Lola Hernandez Caballero/ / Actualidad, General, Seguridad/ 1 comments

La nueva ley de protección de datos GDRP Fuente de la imagen: Infochannel

La nueva ley de protección de datos GDRP Fuente de la imagen: Infochannel

Se habla de la importancia de la seguridad online, de los certificados SSL pero ¿Sabías que está a punto de ponerse en vigor la nueva ley de protección de datos GDPR? Se trata de un nuevo reglamento europeo que entrará en vigor a partir del 25 de mayo de 2018 y que afecta a la custodia y protección de los datos personales de los usuarios. Será de obligado cumplimiento para todos los proyectos online. Pon atención, que esto te interesa…

¿Qué es el GDPR?

GDPR es la iniciativa de la Unión Europea para reforzar, armonizar y modernizar las leyes de protección de datos ampliando los derechos individuales de los ciudadanos. El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018. 

“Como todos sabéis, cada vez más los datos son el activo más importante de las organizaciones, lo que se corresponde con el aumento de los ciberataques que estamos sufriendo. Así que GDPR impulsa la colaboración entre las entidades públicas y privadas para remediarlo y levantar una barrera extra de seguridad para nuestros datos personales. GDPR es consistente con la idea europea de que la privacidad es un derecho fundamental de los ciudadanos europeos” afirma Arturo Génova en su blog transformaciondigitalpyme.es

Se ha diseñado para permitir a los ciudadanos un mejor control sobre sus datos personales y para generar así mayor confianza a los consumidores europeos que realicen compras online en diferentes estados de la unión.

Derechos recogidos en el GDPR

La Ley Orgánica de Protección de Datos establecía 4 derechos para los interesados: Acceso, Rectificación, Cancelación y Oposición (conocidos en España como derechos ARCO). Pues bien, con el nuevo Reglamento Europeo de Protección de Datos, esta lista se amplía. Además de los derechos ARCO, se contemplan también los siguientes derechos:

  • Derecho a la transparencia de la información, (art. 12)
  • Derecho de limitación, (art. 18)
  • Derecho de supresión (derecho al olvido), (art. 17)
  • Derecho de portabilidad, (art. 20)

Derecho a la transparencia de la información. Tenemos derecho a saber para qué se utilizan nuestros datos y durante cuánto tiempo se van a conservar. También si en su tratamiento va ha haber decisiones automatizadas y elaboración de perfiles, sobre todo si tienen consecuencias legales como en la concesión de un préstamo.

Derecho de limitación. Todas las organizaciones públicas o privadas que traten nuestros datos deben identificar quién es el Responsable del tratamiento, cómo podemos solicitar la suspensión del tratamiento, la conservación de nuestros datos pero sin tratarlos, o la portabilidad de los mismos en un formato que otros Responsables puedan tratar..

Derecho de supresión (derecho al olvido) Cualquier persona tendrá derecho a que su información personal sea eliminada de los proveedores de servicios de Internet cuando lo desee, siempre y cuando quien posea esos datos no tenga razones legítimas para retenerlos.Este derecho obliga a los responsables de los datos que han difundido la información a terceros a comunicarles la obligación de suprimir cualquier enlace a los datos publicados, así como a eliminar cualquier copia o réplica de dichos datos. 

Su objetivo es conseguir eliminar de la red y de los buscadores cualquier rastro que haya de los datos de la persona que quiere ser “olvidada” de manera definitiva.

Derecho de portabilidad El nuevo GDPR se prevé la posibilidad de transmitir los datos de un responsable a otro, de forma que el interesado tendrá derecho a que los datos personales se transmitan directamente cuando sea técnicamente posible. Un ejemplo habitual es cuando un particular quiere cambiar de operadora de telecomunicaciones o de compañía de electricidad: la portabilidad permite que los datos personales del particular se transfieran directamente a la nueva compañía escogida, de forma ágil y sencilla para el usuario final.

¿Qué hay de nuevo en el GDRP?

El art. 5 del GDPR contiene la lista de principios a tener en cuenta en el tratamiento de datos personales. Algunos de ellos ya estaban previstos en la LOPD, pero se añaden otros nuevos.

Principio de Transparencia 

“Los datos personales serán tratados de manera lícita, leal y transparente en relación con el interesado”. Su materialización conlleva un importante cambio, ya que desaparece la obligación de notificar y registrar los ficheros que contienen datos personales ante la autoridad de control. En España, esta autoridad es la Agencia Española de Protección de Datos (AEPD).

En el nuevo GDPR se ha definido un “Registro de actividades de tratamiento”.
Este registro se llevará a cabo de forma interna y contendrá, entre otros, los siguientes datos:

  • nombre y datos de contacto del responsable del tratamiento
  • nombre y datos del Delegado de Protección de Datos
  • finalidad del tratamiento
  • descripción de categorías del interesado
  • descripción de categorías de datos tratados
  • las transferencias internacionales de datos

En España, este nuevo registro puede integrarse de momento en el Documento de Seguridad, hasta que la Agencia Española de Protección de Datos facilite instrucciones concretas acerca de su formato y gestión.

Principio de limitación de la finalidad 

“Los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines (…)  Estos fines explícitos y legítimos deberán determinarse y especificarse en el momento de la recogida de los datos.

