DirectRGPD

Noticias RGPD

Mantente al día con las últimas novedades sobre el Reglamento General de Protección de Datos (RGPD). Aquí encontrarás noticias actualizadas, cambios legislativos, sanciones relevantes, y análisis expertos sobre privacidad y protección de datos en Europa. Ideal para profesionales, empresas y usuarios que buscan entender cómo el RGPD impacta en el entorno digital actual.

  • BBVA me pidió firmar un consentimiento RGPD para cancelar mi seguro… y era una trampa

    BBVA me pidió firmar un consentimiento RGPD para cancelar mi seguro… y era una trampa

    Cuidado con las cancelaciones de seguros en BBVA: una experiencia real que debes conocer

    Durante años pensé que la época en la que los bancos aprovechaban la confianza de la gente para hacerles firmar documentos sin explicar realmente su contenido había quedado atrás. Aquellos tiempos en los que uno se sentaba frente a una persona trajeada, que hablaba con seguridad y acababas firmando cualquier documento que te entregaba confiando en el y en la entidad bancaria. Creí que, después del estallido de la burbuja inmobiliaria, de los escándalos, de las reclamaciones masivas y de los daños que tantas familias sufrieron, las entidades financieras habrían aprendido la lección y abandonado esas prácticas tan cuestionables.

    Pero no. Lo que he vivido recientemente demuestra que esas dinámicas no han desaparecido; simplemente se han desplazado a otros productos menos vigilados: los seguros.

    Por mi actividad profesional, muy vinculada al ámbito de la protección de datos, estoy acostumbrado a analizar cláusulas, consentimientos y bases jurídicas. Y quizá por eso este tipo de situaciones me indignan especialmente. Me pregunto si el Delegado de Protección de Datos responsable de estas sucursales es consciente del uso que se está haciendo de ciertos documentos informativos y de consentimiento, y de hasta qué punto se están empleando de manera inapropiada para finalidades que nada tienen que ver con lo que se está gestionando.

    Si alguna vez has intentado cancelar un seguro con tu banco, quizá te suene esta historia. Si no, te conviene leerla con atención, porque lo que te voy a contar puede evitarte disgustos, pérdida de tiempo y, sobre todo, que firmes documentos que no deberías firmar.

    Hace apenas un mes terminé de pagar completamente mi hipoteca con BBVA. Con la libertad de no estar ya vinculado a ningún producto obligatorio, decidí cancelar el seguro de hogar que tenía con ellos y contratar uno más económico con otra compañía. Hasta aquí, todo normal.

    Pedí cita en mi oficina para gestionar la cancelación. Cuando llegué, me dijeron que no podían hacerlo allí, que “eso ahora se gestiona por teléfono con el gestor asignado”. Primera pérdida de tiempo. Primera señal de alarma.

    La llamada…

    Llamo al número que me facilitan. Explico que quiero cancelar el seguro de hogar. Me dicen que me enviarán dos documentos obligatorios que debo firmar para tramitar la cancelación. Acepto, porque entiendo que habrá algún tipo de formulario de baja.

    Accedo a la web del banco, abro los documentos… y aquí empieza la parte preocupante.

    Documento 1: un consentimiento de protección de datos que no tiene sentido

    El primer documento es un consentimiento de protección de datos. Hasta ahí, nada raro. Lo extraño es la finalidad que aparece:

    • Finalidad: Estudio, propuesta de seguro y, en su caso, formalización del contrato.
    • Legitimación: Ejecución de un contrato.
    • Destinatarios: Cesión a terceros colaboradores de la compañía y ficheros comunes del sector asegurador Transferencias internacionales intragrupo.
    • Procedencia: El interesado a través del mediador de seguros.

    ¿Perdón?

    Estoy intentando cancelar un seguro, no contratar uno nuevo. No hay ninguna “ejecución de contrato” pendiente. No necesito que cedan mis datos a terceros. No necesito que me estudien ni me propongan nada.

    Y lo más grave: me dijeron por teléfono que era obligatorio firmarlo para cancelar el seguro.

    Esto es una mala praxis de manual. Un consentimiento no puede ser obligatorio si no es necesario para la finalidad. Y aquí la finalidad no tiene nada que ver con la cancelación.

    Cualquier persona mayor, despistada o confiada habría firmado sin darse cuenta de que estaba autorizando un tratamiento de datos totalmente innecesario y potencialmente invasivo.

    Documento 2: el supuesto “documento de cancelación”… que en realidad es una renovación

    El segundo documento supuestamente era el formulario para cancelar el seguro. Pero cuando lo abro, descubro que es el contrato actual del seguro, como si quisieran que lo firmara de nuevo.

    Una maniobra que, siendo generosos, solo puede calificarse como confusa. Siendo realistas, parece un intento de que “pique” y renueve sin darme cuenta.

    Intento de aclaración… y más evasivas

    Vuelvo a llamar. Me dicen que la persona que me envió los documentos no está y que me llamarán enseguida. No llaman.

    Llamo por la tarde. Otra persona me atiende. Le explico que:

    • El consentimiento no tiene base legal para una cancelación.
    • No es obligatorio firmarlo.
    • El segundo documento no es una cancelación, sino una renovación.

    Al principio insiste en que sí es obligatorio. Cuando ve que entiendo aspectos legales de la protección de datos, cambia el discurso: “Bueno, si no quieres firmarlo, no hace falta”.

    Respecto al documento de renovación, me dice que “puede ser un error” y que mañana me enviarán el correcto.

    ¿Qué está pasando aquí?

    Lo que está pasando es simple:

    • Se intenta forzar la firma de un consentimiento innecesario para legitimar el tratamiento del contrato y el servicio.
    • Se intenta colocar un documento que no corresponde.
    • Se juega con la desinformación del cliente.
    • Se dificulta la cancelación para ver si desistes o renuevas sin querer.

    No digo que sea ilegal porque somos nosotros los que debemos leer e informarnos, pero que pasa con la gente que confía? o con la gente joven o mayor que no entiende los tecnicismos de los documentos? Pienso que es una mala práctica que vulnera principios básicos de transparencia y minimización de datos sobre todo si te engañan diciendo que debes firmar los documentos, el de protección de datos y el de cancelación pero tales documentos no son para dichos propósitos.

    ¿Qué puedes aprender de esta experiencia?

    1. Nunca firmes un consentimiento de datos que no tenga sentido para la gestión que estás realizando.
    2. Nadie puede obligarte a firmar un consentimiento para cancelar un servicio por regla general.
    3. Lee siempre los documentos que te envían, aunque te digan que son “los obligatorios”.
    4. Si algo no cuadra, pide explicaciones.
    5. Si te marean, insiste. Tienes derecho a cancelar cualquier seguro con un simple escrito.

