RGPD 2018 ✅ Nuevo reglamento protección de datos (LOPD)

//RGPD 2018 ✅ Nuevo reglamento protección de datos (LOPD)

El nuevo RGPD 2018 (reglamento general de protección de datos) entró en vigor el 25 de mayo de 2018, fue aprobado en 2016 y tras dos años de margen para adaptarse a el, toda empresa deberá cumplir sus directrices, además se está definiendo una nueva ley que sustituirá la actual Ley Orgánica de Protección de Datos (LOPD). Con estos cambios se pretende dar mayor poder a los usuarios sobre la concesión de sus datos personales (sobre todo los sensibles) y reforzar la seguridad de los mismos. El nuevo RGPD y la LOPD dan mucha importancia a la seguridad, transparencia y consentimiento en la obtención de los datos, e incluye un nuevo régimen de sanciones para reforzar su cumplimiento.

Al iniciar un proyecto web, no se debe invertir todos nuestros esfuerzos en crear una web “bonita” y dejar de lado los aspectos tan importantes  que marcan la diferencia entre lo legal y lo ilegal.

Tanto como usuario o cliente, y más aún si tienes una empresa, deberías estar al tanto de tus derechos y obligaciones.

RGPD 2018

El RGPD 2018 es el nuevo Reglamento europeo sobre la protección de datos personales basado en el principio de Accountability y marca unas pautas a seguir para conseguir una mayor seguridad, transparencia y consentimiento en la concesión y manejo de los datos personales. Este Reglamento europeo entró ya en vigor en mayo de 2016 y durante este periodo de transición, se está trabajando en la ley que sustituirá la actual Ley Orgánica de Protección de Datos (LOPD). Esto significa que todas las organizaciones ya deben estar adecuándose a los nuevos requisitos para asegurar su cumplimiento el año que viene.

En España desde el 2000 estamos sujetos a la Ley Orgánica de Protección de Datos (Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal) y se fundamenta en el artículo 18 de la constitución en relación con el derecho a la intimidad familiar y personal y el secreto de las comunicaciones.

Toda aquella persona o empresa que maneje o almacene datos de carácter personal, por cuenta propia o de terceros, debe llevar a cabo ciertas medidas de seguridad para el tratamiento de los mismos. Estos datos tienen distintos niveles de importancia, y en función de los datos que vayamos a manejar/almacenar se deben implementar las correspondientes medidas de seguridad para su protección.

Aspectos generales LOPD:

  • Solo se solicitarán los datos imprescindibles para garantizar el servicio o actividad
  • Mostrar claramente los datos a recoger y su fin, así como a donde dirigirse para realizar la rectificación o cancelación de los mismos.
  • Se debe solicitar el consentimiento intencionado del usuario para la recogida de sus datos.
  • La persona que maneje estos datos personales está sujeto al secreto profesional.
  • En caso de tener que compartir (solo en caso de ser necesario para dar el servicio) estos datos con un tercero, lo primero será informar al dueño de dichos datos y recibir su consentimiento.
  • Se ha de planificar y desarrollar medidas de seguridad directamente relacionadas con el nivel de relevancia de lo datos personales tratados, para asegurar su seguridad y evitar el robo o sustracción de los mismos.
  • Se debe informar de estos ficheros a la Agencia antes de crearlos y registrar la inscripción del fichero de datos en el Registro General de Protección de datos.

¿Quién debe cumplir el RGPD y la LOPD?

Cualquier persona o empresa que se encuentre en la Unión Europea, o que por su actividad o servicio maneje datos de carácter personal de clientes de la UE, deberá aplicar esta normativa.

¿Cuándo entra en vigor el nuevo RGPD?

El mayo de 2016 se aprobó esta nueva ley, y tras dos años de margen para adaptarse a ella, el 26 de Mayo de 2018 entró en vigor el nuevo RGPD y todas las personas y empresas afectadas deberán aplicarla.

