Saltar al contenido

RGPD

RGPD LOPD 2018

El nuevo RGPD y la nueva LOPD se unen: estas son las principales novedades

Hace ya una semana que el nuevo Reglamento de Protección de Datos (RGPD) se hacía efectivo y de obligatorio cumplimiento. Se ha hablado mucho de esto, pero poco de la nueva reforma de la Ley Orgánica de Protección de Datos (LOPD) española. Ambas normas se han creado para complementarse y han de cumplirse debidamente.

No obstante, en España nos enfrentamos a un pequeño problema. Esta reforma de la LOPD se presentaba en el Congreso de los Diputados a finales de noviembre de 2017. En el texto se puede leer que entraría en vigor el 25 de mayo de 2018, coincidiendo con la obligatoriedad de cumplir el RGPD europeo.

Pese a ello, la reforma de la LOPD española llegaba tarde, ya que se presentaron numerosas enmiendas. Este hecho ha impedido que el texto legal haya podido estar preparado y listo para su cumplimiento en la fecha acordada. No obstante, a falta de una norma nueva, que llegará en breve, seguimos estando obligados a cumplir con el RGPD y la antigua LOPD.

Principales novedades del RGPD

En nuevo Reglamento Europeo de Protección de Datos se aprobó en abril de 2016. Durante dos años las empresas y particulares que tratan datos personales de ciudadanos de la Unión Europea han podido adaptarse para cumplir con la normativa, ya que su efectividad total se produjo el viernes 25 de mayo de 2018. Pese a esto, aun son muchos los negocios que intentan adaptarse correctamente al RGPD.

Hay que tener muy en cuenta que el no cumplimiento de la norma podría traducirse en una elevada sanción por parte de la autoridad competente. La seguridad informática es una de las claves más importantes del RGPD.

  1. Consentimiento explícito: con el nuevo RGPD es necesario obtener el consentimiento explícito de los usuarios para poder tratar sus datos personales. Por lo tanto, para crear una base de datos, cada persona debe de dar su autorización para el tratamiento. Ya no vale incluir direcciones de correo que encontramos en Internet o en cualquier otro lugar.
  2. Transparencia: la norma europea exige que se aumente la transparencia, indicando a los usuarios para qué y durante cuánto tiempo almacenará sus datos. Esto debe de hacerse de forma fácil y entendible.
  3. Infracciones: el RGPD establece la obligatoriedad de comunicar cualquier infracción que ponga en peligro los datos personales, tanto a la autoridad de control como al propio usuario. El plazo para llevar a cabo esta comunicación nunca debe de superar las 72 horas.
  4. Delegado de Protección de Datos: aparece la figura del Delegado de Protección de Datos, que será el encargado de gestionar los datos personales de cualquier empresa. No obstante, no todos los negocios están obligados a contar con esta figura.
  5. Edad para el consentimiento: el RGPD establece que solo se podrá otorgar consentimiento para el tratamiento de datos personales si se tiene más de 16 años. Pero, deja abierta la posibilidad de bajar esta edad a los diferentes países. En el caso de España, la nueva LOPD establece 13 años como edad mínima.
  6. Encargados de Tratamiento: si cedes datos personales de tus usuarios a otras empresas (gestoría, plataformas de e-mail marketing, etc.) debes asegurarte de que también cumplen con la norma europea y firmar un contrato de tratamiento con ellos.

Principales novedades de la LOPD 2018

Como hemos dicho anteriormente, el nuevo RGPD se une a la nueva LOPD 2018, con el objetivo de proteger los datos personales de los ciudadanos españoles. Pese a que la normativa española aún no ha entrado en vigor, las novedades que se plantean en el texto (que puedes leer íntegramente aquí) son bastante importantes.RGPD LOPD 2018

  1. La edad para ofrecer consentimiento para el tratamiento de datos personales baja a los 13 años en el caso de España.
  2. La nueva LOPD elimina la obligatoriedad de inscribir los ficheros de protección de datos en la AEPD.
  3. En cuanto al Delegado de Protección de Datos, la norma española (por aprobar) establece de forma más clara y concisa qué negocios están obligados a contar con esta figura. Además, la AEPD tendrá que ser informada de quién es el delegado en cuestión.
  4. Si vas a enviar e-mails comerciales tendrás que asegurarte de que tus usuarios no forman parte de las Listas Robinson de exclusión publicitaria.
  5. Los ejercicios de los derechos ARCO para los familiares de personas fallecidas se simplifican.
RGPD email marketing

Implicaciones del RGPD en el e-mail marketing

Seguro que te has dado cuenta de que algo está sucediendo en cuanto a la protección de datos. En estas últimas semanas son muchísimas las empresas, redes sociales, buscadores online, etc. los que están cambiando sus políticas en cuanto a protección de datos y enviando a sus usuarios nuevos textos legales que estos deben aceptar de forma clara. Esto se debe a la próxima puesta en marcha del RGPD (Reglamento General de Protección de Datos).