    Conclusión

    La protección de datos no es un trámite burocrático: es una herramienta diseñada para evitar abusos y garantizar que las personas conserven el control sobre su información. Y, desde luego, la cancelación de un seguro no debería convertirse en una carrera de obstáculos. Sin embargo, todavía existen empresas que utilizan la protección de datos como excusa para justificar consentimientos innecesarios o para generar una falsa sensación de obligatoriedad, aprovechando que muchos usuarios confían en que “si es por protección de datos, será por mi seguridad”.

    También es frecuente encontrar organizaciones que recurren al comodín del “por protección de datos no podemos” para denegar derechos o evitar responsabilidades, a veces por desconocimiento y otras por interés intencionado. Es triste ver cómo una ley creada para proteger al ciudadano puede terminar utilizándose en algunos casos más a favor de la empresa que del usuario.

    Si esta experiencia sirve para que otros estén más atentos, habrá merecido la pena contarla. La protección de datos existe precisamente para defendernos de prácticas como esta, no para convertirse en un obstáculo o en un arma en nuestra contra.

    El objetivo de compartir esta historia es claro: alertarte para que no te dejes engañar. Tus datos y tu derecho a elegir libremente un seguro no deberían convertirse en un juego de trampas. Si has vivido algo parecido, compartir esta información puede ayudar a otros a no caer en lo mismo.

    Y, por último, un recordatorio importante: si tienes dudas como empresa o como usuario, acude siempre a un consultor profesional de confianza. En este sector conviven perfiles muy distintos: profesionales que trabajan para proteger a la empresa y a sus usuarios, y otros que, por desconocimiento o por una interpretación interesada, pueden ofrecer un enfoque mas proteccionista de la empresa. Igual que existen empresas que se toman en serio la protección de datos teniendo en cuenta a sus empleados y usuarios, también las hay que solo la utilizan como escudo, sin preocuparse realmente por la privacidad de las personas.

  • Protege los datos de tu negocio con la nueva guía de cifrado para autónomos y pymes

    Protege los datos de tu negocio con la nueva guía de cifrado para autónomos y pymes

    La Agencia Española de Protección de Datos (AEPD) ha dado un paso importante en su estrategia de apoyo a autónomos y pequeñas empresas con la publicación de una Guía de cifrado. Este documento práctico busca ofrecer herramientas claras y accesibles para que sectores con menos recursos tecnológicos puedan proteger la información personal que manejan en su día a día. El lanzamiento se enmarca dentro del Plan Estratégico 2025-2030, cuyo objetivo es acompañar especialmente a micropymes y autónomos en el cumplimiento normativo y en la adopción de buenas prácticas de seguridad.

    El cifrado, técnica central de la guía, consiste en transformar la información en un formato ilegible para cualquiera que no disponga de la clave de descifrado. De esta manera, se convierte en una barrera eficaz frente a accesos no autorizados y reduce el impacto de posibles brechas de seguridad. La AEPD subraya que esta medida no es exclusiva de grandes corporaciones: puede aplicarse de forma sencilla en tareas cotidianas como el envío de correos electrónicos, el almacenamiento en la nube o la protección de datos en dispositivos portátiles.

    Uno de los aspectos más relevantes del documento es que se apoya en casos reales de incidentes comunicados a la Agencia. Entre ellos se incluyen pérdidas o robos de dispositivos, publicaciones accidentales de datos personales, envíos erróneos de información confidencial y accesos indebidos por abuso de privilegios. Estos ejemplos muestran cómo la falta de medidas preventivas puede tener consecuencias graves para las personas afectadas. La guía propone soluciones concretas que, de haberse aplicado, habrían evitado o al menos mitigado los daños.

    Además del cifrado, la AEPD insiste en la importancia de aplicar el principio de minimización: tratar únicamente la información personal estrictamente necesaria en cada fase del proceso. Esta práctica reduce la exposición de datos y limita el impacto en caso de que falle alguna medida de seguridad. El enfoque se alinea con el Reglamento General de Protección de Datos (RGPD), que en su Considerando 83 reconoce el cifrado como una herramienta clave para garantizar la seguridad de las comunicaciones y la protección de la información.

    La guía no se limita a explicar conceptos técnicos, sino que ofrece un enfoque pedagógico y accesible. Su propósito es que cualquier autónomo o pyme pueda implementar estas medidas sin necesidad de conocimientos avanzados. En este sentido, se convierte en un recurso valioso para quienes buscan cumplir con la normativa y, al mismo tiempo, reforzar la confianza de sus clientes en el manejo responsable de sus datos.

    En conclusión, la publicación de esta guía representa un avance significativo en la democratización de la seguridad digital. Al poner al alcance de autónomos y pequeñas empresas herramientas prácticas y ejemplos reales, la AEPD contribuye a que sectores tradicionalmente más vulnerables puedan proteger mejor la información personal que gestionan. Se trata de una iniciativa que no solo responde a las exigencias legales, sino que también promueve una cultura de responsabilidad y prevención en el tratamiento de datos. En un entorno cada vez más digitalizado, este tipo de recursos se convierten en aliados imprescindibles para garantizar la confidencialidad, integridad y disponibilidad de la información.

    Descarga la nueva guía

  • Tribunal Europeo Confirma la Validez del Acuerdo para Transferir Datos entre la UE y EE.UU.

    Tribunal Europeo Confirma la Validez del Acuerdo para Transferir Datos entre la UE y EE.UU.

    3 de septiembre de 2025 – Una reciente decisión del Tribunal General de la Unión Europea ha dado un respaldo importante al marco que permite el intercambio de datos personales entre la Unión Europea y Estados Unidos, conocido como el EU-US Data Privacy Framework. Este acuerdo, aprobado por la Comisión Europea en julio de 2023, facilita que empresas y organizaciones transfieran información personal, como nombres, correos electrónicos o datos de clientes, entre ambos continentes sin necesidad de permisos adicionales.

    La Agencia Española de Protección de Datos (AEPD) ha celebrado esta sentencia, destacando que trae estabilidad y confianza para las empresas y ciudadanos que dependen de estas transferencias de datos. Pero, ¿qué significa esto para el público general? Vamos a explicarlo de forma sencilla.

    ¿Por qué es importante este acuerdo?

    Imagina que usas una aplicación o un servicio online, como una red social, una tienda virtual o una plataforma de streaming. Muchas de estas empresas tienen servidores o socios en Estados Unidos, lo que significa que tus datos personales (como tu nombre o tus preferencias) pueden viajar desde Europa hasta allí. Para que esto sea seguro, la Unión Europea exige que los países fuera de Europa tengan reglas estrictas para proteger tu información, similares a las que existen en Europa.

    El EU-US Data Privacy Framework es un conjunto de reglas que asegura que, cuando tus datos llegan a Estados Unidos, están protegidos de manera adecuada. La sentencia del Tribunal General confirma que este sistema funciona bien y cumple con los estándares europeos.

    ¿Qué ha dicho el Tribunal?

