Si hay un tema de moda en estos momentos, es el nuevo Reglamento General de Protección de Datos (RGPD). A estas alturas, todos sabemos que el día 25 de mayo se produce su aplicación efectiva.
Y como nosotros estábamos perdidos en un mar de dudas, y a lo mejor tú también, decidimos pedirle a Nuria de The Legal Hat que nos explicase las principales novedades del RGPD y cómo podemos adaptarlas a las empresas (siempre y cuando tengas un negocio de menos de 250 trabajadores, ya que de lo contrario, deberás consultar con un experto las características propias de tu negocio).
1. ¿Estoy obligado a su cumplimiento?
En el momento en el que dispones de datos personales de proveedores, clientes o personas de contacto en general, debes cumplir con el RGPD.
Es importantísimo tener presente que no importa aquí si tu negocio es pequeño o grande, si recoges los datos de forma telemática o manual, si tienes pocos o muchos subscriptores. A partir del momento en el que recoges datos, estás obligado.
2. ¿Qué es un dato personal?
El RGPD considera datos personales cualquier información por la que una persona puede ser identificada (directa o indirectamente), como su nombre, DNI, dirección postal o número de teléfono. También se considera información personal aquella referida a la identidad física, como los datos genéticos, fisiológicos, psíquicos, económicos, culturales o sociales. Según la nueva normativa, las IP y las cookies también son información personal.
3. ¿Titular, responsable o encargado del tratamiento?
Son roles distintos:
a. Titular de los datos:
Conocido como el interesado, es el dueño de los datos. Por ejemplo, yo, como particular, soy la interesada y la dueña sobre mis datos personales.
b. Responsable del tratamiento:
Es quien decide sobre la gestión de los datos personales del titular. Por ejemplo, yo soy la responsable de los datos personales que recojo de mis clientes.
c. Encargado del tratamiento:
La persona (o entidad) que va a manejar en el día a día los datos personales según las instrucciones emitidas por el responsable. Por ejemplo, yo recojo los datos personales mediante la suscripción de mis usuarios. Utilizo la plataforma de Mailchimp, por lo que dicha plataforma es la encargada del tratamiento.
4. ¿Puedo recoger cualquier dato personal?
Es importante tener presente que en función de los datos personales que recojas, tus obligaciones como responsable de los mismos pueden aumentar. En mi caso, recojo nombre, apellidos y mail. No tendría sentido solicitar (por la tipología de servicio que ofrezco) hábitos alimenticios, peso, altura, …etc., datos que son propios de un profesional que ofrece servicios de dietética. En consecuencia, mi consejo es que recojas simplemente aquellos datos que realmente necesites.
5. ¿He de notificar mi fichero a la AEPD?
A partir del día 25 de mayo, desaparece esa obligación. Eso sí, deberás crear un registro de actividades (se trata de una mezcla entre los antiguos ficheros y el documento de seguridad). Este registro de actividades no estás obligado a notificarlo, sino que simplemente debes elaborarlo para el momento en el que te lo puedan solicitar.
6. ¿Mayores requisitos informativos?
Se exige mayor claridad y transparencia a la hora de recabar y tratar información personal. Será necesario proporcionar información completa y de forma sencilla (lenguaje claro y comprensible) al usuario para que pueda tomar decisiones adecuadas. En este sentido, se recomienda informar por capas (la guía de la AEPD para el cumplimiento del deber de informar explica como hacerlo). Así, se facilitará la comprensión del usuario y la toma de decisiones.
7. ¿En qué consiste el consentimiento expreso?
A diferencia de la LOPD, el consentimiento para poder tratar datos de carácter personal ha de ser expreso, inequívoco, libre y revocable. Por ello, es fundamental que adecúes los formularios para solicitar el consentimiento correctamente. El nuevo reglamento establece que esta información se debe poner a disposición de los usuarios en el momento en que se soliciten los datos, previamente a la recogida o registro.
8. ¿Puedo conservar los datos de forma indefinida?
