Introducción
Querido lector, no sé si a ti te habrá pasado lo mismo que a mi, pero en los últimos meses, en el mundillo del marketing online, ha habido un ruido de sables tremendo con un tema que nos tiene a todos de los nervios: el nuevo Reglamento General de Protección de Datos (RGPD), o GDPR en sus siglas del inglés General Data Protection Regulation. O como la gente la conoce, la nueva ley de protección de datos.
Hasta ahora, en España regía la LOPD. Algunos se preocupaban de poner el aviso de cookies, un enlace a un texto legal copiado de la competencia. Se decía que podían caer sanciones (casi siempre porque algún envidioso de tu competencia te podía denunciar), pero la realidad es que vivíamos muy relajados (algo muy normal en este país cuando no entendemos una ley). Eso sí, no entendíamos el texto legal que copiábamos por ahí para nuestra web, pero sí que aceptábamos cualquier cosa que nos echasen las redes sociales y los gmail de turno sin pestañear, sin leer ni entender absolutamente nada.
Pues bien, este reglamento viene a arreglar un poco esta deficiencia. Quizá un poco tarde, ya que estamos hartos de ver escándalos con grandes compañías como Yahoo, Twitter o Facebook, a los que se les han colado datos, que otros han utilizado para fines no muy lícitos. El más reciente es el escándalo de Facebook y la empresa Cambridge Analytics.
Resumiendo mucho, el Reglamento General de Protección de Datos nos afecta a todos y en el mundo entero, ya que deben cumplirlo todas las empresas que manejen datos de ciudadanos de la Unión Europea. ¿Y quién no quiere tener un cliente de la UE?
El RGPD viene a proporcionar una mayor seguridad a los usuarios de páginas web, aplicaciones, empresas, etc, obligando a establecer más medidas de seguridad para archivos y bases de datos que almacenen datos personales.
Pero ¿qué es un dato personal? Técnicamente es cualquier dato que nos identifique o que nos pueda hacer identificables indirectamente. Por ejemplo un código postal, un email, un DNI o NIF, altas o bajas médicas, información financiera y fiscal, afiliación política…
Es decir, si cualquier dato objetivo se puede asociar a una persona de forma que, al final, podamos identificarla de forma individual o colectiva, ese dato es susceptible de ser protegido.
Pero ahora que tenemos los conceptos básicos, entremos en materia.
Diferencias entre la LOPD y el RGPD
Hasta ahora, y desde hace 18 años, regía en España la Ley Orgánica de Protección de Datos (LOPD). Pero el 25 de mayo de 2018 entra en vigor el Reglamento General de Protección de Datos (RGPD) en todos los países que pertenecen a la Unión Europea.
¿Esto quiere decir que afecta solo a los europeos? No, en absoluto, cualquier empresa del mundo que quiera tener como cliente a un solo ciudadano de la UE deberá cumplir el RGPD.
Lo que voy a explicar a continuación, lo he extraído de esta fantástica presentación realizada por la gente de SAGE, que muestro y que paso a desarrollar y explicar un poco mejor a continuación.
¿Dónde se producen los cambios de la LOPD al RGPD? Principalmente se producen en cuatro áreas:
- En los ámbitos a los que afecta y los trámites que debemos hacer con la Agencia Española de Protección de Datos (AEPD)
- En los derechos de los usuarios
- En las obligaciones de las empresas y los procesos que deben llevar a cabo
- En las sanciones a las empresas (esto es lo que a todos nos pica más)
Veamos con más detalle cuáles son estos cambios:
- Ámbitos y trámites con la AEPD.
- Hasta ahora la LOPD protegía a los ciudadanos españoles, mientras que ahora el RGPD protege a los ciudadanos europeos.
- También se han ampliado los datos que están especialmente protegidos, añadiendo los datos genéticos y los datos biométricos.¿En qué me afectan a mi los datos biométricos? ¿Tienes un iPhone o un Samsung modelo mega-la-leche que reconocen la huella de tu dedo o tu cara? Pues ahí tienes la respuesta. Tu huella dactilar o tu cara están en Cupertino o en Corea, pues esas empresas tienen que comprometerse a protegerlas como si fueran sus niños chicos.
- Si bien antes era obligatorio inscribir nuestros ficheros en el Registro General de Protección de Datos, ahora se deben documentar todos los procesos de tratamiento de datos ante la AEDP. Pero ojo, ya no es un requisito obligatorio.