    El Tribunal analizó un recurso presentado contra este acuerdo y decidió desestimarlo, es decir, no encontró problemas graves en él. Algunos puntos clave de su decisión son:

    1. Independencia de los jueces en EE.UU.
      En Estados Unidos, se creó un tribunal especial llamado Data Protection Review Court (DPRC) para supervisar cómo se manejan los datos. Algunas personas dudaban de si este tribunal era realmente independiente, pero el Tribunal Europeo concluyó que sus jueces trabajan sin presiones del gobierno o las agencias de inteligencia, lo que garantiza decisiones justas.
    2. Control sobre la vigilancia
      Había preocupaciones sobre si las agencias de inteligencia estadounidenses podían acceder a los datos de ciudadanos europeos sin control. El Tribunal explicó que, aunque no siempre se necesita un permiso previo para ciertas acciones, el DPRC revisa estas actividades después de que ocurren, asegurando que todo se haga de forma correcta y respetando la privacidad.
    3. Revisión constante
      La Comisión Europea no se queda de brazos cruzados. Tiene la obligación de vigilar que Estados Unidos siga cumpliendo con estas reglas. Si algo cambia en el futuro, la Comisión puede ajustar o incluso cancelar el acuerdo para proteger mejor los datos.

    ¿Qué significa para las empresas y los ciudadanos?

    Para las empresas, esta sentencia es una buena noticia porque les da seguridad para seguir trabajando entre Europa y Estados Unidos sin temor a sanciones o problemas legales. Por ejemplo, una empresa española que usa un servicio de almacenamiento en la nube con servidores en EE.UU. puede estar tranquila sabiendo que cumple con la ley.

    Para los ciudadanos, significa que sus datos están mejor protegidos cuando se envían a Estados Unidos. Además, la supervisión constante asegura que cualquier problema que surja será abordado rápidamente.

    Un paso hacia la estabilidad digital

    La AEPD ha destacado que esta decisión fortalece la confianza en el intercambio de datos a nivel internacional, algo clave en un mundo donde la tecnología conecta a personas y empresas de distintos países. Este fallo no solo beneficia a Europa y EE.UU., sino que también establece un precedente para acuerdos similares con otros países.

    Resumen de los puntos clave

    • Sentencia favorable: El Tribunal General de la UE confirma la validez del EU-US Data Privacy Framework, permitiendo transferencias seguras de datos entre la UE y EE.UU.
    • Protección garantizada: El sistema estadounidense ofrece un nivel de protección adecuado para los datos personales, según el Tribunal.
    • Supervisión judicial: El Data Protection Review Court en EE.UU. asegura que las actividades de inteligencia respeten la privacidad.
    • Vigilancia continua: La Comisión Europea supervisará que EE.UU. cumpla con el acuerdo y podrá modificarlo si es necesario.
    • Impacto positivo: La decisión aporta estabilidad para empresas y confianza para los ciudadanos en la protección de sus datos.
  • AEPD Refuerza su Rol en la Supervisión de Sistemas de IA: Implicaciones de la Nueva Regulación Europea

    AEPD Refuerza su Rol en la Supervisión de Sistemas de IA: Implicaciones de la Nueva Regulación Europea

    En un contexto de rápida evolución tecnológica, la Agencia Española de Protección de Datos (AEPD) ha emitido un recordatorio clave sobre su capacidad para intervenir en sistemas de inteligencia artificial (IA) que procesan datos personales, especialmente aquellos clasificados como prohibidos bajo el Reglamento Europeo de IA (RIA, Reglamento 2024/1689). Esta nota de prensa, publicada el 15 de julio de 2025, subraya que la AEPD puede actuar de inmediato para proteger los derechos de privacidad, incluso antes de la plena entrada en vigor de la normativa. [AEPD, 2025] Con la fecha crítica del 2 de agosto de 2025 aproximándose, cuando entrarán en vigor las prohibiciones y el régimen sancionador de ciertos artículos del RIA, esta actualización resalta la intersección entre IA y protección de datos en España.

    Antecedentes y Alcance de la Intervención de la AEPD

    La AEPD ha analizado sus competencias en relación con el Artículo 5 del RIA, que detalla prácticas de IA prohibidas por su potencial daño a los derechos fundamentales. [RIA Artículo 5] Aunque España aún no ha aprobado su ley nacional de IA, lo que retrasa la designación formal de la AEPD como autoridad de vigilancia del mercado, la agencia mantiene su autoridad en materia de protección de datos. Esto le permite supervisar y sancionar tratamientos de datos personales en sistemas de IA prohibidos, como la identificación biométrica remota en tiempo real en espacios públicos, siempre que afecten a la privacidad individual. [AEPD, 2025] La AEPD enfatiza la necesidad de reforzar sus recursos técnicos, humanos y presupuestarios para asumir plenamente estas funciones una vez implementada la legislación nacional.

    Prácticas de IA Prohibidas Según el Artículo 5 del RIA

    El Artículo 5 del Reglamento Europeo de IA establece una lista exhaustiva de prácticas prohibidas, diseñadas para salvaguardar la dignidad humana, la libertad y la privacidad. Entre las prohibiciones destacan:

    • Técnicas subliminales o manipuladoras que distorsionan el comportamiento, causando daños significativos, sin excepciones explícitas. [RIA Artículo 5]
    • Explotación de vulnerabilidades por edad, discapacidad o situación socioeconómica, también sin permisos.
    • Categorización biométrica para inferir características sensibles como opiniones políticas o orientación sexual, permitida solo para etiquetado o filtrado legal de conjuntos de datos biométricos.
    • Puntuación social que clasifica individuos por comportamiento, con excepciones para evaluaciones legales específicas.
    • Identificación biométrica remota en tiempo real en espacios públicos para fines policiales, autorizada excepcionalmente para búsquedas de víctimas, amenazas a la vida o localización de sospechosos de delitos graves, con requisitos como autorización judicial y límites temporales/geográficos. [RIA Artículo 5]
    • Evaluaciones de riesgo criminal basadas en perfiles, permitidas si no se basan solo en rasgos de personalidad y incluyen datos objetivos.
    • Raspado no dirigido de internet para bases de datos de reconocimiento facial, sin excepciones.
    • Reconocimiento de emociones en entornos laborales o educativos, permitido por razones médicas o de seguridad.

    Estas prohibiciones se alinean con el RGPD, priorizando la minimización de datos y la protección por diseño. [RIA Artículo 5] La AEPD puede intervenir si estos sistemas procesan datos personales, incluso antes del 2 de agosto de 2025.

    Controversias y Casos Recientes Relacionados

    El anuncio llega en medio de un aumento en reclamaciones relacionadas con IA. En 2024, la AEPD recibió 19.000 quejas, destacando retos como la IA, espacios de datos y neurodatos. [AEPD Reclamaciones] Un caso notable es la sanción impuesta por el uso de datos biométricos con IA en exámenes universitarios online, considerado ilegal por su intrusividad, aunque se apuntan posibilidades normativas bajo ciertas condiciones. [Sanción Universidad] Además, la entrada en vigor de prohibiciones iniciales en febrero de 2025, como el reconocimiento de emociones en workplaces, ha generado debates sobre multas de hasta 35 millones de euros. [Europarl]

    En redes sociales, profesionales del derecho y empresas han compartido preocupaciones sobre el impacto en negocios, como la identificación biométrica, instando a adaptaciones inmediatas. [X Debate] Publicaciones en X destacan cómo esto afecta a sectores como el turismo o la educación, con llamadas a consultar blogs especializados para cumplimiento.