Puedes conservar los datos tanto tiempo como te resulte necesario. No obstante, si has recogido datos de tus usuarios para mandarles newsletters (y ellos han aceptado) y ya no vas a mandar más newsletters, es importante que informes a tus usuarios y que canceles sus datos.
9. ¿Puedo ceder los datos de mis usuarios a un tercero?
Nuevamente entra en este caso el elemento principal del que ya hemos hablado: el consentimiento. Si has informado a tus usuarios de que sus datos van a ser cedidos y éstos están de acuerdo, no hay problema.
Es importante hacer una especial mención si vas a ceder datos personales a países de fuera de la UE. En tal caso, será necesario que fundamentes dicha cesión o transferencia a países que la Comisión Europea considere que proporcionan una norma de protección de datos adecuada. Es lo que se conoce como el “Escudo de Privacidad” (Privacy Shield).
10. ¿Qué debo hacer si he puesto en compromiso los datos personales de mis usuarios?
Es fundamental que, como responsable del tratamiento de esos datos, actúes de inmediato (tienes un plazo máximo de 72 horas), y comuniques esa circunstancia a las autoridades de control y, según el tipo de información que haya sido comprometida, también a los afectados.
11. ¿Cómo uso email marketing cumpliendo con el nuevo RGPD?
No es para nada complicado. Se trata de aplicar todo lo que te he comentado anteriormente. Es decir, tienes que:
Ser transparente e informar a tus usuarios de una forma clara y directa sobre cómo vas a utilizar sus datos. No es lo mismo si recojo sus datos para mandarles publicidad sobre mis servicios, contenido exclusivo para suscriptores o información sobre cursos que realizo, que si voy a utilizarlos para enviarles una factura o los datos de una compra que ha realizado. Al tener propósitos distintos a la hora de recabar los datos (previamente a que nos otorguen el consentimiento), deberé indicar las acciones que realizaré una vez disponga de ellos.
Permitir al titular de los datos los denominados derechos POLIARSO (Portabilidad, Oposición, Limitación del tratamiento, Información, Acceso, Rectificación, Supresión/derecho al olvido y Oposición).
Recomendación: crea mecanismos que dejen rastro de que has obtenido correctamente el consentimiento del usuario. Un modo sencillo de realizarlo es implementando casillas de verificación y el doble “opt in”.
12. ¿Puedo utilizar el consentimiento del usuario prestado para la ejecución de una compra, para enviarle mi newsletter?
No. Como he comentado anteriormente, únicamente podrás utilizarlo si a la hora de prestar su consentimiento para que recojas sus datos (venta), también acepta de forma expresa el consentimiento para poder enviarle la newsletter.
Es importante que dicha compra no esté condicionada a prestar ese consentimiento (newsletter), ya que podría entenderse como que no es un consentimiento libre o voluntario.
Tip
¿Qué ocurre si no cumplo con el RGPD?
El incumplimiento del nuevo reglamento supone que te expones a posibles sanciones y multas que pueden alcanzar cuantías muy elevadas.
Para ayudarte a la implementación de los requerimientos de la nueva normativa, la Agencia Española de Protección de Datos ha puesto a tu disposición una serie de guías que pueden resultarte de mucha utilidad:
- Guía del Reglamento General de Protección de Datos para responsables del tratamiento;
- Guía para el cumplimiento del deber de informar;
Para terminar, y a modo de conclusión, te aconsejo que revises los textos legales (política de privacidad) y leyendas (solicitud de consentimiento) contenidas en tu web a efectos de asegurarte de que cumplen con los requisitos exigidos por el nuevo RGPD.
Si tienes dudas sobre cómo adaptar tu negocio a la nueva normativa, no dudes en hacer uso de las diferentes guías que pone a tu disposición la AEPD o, si lo prefieres, contacta con un profesional para que lo haga por ti.
Es importante adecuar nuestro negocio al nuevo RGPD, no sólo para evitar posibles sanciones y multas, sino también para ganar la confianza de nuestros usuarios. Estarán tranquilos al saber que sus datos son protegidos tal y como se merecen.
