Hace ya una semana que el nuevo Reglamento de Protección de Datos (RGPD) se hacía efectivo y de obligatorio cumplimiento. Se ha hablado mucho de esto, pero poco de la nueva reforma de la Ley Orgánica de Protección de Datos (LOPD) española. Ambas normas se han creado para complementarse y han de cumplirse debidamente.
No obstante, en España nos enfrentamos a un pequeño problema. Esta reforma de la LOPD se presentaba en el Congreso de los Diputados a finales de noviembre de 2017. En el texto se puede leer que entraría en vigor el 25 de mayo de 2018, coincidiendo con la obligatoriedad de cumplir el RGPD europeo.
Pese a ello, la reforma de la LOPD española llegaba tarde, ya que se presentaron numerosas enmiendas. Este hecho ha impedido que el texto legal haya podido estar preparado y listo para su cumplimiento en la fecha acordada. No obstante, a falta de una norma nueva, que llegará en breve, seguimos estando obligados a cumplir con el RGPD y la antigua LOPD.
Principales novedades del RGPD
En nuevo Reglamento Europeo de Protección de Datos se aprobó en abril de 2016. Durante dos años las empresas y particulares que tratan datos personales de ciudadanos de la Unión Europea han podido adaptarse para cumplir con la normativa, ya que su efectividad total se produjo el viernes 25 de mayo de 2018. Pese a esto, aun son muchos los negocios que intentan adaptarse correctamente al RGPD.
Hay que tener muy en cuenta que el no cumplimiento de la norma podría traducirse en una elevada sanción por parte de la autoridad competente. La seguridad informática es una de las claves más importantes del RGPD.
- Consentimiento explícito: con el nuevo RGPD es necesario obtener el consentimiento explícito de los usuarios para poder tratar sus datos personales. Por lo tanto, para crear una base de datos, cada persona debe de dar su autorización para el tratamiento. Ya no vale incluir direcciones de correo que encontramos en Internet o en cualquier otro lugar.
- Transparencia: la norma europea exige que se aumente la transparencia, indicando a los usuarios para qué y durante cuánto tiempo almacenará sus datos. Esto debe de hacerse de forma fácil y entendible.
- Infracciones: el RGPD establece la obligatoriedad de comunicar cualquier infracción que ponga en peligro los datos personales, tanto a la autoridad de control como al propio usuario. El plazo para llevar a cabo esta comunicación nunca debe de superar las 72 horas.
- Delegado de Protección de Datos: aparece la figura del Delegado de Protección de Datos, que será el encargado de gestionar los datos personales de cualquier empresa. No obstante, no todos los negocios están obligados a contar con esta figura.
- Edad para el consentimiento: el RGPD establece que solo se podrá otorgar consentimiento para el tratamiento de datos personales si se tiene más de 16 años. Pero, deja abierta la posibilidad de bajar esta edad a los diferentes países. En el caso de España, la nueva LOPD establece 13 años como edad mínima.
- Encargados de Tratamiento: si cedes datos personales de tus usuarios a otras empresas (gestoría, plataformas de e-mail marketing, etc.) debes asegurarte de que también cumplen con la norma europea y firmar un contrato de tratamiento con ellos.
Principales novedades de la LOPD 2018
Como hemos dicho anteriormente, el nuevo RGPD se une a la nueva LOPD 2018, con el objetivo de proteger los datos personales de los ciudadanos españoles. Pese a que la normativa española aún no ha entrado en vigor, las novedades que se plantean en el texto (que puedes leer íntegramente aquí) son bastante importantes.
- La edad para ofrecer consentimiento para el tratamiento de datos personales baja a los 13 años en el caso de España.
- La nueva LOPD elimina la obligatoriedad de inscribir los ficheros de protección de datos en la AEPD.
- En cuanto al Delegado de Protección de Datos, la norma española (por aprobar) establece de forma más clara y concisa qué negocios están obligados a contar con esta figura. Además, la AEPD tendrá que ser informada de quién es el delegado en cuestión.
- Si vas a enviar e-mails comerciales tendrás que asegurarte de que tus usuarios no forman parte de las Listas Robinson de exclusión publicitaria.
- Los ejercicios de los derechos ARCO para los familiares de personas fallecidas se simplifican.