    Consecuencias para Empresas y Recomendaciones

    Las implicaciones son significativas: ignorar estas normas podría resultar en sanciones millonarias y daños reputacionales. La AEPD recomienda a entidades que implementen IA preparar medidas de cumplimiento, como evaluaciones de impacto y transparencia. [AEPD, 2025] En contextos laborales, sindicatos y expertos urgen a prohibir usos como la detección de emociones, alineados con el RIA. [Europarl] Para consultores, esto representa una oportunidad para asesorar en auditorías proactivas, integrando el RGPD con el RIA.

    En resumen, el posicionamiento de la AEPD fortalece la protección de datos en la era de la IA, equilibrando innovación y derechos fundamentales. Con la fecha del 2 de agosto de 2025 en el horizonte, empresas deben actuar con urgencia para evitar riesgos en un panorama regulatorio cada vez más estricto.

    Fuentes

    1. AEPD. (2025). La AEPD recuerda que ya puede actuar ante sistemas de IA.
    2. Reglamento (UE) 2024/1689, Artículo 5.
    3. AEPD. (2025). Reclamaciones en el primer semestre.
    4. DataGuidance. (2024). Sanción a universidad por uso de datos biométricos.
    5. Parlamento Europeo. (2023). EU AI Act.
    6. X. (2025). Debate sobre impacto de la regulación de IA.
  • AEPD Prohíbe Copias de DNI en Hospedajes: Un Cambio Clave en Protección de Datos

    AEPD Prohíbe Copias de DNI en Hospedajes: Un Cambio Clave en Protección de Datos

    En un movimiento que resalta la prioridad de la minimización de datos en la era digital, la Agencia Española de Protección de Datos (AEPD) ha emitido una nota técnica aclarando que no se permite solicitar copias del DNI o pasaporte en establecimientos de hospedaje. Esta directriz, alineada con el Reglamento General de Protección de Datos (RGPD), busca equilibrar las obligaciones de seguridad con el respeto a la privacidad individual, afectando directamente a hoteles, apartamentos turísticos y plataformas como Airbnb. Para consultores en adaptación a normativas de datos, esta actualización representa una oportunidad para revisar protocolos y evitar exposición a riesgos regulatorios.[AEPD]

    Razones Detrás de la Prohibición

    La AEPD argumenta que pedir una copia del DNI viola el principio de minimización establecido en el artículo 5.1.c del RGPD, ya que incluye información superflua como fotografías, fechas de caducidad o datos familiares no requeridos por el Real Decreto 933/2021. Este decreto obliga a recopilar datos específicos de huéspedes para fines de seguridad pública, como prevención de delitos, pero no justifica el tratamiento excesivo de datos sensibles. Además, la agencia destaca riesgos como la suplantación de identidad, ya que una copia no verifica de manera fiable la autenticidad del portador. Enviar o escanear documentos no solo incrementa vulnerabilidades cibernéticas, sino que también podría exponer a millones de usuarios a brechas de datos, un problema recurrente en el sector turístico.

    Alternativas Recomendadas para Cumplir con la Normativa

    Para facilitar el cumplimiento, la AEPD propone métodos alternativos que priorizan la eficiencia y la privacidad. Los huéspedes pueden completar formularios presenciales o digitales con los datos exactos exigidos, como nombre, dirección y detalles de contacto. En check-ins presenciales, basta con una verificación visual del documento. Para reservas online, se sugieren certificados digitales, validación mediante datos de pago o códigos de autenticación enviados por SMS o email. Estos enfoques no solo reducen riesgos, sino que agilizan procesos, permitiendo a las empresas mantener la operatividad sin comprometer la conformidad. Consultores pueden asesorar en la implementación de estas herramientas, integrando evaluaciones de impacto en protección de datos para personalizar soluciones.

    Polémicas y Quejas de Usuarios: Un Debate en Aumento

    La práctica de solicitar copias de DNI ha generado controversia significativa, con numerosas quejas de usuarios que denuncian invasiones a su privacidad. En redes sociales y foros, viajeros han reportado casos donde hoteles insisten en escanear documentos, exponiéndolos a potenciales estafas o robos de identidad, como alertó la Policía Nacional en campañas recientes.[Policía Nacional] Un ejemplo viral en TikTok involucra a un experto en ciberseguridad advirtiendo que «pueden hacer de todo» con una copia del DNI, desde fraudes hasta usos no autorizados.[TikTok] Otro caso destacado: un cliente denunció a un hotel por escanear su DNI, resultando en una sanción que generó debate sobre prácticas estandarizadas en la industria.[Caso Hotel] Estas polémicas se intensifican en plataformas como Facebook, donde usuarios comparten experiencias de rechazo a peticiones, argumentando que basta con mostrar el documento sin copiarlo.[Facebook] La AEPD ha respondido a estas inquietudes, reforzando que tales demandas son innecesarias y contraproducentes.

    Consecuencias para las Empresas: Multas y Reputación en Juego

    Las implicaciones para las compañías son severas. La AEPD ha impuesto sanciones ejemplares, como una multa de 75.000 euros a una cadena hotelera por exigir fotografías de DNI de forma rutinaria, o rebajas a 5.400 euros en casos menores tras admisión de culpa.[75.000€][5.400€] En incidentes más graves, las penalizaciones han alcanzado los 300.000 euros por violaciones sistemáticas del RGPD.[Multas Altas] Más allá de lo económico, las empresas enfrentan daños reputacionales, pérdida de confianza de clientes y posibles demandas colectivas. En un contexto de mayor escrutinio, como el nuevo registro de viajeros, ignorar estas directrices podría derivar en inspecciones y suspensiones operativas. Consultores recomiendan auditorías proactivas para mitigar estos riesgos, transformando la conformidad en una ventaja competitiva.

    Implicaciones para Consultores en Adaptación a Protección de Datos

    Para profesionales especializados, esta nota de la AEPD subraya la necesidad de guiar a clientes hacia prácticas sostenibles. Evaluar y rediseñar flujos de check-in, capacitar personal y monitorear actualizaciones regulatorias son pasos clave. Al integrar herramientas digitales seguras, los consultores pueden ayudar a evitar polémicas y fortalecer la resiliencia ante futuras normativas europeas.

    En resumen, esta directriz no solo corrige una práctica común, sino que impulsa un sector turístico más ético y seguro. Con el aumento de quejas y sanciones, las empresas que se adapten rápidamente ganarán en credibilidad, mientras que los consultores jugarán un rol pivotal en esta transición.