 Minimización de datos

“Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”. Como gestores de un negocio online debemos garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento

Nueva información que se debe aportar en el Registro General de Protección de Datos

Desde mayo de 2018, además de los datos que ya se recogen en con la LOPD, el nuevo Reglamento exige la obligación de informar sobre nuevos aspectos en el Registro General de Protección de Datos:

  • se tiene que explicar la base legal para el tratamiento de los datos
  • se debe informar acerca del periodo de conservación
  • se debe informar acerca de la posibilidad de hacer reclamaciones
  • se debe informar de los demás derechos que incorpora el nuevo RGDP

Es por tanto conveniente revisar las cláusulas informativas que se hayan incorporado en los procesos de recogida de datos e incluir los nuevos apartados para cumplir así con las exigencias del GDPR.

Nueva Obtención del consentimiento para el tratamiento de datos

El GDPR mantendrá los mismos principios del consentimiento que establece la LOPD, exigiendo un consentimiento libre, informado, específico e inequívoco. Sin embargo, el nuevo GDPR indica que para poder considerar que el consentimiento es inequívoco, deberá existir una declaración del interesado o una acción positiva que manifieste su conformidad.

obtención de consentimiento con la GDPR

obtención de consentimiento con la LOPD

Tratamiento de datos de menores de edad

Por otra parte, otras de las novedades importantes es en relación con el tratamiento de datos de menores. Desde mayo de 2018 no podrán ofrecerse servicios de la sociedad de la información a menores de 16 años sin el consentimiento paterno o del tutor legal, salvo que una ley nacional establezca una edad inferior que, en ningún caso, será menos de 13 años.

Establecer acciones y medidas de seguridad

El nuevo GDPR no distingue entre los niveles de los ficheros, sino que especifica que se apliquen medidas de seguridad teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas.

Diferencias entre RLOPD y GRPD Fuente: http://grupodatcon-norte.com

Diferencias entre RLOPD y GRPD Fuente: http://grupodatcon-norte.com

El nuevo Reglamento europeo de protección de datos habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, pero no concreta qué tipo de medidas deben aplicarse.

El GDPR, bajo el principio de responsabilidad proactiva exige al responsable del tratamiento que aplique las medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento. Por tanto, lo que el GDPR exige es que las empresas tengan una actitud consciente, diligente y proactiva del tratamiento de los datos, pudiendo demostrar, si llegara el caso, las medidas de seguridad aplicadas.

Comunicación de fallos a la autoridad de protección de datos

Una nueva obligación que el GDPR impone al responsable del tratamiento de datos es: notificar las violaciones de seguridad de los datos. Es decir, debemos notificar a la autoridad competente (AEPD en España) cualquier brecha de seguridad que se haya producido en nuestra web en el plazo de 72 horas desde que ocurra.

Además, si la brecha implica un riesgo para los interesados, también se les deberá notificar por email.

La Figura del Delegado de Protección de Datos

El GDPR le dedica una sección entera a una nueva figura, dada la relevancia que tiene para el futuro: el Delegado de Protección de Datos (Data Protection Officer).

Esta figura no es obligatoria para todas las organizaciones: solo tendrán que contar con un delegado las empresas públicas, las que tengan un tratamiento a gran escala o las que recojan datos especialmente sensibles o relativos a condenas o infracciones penales.R.

El Delegado puede elegirse de entre personal existente en la organización del responsable de los Datos o cumplir las tareas a través de un contrato de servicios.

Las autoridades de protección de datos

El GDPR sigue manteniendo la existencia de los diferentes reguladores nacionales que en España seguirá siendo la Agencia Española de Protección de Datos. Las distintas agencias nacionales estarán coordinados por un organismo dependiente de la Comisión Europea: el Comité Europeo de Protección de Datos.

Sanciones más altas

Si hasta mayo de 2018 las sanciones pueden ir desde 900 euros hasta 600.000, a partir de entonces no se establecen cuantías mínimas y las máximas pueden alcanzar los 20 millones de euros o hasta el 4% del volumen de negocio del infractor. Así que, como ves, la protección de datos se toma muy serio.

En resumen ¿Qué cambios tengo que hacer en mi proyecto online?

1. Infórmate y planifica en tu calendario todos los cambios que vas a tener que realizar en tu proyecto online, blog, web o tienda online, afecta a todos por igual.

2. A partir del 25 de mayo debes cambiar los textos de los archivos “Términos y Condiciones de Uso”; “Política de Privacidad”; “Política de Cookies” ; “Aviso legal”; “Condiciones Generales de Venta” y de todos aquellos apartados donde antes se mencionase la LOPD

3. Asignar una persona que gestione los datos de los usuarios dentro de la empresa e Introducir un  email de contacto para que los usuarios puedan modificar o eliminar el uso de sus datos. Cuanto más visible este apartado, mejor.

4. A partir de ahora, la aceptación de las “condiciones de uso” debe ser visible y de tal forma que el usuario tenga realizar alguna acción para aceptarlas.

5. Entregar a la Agencia Española de Protección de Datos la información requerida a partir del establecimiento de la nueva ley

6. Avisar a la Agencia de Protección de datos sobre las incidencias en seguridad que pueda tener tu proyecto online en el caso de que los datos de los usuarios hayan podido quedar desprotegidos.

También te puede interesar…

 


La nueva ley de protección de datos GDRP entrará en vigor el 25 de mayo
5 (100%) 4 votos

(Visited 511 times, 1 visits today)
Share

About Lola Hernandez Caballero

Creadora del medio digital independiente destinocastillayleon.es y la tienda online destinoysabor.com. Consultora de marketing online y ecommerce en VK Translations para empresas exportadoras. Escribo para el blog de Interdominios sobre los temas que me apasionan: hosting, apps, tecnología, ecommerce, productividad, etc

1 Comment

  1. Muy interesante artículo, Lola. ¿Cree que esto ayudará de verdad en la fuga de información personal masiva de los usuarios a las grandes multinacionales y empresas?

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
*
*