El RGPD es la nueva normativa comunitaria para el tratamiento de los datos personales en los países de la Unión Europea. Pese a que este reglamento se aprobó en el año 2016 no será hasta el próximo 25 de mayo cuando entre en vigor de forma definitiva. En TecnoLOPD hemos hablado largo y tendido sobre la nueva norma, pero hay que tener en cuenta sus implicaciones en todos los sectores. En el marketing digital parece convertirse en todo un caballo de batalla a tener en cuenta.

Principales novedades del RGPD en el ámbito del marketing digital

RGPD email marketing

  1. Consentimiento explícito

Para poder llevar a cabo el tratamiento de los datos personales es importante tener el consentimiento explícito por parte del usuario. Ya no vale un consentimiento implícito o incorporar datos que se encuentren en páginas web, por ejemplo. El usuario debe de estar perfectamente informado de para qué van a tratarse sus datos.

  1. El aviso legal no es suficiente

Hasta ahora parecía bastar con un simple aviso legal, a veces casi incomprensible, para que los usuarios tuvieran claro que los datos se recogían atendiendo a la legalidad vigente. Esto se acaba con el nuevo RGPD. Con la nueva normativa europea de protección de datos el usuario debe de saber cuándo, cómo, para qué y durante qué tiempo se van a tratar sus datos. Estas comunicaciones deben de ser fácilmente entendibles y transparentes.

  1. Infracciones el RGPD

Si se detecta cualquier infracción que ponga en peligro los datos de cualquier usuario (robo de información, hackeos, etc.) es imperante comunicarla en un plazo máximo de 72 horas. Esta comunicación debe hacerse de forma clara tanto al usuario en cuestión como a la autoridad competente (Agencia Española de Protección de Datos).

  1. La figura del Delegado

El Delegado de Protección de Datos se convierte en una figura importante para el correcto cumplimiento del nuevo reglamento europeo (RGPD). Puede ser un empleado de la empresa o un freelance.

  1. Tratamiento de los datos

El cumplimiento de este reglamento no es solo aplicable a empresas que están ubicadas en la Unión Europea, ya que todas las empresas que trabajen con datos de ciudadanos de la UE deben de seguir esta normativa. Además, si trabajas con terceros tendrás que asegurarte de que también cumplen el RGPD.

  1. Sanciones

No cumplir debidamente con las obligaciones del nuevo reglamento en protección de datos está penado con sanciones que pueden llegar a los 22 millones de euros.

Consejos para adaptar campañas de e-mail marketing al RGPD

email LOPD

El e-mail marketing parece haberse convertido en uno de los principales hándicaps del nuevo Reglamento Europeo de Protección de Datos. Quizás la primera pregunta que se plantean los responsables de marketing digital es si el RGPD tiene carácter retroactivo. Pues la respuesta es sencilla, ¡sí!

Estas normas se aplican tanto a los nuevos datos como a los que se han recogido con anterioridad. Quizás es el momento de solicitar un nuevo permiso (expreso) para llevar a cabo el tratamiento de los datos personales de los usuarios. Una auditoria interna de tus bases de datos puede ser la solución para seguir la normativa.

El consentimiento es la clave. Con la entrada en vigor del RGPD ya no es posible obtener consentimientos que no sean claros y explícitos. Es decir, queda prohibido que haya campos premarcados a la hora de solicitar dicho consentimiento. El usuario tiene que dar un consentimiento explícito, entendiendo el objeto de uso de sus datos. La técnica del doble consentimiento funciona muy bien.

Además, comunicar los derechos de los usuarios es otra prioridad. Con la entrada en vigor del RGPD hay que sumar dos derechos importantes a los famosos derechos ARCO (acceso, rectificación, cancelación u oposición) que establecía la LOPD: se trata del derecho al olvido y el derecho a la portabilidad.

El usuario debe de tener facilidades para darse de baja de cualquier suscripción, evitando que sus datos sigan formando parte de cualquier lista. Por ello, es importante que en las comunicaciones de e-mail marketing se incluyan links que colaboren en la cancelación de los datos de quien lo solicite.

El RGPD no pone impedimentos a la compra de contactos. No obstante, es importante asegurarse de que los usuarios activos en dicha lista han expresado su consentimiento siguiendo la nueva normativa europea.

Reglamento General de Proteccion de Datos

Novedades del Reglamento General de Protección de Datos (RGPD)

El próximo 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD), que es de aplicación obligatoria para todos los países miembros de la Unión Europea. En España, la LOPD se ha modificado de forma sustanciosa para que dicho reglamento sea perfectamente aplicable sin interferencias. Son muchas las novedades que se plantean a través de esta norma. Hoy vamos a tratar por encima las cuestiones más importantes.

Reglamento General de Protección de Datos en la UE

  1. ¿Quién debe cumplir el RGPD?