  • Aumento de reclamaciones en protección de datos destaca retos para consultores en España

    Aumento de reclamaciones en protección de datos destaca retos para consultores en España

    En un entorno cada vez más marcado por la innovación digital y el escrutinio regulatorio, la Agencia Española de Protección de Datos (AEPD) ha informado de un notable incremento en las preocupaciones ciudadanas sobre el manejo de datos personales. El último informe semestral de actividades correspondiente a la primera mitad de 2025 revela un aumento del 30% en las reclamaciones presentadas en comparación con el período anterior, lo que subraya la necesidad de que los consultores prioricen estrategias de cumplimiento sólidas en medio de un creciente número de acciones sancionadoras. Este aumento, impulsado por problemas en sectores como telecomunicaciones, finanzas y servicios en línea, señala un cambio social hacia una mayor conciencia de los derechos de privacidad bajo el Reglamento General de Protección de Datos (RGPD).

    Las cifras clave del informe muestran la magnitud de la carga de trabajo de la agencia. Se procesaron más de 8.656 notificaciones, lo que resultó en 2.307 admisiones para investigación adicional y 659 procedimientos sancionadores. Las brechas de datos siguen siendo un punto crítico, con 1.211 incidentes reportados entre diciembre de 2024 y junio de 2025, afectando a unos 54 millones de personas. Aunque las resoluciones que exigen notificar a los afectados por brechas disminuyeron ligeramente a cinco, el volumen resalta vulnerabilidades en las prácticas de seguridad de datos, áreas donde los consultores pueden aportar valor realizando evaluaciones de riesgos exhaustivas e implementando protocolos de respuesta a brechas.

    Una tendencia destacada es la creciente intersección entre la inteligencia artificial (IA) y la protección de datos. Las consultas sobre aplicaciones de IA han aumentado, especialmente desde administraciones públicas que buscan orientación sobre el uso de IA para inspecciones, asesoramiento legal y optimización de recursos. En el sector sanitario, las consultas se centraron en la legitimación del uso de datos en investigaciones biomédicas y ensayos clínicos, incluyendo consideraciones éticas sobre clonación de voz e imágenes mediante IA. Para los consultores, esto representa una oportunidad para especializarse en cumplimiento de IA, especialmente con el nuevo Reglamento Europeo de IA en vigor. Adaptar los sistemas de los clientes a estas normas implica evaluar despliegues de IA de alto riesgo y garantizar la transparencia en el tratamiento de datos, evitando potencialmente sanciones millonarias.

    La protección de grupos vulnerables, especialmente menores, es otro foco clave. El canal específico para jóvenes de la AEPD gestionó 1.106 consultas, con los padres representando el 61% de las mismas. Los problemas más comunes incluyeron la publicación no autorizada de imágenes de menores en redes sociales por parte de escuelas o familiares, y avisos de privacidad inadecuados en plataformas educativas. Los consultores que asesoren a instituciones educativas o proveedores de servicios digitales deben priorizar mecanismos de consentimiento adecuados a la edad y controles parentales. Recursos como el portal “tudecideseninternet.es” de la AEPD, con casi 30.000 visitas, ofrecen herramientas prácticas para campañas de concienciación que los consultores pueden aprovechar para desarrollar programas de formación personalizados que reduzcan riesgos y fomenten confianza.

    La colaboración internacional también amplificó los esfuerzos de la AEPD, con participación en 96 reuniones en foros europeos y globales. El liderazgo en la Red Iberoamericana de Protección de Datos y las discusiones sobre neurorights y violencia digital destacan la naturaleza global de los desafíos de privacidad. Para los consultores que trabajen con clientes multinacionales, mantenerse al día con las directrices transfronterizas, como las opiniones del Comité Europeo de Protección de Datos sobre modelos de IA y blockchain, es crucial para navegar por los diversos marcos regulatorios.

    Los avances tecnológicos apoyan aún más la adaptación. La AEPD mejoró herramientas como Facilita RGPD y Comunica-Brecha, asistentes web diseñados para el cumplimiento del RGPD y la notificación de brechas. Estas herramientas, ahora más accesibles y eficientes, pueden agilizar los flujos de trabajo de los consultores, desde auditorías iniciales hasta el monitoreo continuo. Además, la migración de la agencia a infraestructura en la nube y las capacidades de prueba de IA apuntan a un futuro enfoque en ciberseguridad, incluyendo preparación contra ransomware.

    De cara al futuro, el trabajo preparatorio de la AEPD para su Plan Estratégico 2025-2030, con aportes de partes interesadas, sugiere prioridades en evolución en torno a la ética de la IA y la inclusión digital. Los consultores deben tomar esto como una señal para integrar elementos proactivos en sus servicios, como auditorías éticas de IA y evaluaciones de vulnerabilidades para datos de menores.

    En resumen, el informe sirve como una hoja de ruta para los consultores: anticipar las complejidades de la IA, fortalecer las protecciones para grupos de riesgo y aprovechar las herramientas de la agencia para ofrecer soluciones de cumplimiento proactivas y de valor. A medida que las reclamaciones siguen aumentando, quienes se adapten rápidamente no solo ayudarán a sus clientes a evitar problemas, sino que también capitalizarán la demanda de orientación experta en un mundo cada vez más centrado en los datos.

  • Alerta consultores y empresas, la AEPD prepara una nueva era de privacidad e inteligencia artificial

    Alerta consultores y empresas, la AEPD prepara una nueva era de privacidad e inteligencia artificial

    La inteligencia artificial está transformando el tratamiento de datos, y las empresas deberán adaptar su documentación para cumplir con las nuevas exigencias. Todo tratamiento que se recabe, procese o delegue mediante sistemas de IA deberá someterse a medidas más estrictas y una vigilancia reforzada, garantizando así la protección efectiva de los derechos digitales.

    Recientemente en el curso de verano de la Universidad Internacional Menéndez Pelayo, Cotino realizó una intervención en el curso de verano de la Universidad Internacional Menéndez y dejó claro que la AEPD no va a limitarse a reaccionar ante los cambios tecnológicos: va a liderarlos. Desde una perspectiva profesional, resulta especialmente relevante su apuesta por la creación de un Laboratorio de Privacidad, donde se integren conocimientos técnicos y jurídicos para generar soluciones aplicables.

    Otro dato significativo es el aumento del 30 % en las reclamaciones ante la Agencia en el primer semestre del año. Este incremento refleja una ciudadanía más consciente de sus derechos, pero también la necesidad urgente de reforzar los recursos humanos y técnicos de la institución.

    ¿Pero quién es Lorenzo Cotino?

    Lorenzo Cotino Hueso es una figura destacada en el ámbito jurídico español, especialmente en lo que respecta a derechos fundamentales y protección de datos. Catedrático de Derecho Constitucional en la Universitat de València, ha sido magistrado suplente del Tribunal Superior de Justicia de la Comunitat Valenciana y vocal del Consejo de Transparencia. Su trayectoria académica y profesional lo posiciona como un experto en el cruce entre tecnología, legalidad y derechos digitales.

