199 o rellena el formulario de contacto y te lo contamos.