Cambios del RGPD 2018 ✅

Ámbito territorial

Con la nueva normativa, las personas y empresas que se encuentren fuera de la Unión Europea, también tendrán que aplicarla en caso de tratar con ciudadanos de la UE.

Avisos de seguridad

Ya había establecidos ciertos procedimientos para el tratamiento de los datos personales, pero se ha reforzado este punto para informar mejor a los usuarios y aumentar sus derechos en esta materia.

  • Se debe informar y mostrar de manera clara a los usuarios los datos a recabar y sus derechos sobre ellos.
  • Se mostrar claramente la base legal del tratamiento de los datos personales y el periodo de retención de los mismos.

Registro de actividades

Sera de obligado cumplimiento el mantener un registro actualizado con los datos personales utilizados.

Información justa y necesaria

Solo se podrán solicitar datos personales necesarios para el correcto trámite de la actividad o servicio, no pudiendo pedir más datos de los necesarios por el mero hecho de recabar información.

Delegado protección de datos

Este nuevo perfil se designará dentro de aquellas empresas que trabajen con organismos públicos o que trabajen con datos masivos. Se encargará se planificar y supervisar el tratamiento de los datos y las medidas de seguridad sobre los mismos.

Derecho al olvido

Esta nueva medida pretende aumentar los derechos del consumidor, permitiendo a este solicitar la eliminación o borrado de sus datos personales si estos han dejado de ser necesarios para el servicio para el que se solicitaron, se ha decidido revocar su consentimiento, o por supuesto, si fueron obtenidos de forma ilícita.

Derecho a la portabilidad

Esta medida otorga al consumidor el derecho a solicitar al responsable correspondiente, sus datos personales en un formato adecuado para ser traspasados, e incluso solicitar que sea el propio primer responsable quien se los envíe siguiente responsable.

Consentimiento del usuario

Aunque ya se requería tener el consentimiento del usuario para la obtención de sus datos personales, con esta nueva normativa se trata de afinar aún más este requerimiento. No se podrán recoger datos personales tras recibir el consentimiento por la no actuación o silencio de los usuarios, se debe requerir una acción clara de consentimiento por parte del usuario.

Sanciones incumplimiento RGPD y LOPD 🔥

Sanciones incumplimiento RGPD y LOPD

A partir del 26 de Mayo todos aquellos que hayan recogido datos personales deberán aplicar las nuevas medidas o podrán verse sancionados con severas multas. Estas sanciones se dividen en tres grupos principales: leve, grave y muy grave, y sus rangos van en función del tiempo, volumen de datos obtenidos, sensibilidad, intencionalidad…. de los datos obtenidos.

Las faltas leves van desde los 900€ hasta los 40.001€,  y podría ser por ejemplo no inscribir el fichero de datos en el Registro General de Protección de Datos.

Las faltas graves van desde los  40.001€ hasta los 300.000€ y podría aplicarse por ejemplo en caso de recoger y tratar datos personales sin consentimiento.

Las faltas muy graves van desde los 300.000€ hasta los 600.000€ y se darían en el caso de recopilar datos personales de forma engañosa o fraudulenta.

Esto es así, pero el nuevo RGPD va más allá y las sanciones pueden llegar al 4% de la facturación anual de la empresa o a los 20 millones de euros (lo que sea mayor).

Adaptar sitios web a RGPD y LOPD ✍️

Adaptar sitios web a RGPD y LOPD

Se deben adaptar los sitios web a la nueva normativa o podríamos ser sancionados duramente. Se debe definir una política de privacidad clara y concisa y se debe informar de los datos personales a recabar, así como su finalidad y solicitar el consentimiento por parte del interesado para el tratamiento de los mismos. Además ya no vale la aceptación por omisión, debe existir una acción de consentimiento por parte del emisor de los datos. A continuación entramos más en detalle.