    Con más de 180 publicaciones científicas y la coordinación de redes sobre inteligencia artificial, administración electrónica y privacidad, Cotino representa una visión profundamente técnica y ética del futuro digital. Su nombramiento como presidente de la Agencia Española de Protección de Datos (AEPD) no solo es acertado, sino necesario.

    Lorenzo-Cotino-Hueso-agencia protección datos directorio de profesionales direct rgpd tecnolopd
    Lorenzo Cotino Hueso – Sede de la agencia protección datos

    Un plan estratégico con visión colaborativa

    Cotino presentó el Plan Estratégico 2025–2030, compuesto por 45 objetivos y más de 200 medidas. Lo más destacable es que se ha construido desde la escucha activa, con más de 470 aportaciones de profesionales, empresas y ciudadanos. Esta forma de trabajo, basada en la co-creación, es precisamente lo que necesita una institución que debe adaptarse a un entorno digital cambiante.

    Inteligencia artificial y privacidad: ¿enemigos o aliados?

    Cotino ha sido claro: la inteligencia artificial no está reñida con la privacidad. La AEPD va a trabajar para que los tratamientos de datos personales se realicen con todas las garantías. Esta postura resulta sensata y necesaria, especialmente en un momento en que la IA avanza más rápido que la regulación.

    No obstante, conviene observar con atención cómo se aplicarán estas medidas. Existe el riesgo de que, bajo la bandera de la protección de datos, se acabe frenando el desarrollo de la inteligencia artificial en España o Europa, limitando la competitividad frente a otros mercados más flexibles. La clave estará en encontrar un equilibrio real entre garantía jurídica y estímulo tecnológico.

    ¿Qué cambios se prevén en el RGPD y cómo afectarán a consultores y empresas?

    La evolución del Reglamento General de Protección de Datos (RGPD) hacia 2025–2030 no implica una reforma radical, pero sí una reinterpretación más exigente en su aplicación. La Agencia Española de Protección de Datos (AEPD), bajo el liderazgo de Lorenzo Cotino, ha dejado claro que se apostará por una supervisión más proactiva, especialmente en el uso de tecnologías disruptivas como la inteligencia artificial y la biometría.

    Actualización de documentación y registros adaptados para el tratamiento de IA

    Los consultores deberán revisar y actualizar toda la documentación entregada a sus clientes, incluyendo:

    • Registros de actividades de tratamiento: Se exigirá mayor detalle en los fines del tratamiento, las bases jurídicas y las medidas de seguridad aplicadas si el tratamiento se realiza con inteligencia artificial.
    • Políticas de privacidad: Deberán incorporar cláusulas específicas sobre el uso de algoritmos, decisiones automatizadas y transferencias internacionales.
    • Contratos con encargados del tratamiento: Se prevé una revisión más estricta de las cláusulas contractuales, especialmente en lo relativo a subencargados y auditorías.

    Nuevas medidas técnicas y organizativas

    La AEPD está promoviendo un enfoque basado en el riesgo, lo que implica que las medidas de seguridad ya no serán genéricas, sino adaptadas al tipo de tratamiento y al nivel de riesgo para los derechos de los interesados. Esto incluye:

    • Cifrado y seudonimización avanzada.
    • Auditorías periódicas de sistemas automatizados.
    • Protocolos de respuesta ante brechas de seguridad más exigentes.

    Evaluaciones de impacto y análisis de necesidad

    Las Evaluaciones de Impacto en Protección de Datos (EIPD) serán más frecuentes y detalladas. La AEPD ha publicado listas orientativas de tratamientos que requieren o no requieren EIPD, pero se espera que estas listas se actualicen para incluir nuevos escenarios como:

    • Tratamientos con IA generativa.
    • Uso de datos biométricos en entornos laborales.
    • Monitorización masiva en espacios públicos.

    Además, los análisis de necesidad deberán justificar no solo la legalidad del tratamiento, sino su proporcionalidad y compatibilidad con los principios éticos del RGPD.

    Nuevas exigencias para los clientes si se utiliza IA

    Las empresas deberán asumir un rol más activo en el cumplimiento normativo. Esto implica:

    • Designar Delegados de Protección de Datos (DPO) incluso en casos donde no era obligatorio antes.
    • Implementar códigos de conducta sectoriales y sistemas de certificación.
    • Participar en procesos de consulta previa con la AEPD cuando el tratamiento implique riesgos elevados.

    Supuestos futuros: ¿hacia un RGPD más dinámico?

    Aunque no hay una reforma legislativa en curso, se barajan escenarios como:

    Protección de datos como derecho evolutivo: Se espera que el RGPD se interprete cada vez más como un marco ético, no solo legal, lo que exigirá a los consultores una formación continua y multidisciplinar.

    RGPD 2.0: Una versión revisada que incorpore principios de gobernanza algorítmica, transparencia automatizada y derecho a la explicabilidad.

    Interoperabilidad normativa: Mayor alineación con otras normativas como la Ley de Inteligencia Artificial de la UE o la futura Ley de Neurotecnologías.

    La nota oficial de la noticia puede consultarse en la web de la Agencia Española de Protección de Datos (AEPD).

  • El nuevo RGPD y la nueva LOPD se unen: estas son las principales novedades

    El nuevo RGPD y la nueva LOPD se unen: estas son las principales novedades

    Hace ya una semana que el nuevo Reglamento de Protección de Datos (RGPD) se hacía efectivo y de obligatorio cumplimiento. Se ha hablado mucho de esto, pero poco de la nueva reforma de la Ley Orgánica de Protección de Datos (LOPD) española. Ambas normas se han creado para complementarse y han de cumplirse debidamente.

    No obstante, en España nos enfrentamos a un pequeño problema. Esta reforma de la LOPD se presentaba en el Congreso de los Diputados a finales de noviembre de 2017. En el texto se puede leer que entraría en vigor el 25 de mayo de 2018, coincidiendo con la obligatoriedad de cumplir el RGPD europeo.

    Pese a ello, la reforma de la LOPD española llegaba tarde, ya que se presentaron numerosas enmiendas. Este hecho ha impedido que el texto legal haya podido estar preparado y listo para su cumplimiento en la fecha acordada. No obstante, a falta de una norma nueva, que llegará en breve, seguimos estando obligados a cumplir con el RGPD y la antigua LOPD.

    Principales novedades del RGPD

    En nuevo Reglamento Europeo de Protección de Datos se aprobó en abril de 2016. Durante dos años las empresas y particulares que tratan datos personales de ciudadanos de la Unión Europea han podido adaptarse para cumplir con la normativa, ya que su efectividad total se produjo el viernes 25 de mayo de 2018. Pese a esto, aun son muchos los negocios que intentan adaptarse correctamente al RGPD.

