Nueva GDPR, ¿preparado?

 

Empieza la cuenta atrás para que se aplique la GDPR.

Todos sabemos que las leyes siempre van por detrás de los avances técnicos, y que poco a poco se van adecuando para conseguir proteger a los interesados que usan estos avances. Pues bien, esto es lo que ha pasado con la Ley Orgánica de Protección de Datos, que se ha quedado un poco obsoleta. Por ello desde la Unión Europea se ha creado la Regulación General de Protección de Datos GDPR, aunque no será aplicable hasta el próximo mes de mayo.

En este post vamos a hacer una comparativa de cómo va a cambiar la visión legal de protección de datos. Lo primero que cambiará de la LOPD a la GDPR es las restricciones, mientras la antigua ley era muy dúctil, la nueva es mucho más severa.

En la misma línea, varían los actores que considera la ley responsables y sus funciones. En la LOPD se especificaba cuáles son las medidas técnicas y organizativas para garantizar el tratamiento de los datos. Sin embargo, en la nueva GDPR el responsable de los datos, tiene que valorar qué medidas quieren que se apliquen al tratamiento de sus datos en función de la naturaleza de estos, el contexto en el que se recojan y para el fin que los quiere usar. Por lo tanto, las empresas en atención al volumen de los datos que obtengan deberán tomar diferentes medidas que no vienen impuestas, cada empresa debe adaptarse a su necesidades.
Otro factor que cambia es el principio de responsabilidad proactiva, donde se especifica que el responsable de los datos tiene que garantizar que ha elegido al mejor tratador. Los factores clave para confiar dicho trabajo son: datos que tratan, finalidad de tratar y tipo de tratamiento. Al final lo que se quiere es la implicación de las empresas en la elección de los tratadores. Para ello, lo mejor es hacerse las siguientes preguntas: ¿qué datos trata mi empresa y para qué los quiero?¿Cómo los procesa el tratador?

El aspecto de las tipologías de datos en la GDPR desaparece. La LOPD distinguía entre datos de carácter con sensibilidad básica, mediana y muy sensibles, ahora desaparece esa categorización en la GDPR.

Un factor muy relevante que nos afecta significativamente en el email marketing es el tipo de consentimiento necesario por parte del usuario para la base de uso de los datos. En la LOPD era suficiente con un consentimiento tácito, en la GDPR por el contrario, es necesario consentimiento expreso, aunque reserva el poder tener los datos de alguien si hay interés legítimo. El hecho de tratar datos profesionales únicamente para realizar contacto profesional, se puede considerar que se tratan en interés legítimo, aunque no se cuente con el consentimiento del interesado.

No obstante, hay limitaciones de la finalidad para la que se recoge el dato. Solo se pueden compilar los datos imprescindibles, se debe decir cual va a ser su uso, y se tiene que conservar el tiempo que sea necesario para llevar a cabo el fin para el cual se dió el consentimiento. El tratador se compromete a ofrecer garantías de seguridad. El responsable tiene que demostrar que se cumplen todas las limitaciones y principios.

En cuanto a la edad de consentimiento, también hay una modificación. En la LOPD la edad del consentimiento del tratamiento de los datos era de 14 años. Sin embargo en la GDPR es de 16 años aunque deja la posibilidad de cambio a los Estados. En el caso español, en el proyecto de ley se contempla la edad de consentimiento a los 13 años.

Siguiendo con las diferencias, el listado de medidas de seguridad de la LOPD desaparece. Solo se indica que las medidas de seguridad que se tomen deben ser las apropiadas en función del riesgo. Aunque si que se obliga a notificar los fallos de seguridad ante la autoridad competente (Agencia de protección de Datos), antes no había que hacerlo.

También está generando dudas el espacio de la aplicación del tratamiento. El convenio con USA (Save Harbaur), quedó derogado, porque era muy laxo en temas de protección de datos. Pero, desde 2016 está en vigor un nuevo tratado (Privacy Shield), en el que las empresas de USA que trabajen con datos personales de ciudadanos europeos se comprometen a cumplir la normativa europea en vigor. Cuando hay transferencia internacional de datos de ciudadanos europeos, estos estarán protegidos si las empresas tratadoras de datos firmaron el Privacy Shield. Habrá que tener cuidado con qué empresas se firman acuerdos para otorgarles la posibilidad de tratar tus datos ya que solo existe convenio con Norte América.

Al igual que se han suprimido o modificado algunas consideraciones, la nueva GDPR contempla dos nuevos derechos:

Derecho al olvido: el responsable del tratamiento debe suprimir los datos personales de la persona que lo solicita sin dilación.

Portabilidad de datos: cualquier interesado puede pedir la portabilidad de todos sus datos. Esto implica que el tratador que los tenía tenga que destruirlos.

Otra novedad es el principio de ventanilla única (un único supervisor en todo europa) que permite a una empresa que tenga establecimientos en varios estados o que afecten a ciudadanos de varios estados, que tenga una sola agencia de protección de datos como interlocutora. Esto supondrá en la práctica la necesidad de colaboración entre agencias de diferentes estados, y en caso de discrepancia insalvable, se podrá acudir al Comité Europeo de Protección de datos, organismo integrado por los directores de de todas las agencias de protección de datos de la Unión, siendo sus decisiones vinculantes para las agencias de todos los estados.

No hay mínimos en las cuantías de las sanciones, pero si tiene máximos más elevados, se ligan al volumen de facturación. Aunque el reglamento es más flexible, ya que tiene en cuenta más elementos para que se puedan modular las sanciones. Las cuantías pueden llegar a 20 millones de euros o el 4% de la facturación anual de la empresa infractora, ejemplo si se ceden datos a terceros sin consentimiento, o se usan los datos para un fin distinto al que se autorizó. Pero las sanciones no solo serán económicas, sino también pueden ser restrictivas, en el sentido de prohibir una acción o que se recojan determinados datos.
La nueva GDPR trae cambios significativos en cuanto a la protección de datos, muchas empresas estamos ya preparados para recibirla. ¿Estas preparado?

 

blue know