Además de todos los países miembros de la Unión Europea, los responsables de tratamiento que no se encuentren físicamente en la UE también tienen la obligatoriedad de acogerse al reglamento, siempre que el tratamiento de los datos personales afecte a personas que viven en el UE.

  1. Modificaciones respecto a la LOPD

Son muchos los cambios del Reglamento General de Protección de Datos respecto a la antigua LOPD. No obstante, aquellas empresas que ya estuvieran cumpliendo la normativa española tendrán más facilidades para acogerse al RGPD. Los dos cambios más sustanciales son los siguientes:

  • Responsabilidad proactiva: se establece la figura del responsable del tratamiento, que tendrá unas obligaciones inherentes al cargo. Este responsable deberá llevar a cabo tantas medidas como sean necesarias para garantizar el cumplimiento del Reglamento en cuestión.
  • Enfoque de riesgo: todas las medidas que se lleven a cabo deben tener en cuenta el riesgo de su tratamiento. De hecho, en muchos casos, estas medidas solo deberán aplicarse cuando exista un riesgo claro ante los derechos de las personas. Por lo tanto, el RGPD se tiene que adaptar en función de las características propias de cada empresa, organización, asociación o negocio. Las medidas a adoptar no serán las mismas en grandes organizaciones que en pequeñas empresas, ya que el riesgo para las libertades y los derechos no es igual.
  1. Datos de alto riesgo

Los datos de alto riesgo que se incluyen en la antigua LOPD se denominan ahora “categorías especiales de datos”. Además de los que ya recogía la normativa española de 1999, hay que sumar dos nuevos tipos de información de carácter especial:

  • Datos biométricos.
  • Datos genéticos: normalmente recogidos a través de muestras biológicas.
  1. Consentimiento ante el tratamiento

La forma de obtener el consentimiento tácito que preveía la LOPD ya no sirve. El Reglamento General de Protección de Datos establece que el consentimiento ante el tratamiento de los datos ha de ser inequívoco y claro (mediante acción afirmativa). Esto elimina el consentimiento por omisión de la ecuación. Sin duda esta es una de las principales novedades del RGPD.

Además, aparece el consentimiento explícito. Este tipo de consentimientos debe otorgarse en varios casos: cuando se trata de categorías especiales de datos (antes alto riesgo), cuando las decisiones son automatizadas y en las transferencias internacionales de datos.

En cuanto a los menores, los países miembros de la Unión Europea tienen la opción de rebajar la edad de consentimiento válido de los 16 a los 13 años.

  1. Nuevos derechos

Con el nuevo Reglamento General de Protección de Datos se establecen algunos derechos para los usuarios, que no se recogían de forma explícita en las anteriores normativas. De esta forma, los conocidos como Derechos ARCO desaparecen.

  • Derecho al olvido: este nuevo derecho es uno de los que más ha dado que hablar en los últimos años. Se trata de la posibilidad de solicitar que se supriman los datos de alguien, siempre y cuando estos ya no sean aptos para la finalidad de su recogida. No obstante, el derecho al olvido tiene algunas excepciones, como el derecho a la libertad de expresión e información, entre otras.
  • Derecho a la limitación del tratamiento: el interesado puede solicitar que no se tengan en cuenta sus datos en algunos casos. Por ejemplo, cuando se han ejercido los derechos de rectificación u oposición o cuando el tratamiento de los datos personales se considera ilícito.
  • Derecho a la portabilidad: se trata de una visión renovada del antiguo derecho de acceso. Cualquier persona tiene el derecho de recibir debidamente aquellos datos que le afecten.
  1. Notificación de ficherosRGPD

Con el Reglamento General de Protección de Datos desaparece la obligatoriedad de notificar y suscribir los diferentes ficheros. Este era uno de los pasos más importantes que exigía la LOPD. Así que ya no será necesario que ninguna empresa notifique sus ficheros al Registro de Protección de Datos.

  1. Encargado de Tratamiento

La figura del encargado de tratamiento de datos se posiciona en el RGPD como el máximo responsable de los datos de cada entidad. Esta persona debe de tener un contrato claro y específico, en el que se detalle debidamente su objetivo, duración y todas las cláusulas necesarias que garanticen el mejor tratamiento de los datos personales.

Los encargados de tratamiento pueden estar adheridos a los códigos de conducta establecidos por las entidades. Una de las principales funciones del encargado de tratamiento es realizar una correcta evaluación de impacto antes de proceder a tratar con los datos.

  1. Delegado de protección de datos

La figura del delegado de protección de datos depende del responsable de tratamiento. No todas las empresas u organizaciones están obligados a contar con un delegado. Su función es la de actuar a modo de enlace entre los trabajadores y el responsable del tratamiento de datos. Además, debe de comprobar que la RGPD se cumple debidamente.

  1. Medidas de seguridad aplicables

El Reglamento General de Protección de Datos elimina las medidas de seguridad que establecía la LOPD. Ahora, a través del análisis de riesgo se deben evaluar e implantar las medidas de seguridad necesarias en cada caso y situación particular.