    Hay que tener muy en cuenta que el no cumplimiento de la norma podría traducirse en una elevada sanción por parte de la autoridad competente. La seguridad informática es una de las claves más importantes del RGPD.

    1. Consentimiento explícito: con el nuevo RGPD es necesario obtener el consentimiento explícito de los usuarios para poder tratar sus datos personales. Por lo tanto, para crear una base de datos, cada persona debe de dar su autorización para el tratamiento. Ya no vale incluir direcciones de correo que encontramos en Internet o en cualquier otro lugar.
    2. Transparencia: la norma europea exige que se aumente la transparencia, indicando a los usuarios para qué y durante cuánto tiempo almacenará sus datos. Esto debe de hacerse de forma fácil y entendible.
    3. Infracciones: el RGPD establece la obligatoriedad de comunicar cualquier infracción que ponga en peligro los datos personales, tanto a la autoridad de control como al propio usuario. El plazo para llevar a cabo esta comunicación nunca debe de superar las 72 horas.
    4. Delegado de Protección de Datos: aparece la figura del Delegado de Protección de Datos, que será el encargado de gestionar los datos personales de cualquier empresa. No obstante, no todos los negocios están obligados a contar con esta figura.
    5. Edad para el consentimiento: el RGPD establece que solo se podrá otorgar consentimiento para el tratamiento de datos personales si se tiene más de 16 años. Pero, deja abierta la posibilidad de bajar esta edad a los diferentes países. En el caso de España, la nueva LOPD establece 13 años como edad mínima.
    6. Encargados de Tratamiento: si cedes datos personales de tus usuarios a otras empresas (gestoría, plataformas de e-mail marketing, etc.) debes asegurarte de que también cumplen con la norma europea y firmar un contrato de tratamiento con ellos.

    Principales novedades de la LOPD 2018

    Como hemos dicho anteriormente, el nuevo RGPD se une a la nueva LOPD 2018, con el objetivo de proteger los datos personales de los ciudadanos españoles. Pese a que la normativa española aún no ha entrado en vigor, las novedades que se plantean en el texto (que puedes leer íntegramente aquí) son bastante importantes.RGPD LOPD 2018

    1. La edad para ofrecer consentimiento para el tratamiento de datos personales baja a los 13 años en el caso de España.
    2. La nueva LOPD elimina la obligatoriedad de inscribir los ficheros de protección de datos en la AEPD.
    3. En cuanto al Delegado de Protección de Datos, la norma española (por aprobar) establece de forma más clara y concisa qué negocios están obligados a contar con esta figura. Además, la AEPD tendrá que ser informada de quién es el delegado en cuestión.
    4. Si vas a enviar e-mails comerciales tendrás que asegurarte de que tus usuarios no forman parte de las Listas Robinson de exclusión publicitaria.
    5. Los ejercicios de los derechos ARCO para los familiares de personas fallecidas se simplifican.
  • Claves para adaptar tu negocio al nuevo Reglamento de Protección de Datos

    Claves para adaptar tu negocio al nuevo Reglamento de Protección de Datos

    Solo quedan unos días para que el nuevo Reglamento de Protección de Datos (RGPD) entre en vigor de forma oficial. Esta nueva norma europea se aprobó en mayo de 2016 y todos los países miembros hemos tenido dos años para estar obligados a aplicarlo. El próximo día 25 de mayo el RGPD será de obligado cumplimiento para todos.

    En muchos casos, pese a haber contado con 24 meses para llevar a cabo una transición paulatina, todavía no se han realizado las gestiones necesarias que garanticen el cumplimiento de la nueva norma en protección de datos. Si aún no has adaptado tu negocio al RGPD no deberías demorarlo más y comenzar a seguir las pautas que proponen desde la Agencia Española de Protección de Datos para cumplir la norma.

    Claves del Reglamento de Protección de Datos (RGPD)

    La realidad es que el texto elaborado por la Comunidad Europea es extenso, largo y, a veces, farragoso. Por ello, vamos a intentar facilitar algunas claves del RGPD que nos podrán ayudar a entender las acciones que se deben emprender de forma inminente. No obstante, antes de comenzar con todo ello, hay que tener claros algunos aspectos:

    • El RGPD y la LOPD son normas complementarias. Esto significa que ambas normativas son de obligado cumplimiento en España.
    • Todas las empresas ubicadas en España deberán cumplir el nuevo Reglamento de Protección de Datos. Además, aquellos negocios o empresas que estén fuera de la UE, pero que manejen datos de ciudadanos europeos, también deberán acogerse al RGPD. Por lo tanto, se trata de una norma global.
    • Las sanciones derivadas del incumplimiento son muy reales y se intensifican. El Reglamento de Protección de Datos dice que se puede sancionar a una empresa hasta con el 4 % de su facturación anual y establece un máximo de 20.000.000 de euros. ¡Casi nada!

    Pasos a seguir para respetar el RGPDReglamento de Protección de Datos Europa

    No importa si tienes una gran empresa, un pequeño negocio o eres autónomo. Si tu negocio se ubica en la Unión Europea tienes la obligatoriedad de cumplir con el RGPD, además, si estás en España también deberás respetar la LOPD.

    La Agencia Española de Protección de Datos ha elaborado algunas guías que nos ayudan a entender qué pasos deberían seguir las diferentes empresas para cumplir con la nueva norma. Para ello, es importante entender qué es lo que se establece y las principales novedades del RGPD. En el nuevo reglamento, la seguridad informática es primordial.

    1. Auditoría previa

    La recomendación de los expertos en materia de protección de datos es proceder a realizar una auditoría previa antes de comenzar a implementar nuevos protocolos. Esta auditoría es de gran valor, ya que nos va a ayudar a entender qué se está haciendo bien y qué no en cada negocio. Además, tendremos mucha más información sobre el objeto, finalidad y tratamiento de los datos personales que se recogen.

    La auditoría no debe de quedarse nunca en el plano físico, ya que el RGPD presta mucha atención al universo online y la seguridad informática es muy importante en el reglamento europeo.

    En este sentido, TecnoLOPD pone a disposición de las empresas y autónomos una aplicación que puede facilitar mucho esa auditoría previa, además con TecnoLOPD podrá realizar adaptaciones para negocios de diferente envergadura o riesgo, ajustar la complejidad o exhaustividad de la adaptación dependiendo del tipo de empresa y sus requerimientos según convenga.

    1. Delegado de Protección de Datos

    Con el nuevo Reglamento de Protección de Datos surge la figura del Delegado de Protección de Datos. Obviamente, no es necesario que todas las empresas cuenten con uno, ya que con el RGPD prima la particularidad de cada negocio. No obstante, están obligadas a contratar a un delegado aquellas empresas que traten datos de categorías especiales a gran escala.

    El Delegado en Protección de Datos, además, servirá como enlace entre la empresa en cuestión, la Agencia Española de Protección de Datos y los usuarios o interesados. Es, por tanto, el encargado de velar por el cumplimiento de la nueva normativa.