Adaptar formularios web

Se deben adaptar los formularios que permiten captar datos, para que lo hagan de forma legal. Según el apartado 1 del artículo 6 de la LOPD, el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa o sean de aplicación las excepciones previstas en el apartado 2 del mismo artículo. A esto se une lo dispuesto en el reglamento europeo de protección de datos (RGPD), donde hace especial relevancia a la obligatoriedad de requerir un consentimiento expreso. Es preciso informar de manera específica en cada uno de esos formularios sobre la finalidad, destinatarios, etc.

Para que un formulario sea legal debe:

  • Incluir una casilla de aceptación (checkbox) que genere un registro del consentimiento y debe estar desmarcada por defecto.
  • Incluir una primera capa informativa con un introducción sobre la finalidad y el tratamiento de los datos personales.
  • Incluir un enlace a la política de privacidad (segunda capa informativa).

Un formulario de contacto se usa para la recogida de datos personales, por diferentes fines como el simple contacto, suscripción a boletines, compras online o descarga de contenido. Es vital que esta zona sea un lugar que inspire confianza y que invite al usuario a ceder  sus datos con total tranquilidad. Para ello hay que generar evidencias claras de legalidad y compromiso en lugar de propiciar la certeza de que allí la legalidad no está presente.

Contenido política de privacidad

El contenido mínimo que debe contener la política de privacidad será:

 Los datos e información de contacto del responsable del dominio, en tanto que responsable del tratamiento de datos personales de la web y, en su caso, del representante y del delegado de protección de datos.

 Información sobre la finalidad del tratamiento y su base jurídica.

 Destinatarios de los datos personales.

 Información sobre la cesión o transmisión de los datos a terceros, especialmente si dicha transferencia es a un tercer país u organización internacional.

 Plazo de conservación de los datos, o criterios para determinarlo en caso de que esto no sea posible.

 Información sobre los derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad que el usuario posee como consecuencia de la cesión de sus datos personales.

 Información sobre el derecho a presentar una reclamación ante una autoridad de control.

 Consecuencias de no facilitar los datos solicitados.

 Puesta de manifiesto de la existencia de decisiones automatizadas, elaboración de perfiles y descripción de la lógica utilizada para obtener dichos resultados, en caso de que se utilicen los datos con esta finalidad.

En función de los servicios ofrecidos y la sensibilidad de los datos personales solicitados podríamos vernos obligados a añadir más información. Y no solo debemos informar de nuestra política de privacidad, sino también cumplirla y demostrarlo, para evitar sanciones.

Conclusión

La aplicación del nuevo RGPD es un hecho y es hora de adaptarse a esta normativa que apuesta por reforzar los derechos y libertades de las personas, cuestión que por fin parece más relevante.

Hasta ahora no había una regulación tan estricta en la obtención y manejo de los datos personales por parte de las empresas, pero visto el masivo tráfico de datos personales que se ha producido en los últimos tiempos, y el valor de los mismos, se están tomando medidas para regularlo correctamente.

Habrá que estar atentos a ver con que rigurosidad se sancionan o no las posibles infracciones pero por si acaso nosotros implementamos todos nuestros proyectos siguiendo las pautas comentadas en este artículo.

Se agradece tu comentario, opinión o valoración.

Un saludo y suerte en tus proyectos.

“Nuevo RGPD 2018”  “¡No te lleves un susto!”

¿Te ha sido útil este artículo?
Déjanos tu valoración, por favor.

Valóranos (Votos:6 Media:5)

Sobre el autor:

Enamorado de Wordpress y apasionado del SEO

2 Comments

  1. destruccion de documentos 4 mayo, 2018 at 7:16 am - Reply

    Muchas gracias por la información. Para autónomos como yo, es muy importante conocer el Nuevo Reglamento de Protección de Datos para saber a que acogernos y que precauciones tomar para evitar el espionaje industrial. Un saludo

    • Khalil M.C. 4 mayo, 2018 at 9:09 am - Reply

      De nada, ¡Un placer que el artículo te haya ayudado!
      Muchas gracias por dejar tu comentario.

Danos tu opinión