El pasado 25 de mayo entró en vigor la nueva Ley de Protección de Datos que se había publicado en 2016. Desde este momento todas las empresas que tratan datos de ciudadanos europeos han tenido que ceñirse a la nueva ley. Después de casi tres meses de que entrara en funcionamiento esta normativa, todavía hay empresas que están en proceso de adaptación.
Para todos aquellos que todavía no saben en qué consiste esta legislación, en SeedRocket te lo explicamos. El Reglamento General de Protección de Datos (RGPD) se aplica a empresas, tanto privadas como públicas, que capten, utilicen o traten datos personales de los ciudadanos que pertenecen a la Unión Europea. De esta manera se protege su privacidad y se les da más autonomía con la protección de su información personal.
Entre los principales cambios en la normativa, incluyen los derechos de acceso, al olvido y a la portabilidad de datos. Las empresas están obligadas a informar a sus usuarios de la toma de datos. Si tú empresa no cumple los requisitos establecidos en la RGPD puedes llegar a pagar una sanción de hasta 20 millones de euros o un 4% de tu facturación, seas autónomo o no. Está claro, que la sanción varía en función de la infracción que se produzca.
Seguramente, estos últimos meses hayas recibido una oleada de emails procedente de empresas que solicitaban tu consentimiento en cuanto a la protección de datos. Pues bien estos emails son importantes, ya que suponen un cambio en los derechos de los usuarios y en la confianza de estos hacia la empresa y si las propias empresas no los cumplen, pueden enfrentarse a grandes sanciones.
De hecho, ya se han dado a conocer las primeras posibles sanciones por incumplir la nueva ley de protección de datos. La ONG Noyb acusa a Whatsapp, Instagram y Facebook de “obligar” a los usuarios a dar su consentimiento sobre la protección de datos, ya que sólo les brindan la opción de “aceptar”. La sanción puede rondar los 7.600 millones de euros.
En España también se han dado los primeros casos de incumplimiento. Por ejemplo, LaLiga podría ser sancionada por el uso abusivo del micrófono en sus aplicación para el teléfono móvil. Esta infracción choca contra el principio de minimización de los datos. LaLiga utiliza el micrófono para perseguir la piratería (acto lícito), pero no tomando las medidas adecuadas.
Por otro lado, la empresa Telefónica también ha estado en el punto de mira tras una fuga de datos de sus clientes que ha sido controlada a tiempo. Por unas horas quedaba al descubierto los datos personales y la facturación de sus clientes.
Hace unos días, la cadena de Supermercados Dia estaba en el punto de mira tras sacar a la luz la utilización de cupones de descuento que llevaban a la concesión y consentimiento de sus clientes para usar sus datos personales. Después de la avalancha de críticas en Redes Sociales, la cadena ha decidido retirarlos. Los propios clientes de la cadena han alzado la voz: ellos mismos desmienten que se trate de un fallo, ya que previamente sus clientes habían aceptado las condiciones al hacerse socios. De todas maneras, la Agencia Española de Protección de Datos ha iniciado actuaciones de oficio.
Antes de que se implantara esta nueva ley de protección de datos, el 90% de las empresas no tenía establecida una regulación apropiada. Si tu empresa es de las que todavía no se han adecuado a la ley, te explicamos paso a paso cómo adecuarse y cumplir la RGDP.
Para poder justificar que una empresa está cumpliendo la RGDP tiene que demostrar que sigue:
- Códigos de conducta: hace referencia a los mecanismos que cada empresa tiene que adoptar de forma voluntaria para garantizar la protección de datos.
- Mecanismos de certificación: son válidos en un período de tres años y tienen el objetivo de demostrar el cumplimiento adecuado de la normativa.
- Documentación justificativa de las medidas adoptadas.
¿Qué pasos debe seguir tu empresa para adecuarse a la nueva ley?
Primero de todo hay que designar a un Delegado de Protección de Datos que se encargue de adaptar los nuevos cambios. A continuación hay que crear un Registro de Tratamiento de datos donde quedarán especificados todos los datos que se recogen para llevar a cabo dicha normativa. Se deben modificar o adecuar los formularios de la web y adaptar todos los sistemas de recolección de datos.
También se deben revisar los complementos y plugins añadidos de la misma manera que renovar los elementos de consentimiento, asegurándose que todos cumplen la normativa europea.
Finalmente, debes notificar cualquier problema de privacidad. Tienes un plazo de 72h para notificar cualquier incidencia, a no ser que tu página cifre la información de los afectados.
Próximamente publicaremos una guía detallada para cumplir con el RGDP. ¡Estad atentos!