    Desde TecnoLOPD ya está disponible una pantalla para asignar el DPD y sacar un documento con el cual registrarse ante la autoridad como DPD certificado.

    1. Encargados de tratamiento de los datos

    Uno de los puntos del Reglamento de Protección de Datos europeo que más controversia está creando es el de los encargados del tratamiento de los datos. Bien, un encargado de tratamiento es cualquier tercero al que la empresa le ceda datos de sus usuarios o clientes. Por ejemplo, un gestor o la asesoría es encargado de tratamiento, ya que recibe datos de facturas de nuestros clientes.

    La nueva norma obliga a todas las empresas a firmar contratos muy completos con los diferentes encargados del tratamiento. en estos contratos es importante incluir cláusulas de confidencialidad, entre otras cuestiones.

    Desde  “TecnoLOPD” podemos obtener los nuevos modelos de contratos que se pueden modificar en función de las necesidades de cada negocio.

    1. Nuevos derechos para los usuarios

    A los derechos ARCO que establecía la antigua LOPD se suman otros derechos muy importantes, quedando el listado de la siguiente manera: derecho de acceso, rectificación, oposición, portabilidad, supresión y limitación. Por lo tanto, se incluye el derecho al olvido como algo importante.

    Además, a la hora de recabar datos de terceros la empresa está obligada a informar del motivo por el que se recogen esos datos. Esto lo debe de hacer a través de un lenguaje claro y conciso, que se aleje de tecnicismos legales que puedan resultar incomprensibles. El usuario debe de dar su consentimiento expreso a la empresa para recoger sus datos.

    Desde TecnoLOPD ya está disponible todos los nuevos documentos de derechos del interesado antes llamados ARCO.

    1. Evaluación de impacto constante

    Por último, la evaluación de impacto forma parte de las claves del nuevo Reglamento de Protección de Datos. No todas las empresas están obligadas a cumplir con este punto, aunque si los datos que se recogen serán usados a través de campañas de marketing digital el cumplimiento es necesario.
    Desde TecnoLOPD ya está disponible la EIPD.
  • Implicaciones del RGPD en el e-mail marketing

    Implicaciones del RGPD en el e-mail marketing

    Seguro que te has dado cuenta de que algo está sucediendo en cuanto a la protección de datos. En estas últimas semanas son muchísimas las empresas, redes sociales, buscadores online, etc. los que están cambiando sus políticas en cuanto a protección de datos y enviando a sus usuarios nuevos textos legales que estos deben aceptar de forma clara. Esto se debe a la próxima puesta en marcha del RGPD (Reglamento General de Protección de Datos).

    El RGPD es la nueva normativa comunitaria para el tratamiento de los datos personales en los países de la Unión Europea. Pese a que este reglamento se aprobó en el año 2016 no será hasta el próximo 25 de mayo cuando entre en vigor de forma definitiva. En TecnoLOPD hemos hablado largo y tendido sobre la nueva norma, pero hay que tener en cuenta sus implicaciones en todos los sectores. En el marketing digital parece convertirse en todo un caballo de batalla a tener en cuenta.

    Principales novedades del RGPD en el ámbito del marketing digital

    RGPD email marketing

    1. Consentimiento explícito

    Para poder llevar a cabo el tratamiento de los datos personales es importante tener el consentimiento explícito por parte del usuario. Ya no vale un consentimiento implícito o incorporar datos que se encuentren en páginas web, por ejemplo. El usuario debe de estar perfectamente informado de para qué van a tratarse sus datos.

    1. El aviso legal no es suficiente

    Hasta ahora parecía bastar con un simple aviso legal, a veces casi incomprensible, para que los usuarios tuvieran claro que los datos se recogían atendiendo a la legalidad vigente. Esto se acaba con el nuevo RGPD. Con la nueva normativa europea de protección de datos el usuario debe de saber cuándo, cómo, para qué y durante qué tiempo se van a tratar sus datos. Estas comunicaciones deben de ser fácilmente entendibles y transparentes.

    1. Infracciones el RGPD

    Si se detecta cualquier infracción que ponga en peligro los datos de cualquier usuario (robo de información, hackeos, etc.) es imperante comunicarla en un plazo máximo de 72 horas. Esta comunicación debe hacerse de forma clara tanto al usuario en cuestión como a la autoridad competente (Agencia Española de Protección de Datos).

    1. La figura del Delegado

    El Delegado de Protección de Datos se convierte en una figura importante para el correcto cumplimiento del nuevo reglamento europeo (RGPD). Puede ser un empleado de la empresa o un freelance.

    1. Tratamiento de los datos

    El cumplimiento de este reglamento no es solo aplicable a empresas que están ubicadas en la Unión Europea, ya que todas las empresas que trabajen con datos de ciudadanos de la UE deben de seguir esta normativa. Además, si trabajas con terceros tendrás que asegurarte de que también cumplen el RGPD.

    1. Sanciones

    No cumplir debidamente con las obligaciones del nuevo reglamento en protección de datos está penado con sanciones que pueden llegar a los 22 millones de euros.

    Consejos para adaptar campañas de e-mail marketing al RGPD

    email LOPD

    El e-mail marketing parece haberse convertido en uno de los principales hándicaps del nuevo Reglamento Europeo de Protección de Datos. Quizás la primera pregunta que se plantean los responsables de marketing digital es si el RGPD tiene carácter retroactivo. Pues la respuesta es sencilla, ¡sí!

    Estas normas se aplican tanto a los nuevos datos como a los que se han recogido con anterioridad. Quizás es el momento de solicitar un nuevo permiso (expreso) para llevar a cabo el tratamiento de los datos personales de los usuarios. Una auditoria interna de tus bases de datos puede ser la solución para seguir la normativa.

    El consentimiento es la clave. Con la entrada en vigor del RGPD ya no es posible obtener consentimientos que no sean claros y explícitos. Es decir, queda prohibido que haya campos premarcados a la hora de solicitar dicho consentimiento. El usuario tiene que dar un consentimiento explícito, entendiendo el objeto de uso de sus datos. La técnica del doble consentimiento funciona muy bien.

    Además, comunicar los derechos de los usuarios es otra prioridad. Con la entrada en vigor del RGPD hay que sumar dos derechos importantes a los famosos derechos ARCO (acceso, rectificación, cancelación u oposición) que establecía la LOPD: se trata del derecho al olvido y el derecho a la portabilidad.

    El usuario debe de tener facilidades para darse de baja de cualquier suscripción, evitando que sus datos sigan formando parte de cualquier lista. Por ello, es importante que en las comunicaciones de e-mail marketing se incluyan links que colaboren en la cancelación de los datos de quien lo solicite.

    El RGPD no pone impedimentos a la compra de contactos. No obstante, es importante asegurarse de que los usuarios activos en dicha lista han expresado su consentimiento siguiendo la nueva normativa europea.