- Algo muy importante que ha cambiado es que, si hackean nuestra web o se produce cualquier infiltración de datos (por ejemplo nos roban el portátil con los datos de nuestros clientes), tenemos obligación de notificarlo en un máximo de 72 horas a nuestros clientes mediante comunicación. También convendría informar a la Policía Tecnológica para que investiguen o lo tengan en cuenta, ya que otros muchos como tú habrán recibido el mismo ataque.Esto no es descabellado, son varios los clientes a los que he tenido que arreglar un hackeo de su web por tener contraseñas muy débiles (la típica de «pongo mi nombre con mi año de nacimiento y no lo va a pillar nadie…»).
- Derechos de los usuarios.
- Si bien antes, con la LOPD, se aplicaba el derecho de información en la recogida de datos de forma expresa, precisa e inequívoca (el típico aviso de política de privacidad que no entendía ni Dios, con perdón), ahora con la RGPD se aplica el derecho a la información respecto a las condiciones en los tratamientos como en las respuestas a los ejercicios de derechos.
- Además, el reglamento hace mucho hincapie en que se tiene que entender. Ya no valen los textos legales infumables, se lo tenemos que explicar a nuestros usuarios como si fueran tontos. O lo que es lo mismo, los primeros que lo tenemos que entender somos nosotros y, a ser posible, nuestra abuela si se lo leemos.
- Además, si antes se aplicaban los derechos ARCO (de información, acceso, rectificación, cancelación y de oposición), ahora se añaden nuevos derechos (derecho al olvido, a la limitación del tratamiento y a la portabilidad de datos).
- Obligaciones y procesos.
- En la LOPD no había requisitos sobre algunos aspectos que sí recoge el RGPD, tampoco era obligatorio evaluar el impacto sobre la privacidad del uso que se hiciese de los datos. Sin embargo, el RGPD sí que nos obliga a minimizar los datos, es decir, a que recojamos los estrictamente necesarios para los fines que le hemos explicado al usuario que los vamos a utilizar.
- Además, nos obliga a no tratar estos datos personales durante más tiempo del necesario para los fines del tratamiento.
- Y aquí sí, el RGPD nos obliga a hacer un análisis del riesgo al que están expuestos nuestros datos y a tomar medidas técnicas u organizativas adecuadas al riesgo que conlleva el tratamiento. En ciertos casos, además, es obligatorio llevar un registro interno de actividades de tratamiento.
- Pero no todo es apretar, si bien con la LOPD había que notificar a la AEPD todos los cambios que se realizaban en las características de los ficheros (¿alguien de verdad lo hizo alguna vez?), ahora no es necesario hacerlo.
- Y cuidado, si con la LOPD eran las autoridades de control (la AEPD) las que garantizaban el cumplimiento de la normativa, ahora con el RGPD somos nosotros los que garantizamos esto (la patata caliente es para nosotros). De hecho, en determinados supuestos hay que nombrar un delegado de protección de datos (DPA) de la empresa. Esta figura será el intermediario entre los usuarios y la AEPD, deberá acreditar sus conocimientos y estar certificado para realizar la tareas (toma ya, otro títulito).
- Al deber de información (LOPD) se le suma la obligación de comunicar (RGPD) una serie de aspectos sobre el tratamiento de los datos de nuestros usuarios (ambos están detallados en la presentación de arriba).
- Mientras que la LOPD asumía que el consentimiento de los usuarios podía ser tácito o por omisión, el RGPD exige que el consentimiento se haga mediante una declaración o una clara acción afirmativa.
- Por último, el consentimiento de menores pasa a limitarse a 14 años (en España).
Pero esto son las diferencias entre el antes (la LOPD) y el después (el RGPD). Ahora veamos lo que nos interesa. El RGPD en nuestro día a día.
¿En qué consiste el RGPD?
Para empezar, ¿me tengo que preocupar por el nuevo Reglamento General de Protección de Datos (RGPD) de verdad?
Pues, como cuenta Lluisa Ochoa, si realizas cualquier actividad económica (ya sea como empresario, autónomo, profesional o incluso artista) y obtienes datos de personas, te tienes que preocupar por la protección de sus datos.
Si no realizas ninguna actividad y obtienes datos de personas, pregúntate por qué lo haces y qué uso le vas a dar en el futuro, supongo que no estarás coleccionando por coleccionar. En función de la respuesta plantéate si quizá deberías empezar a cumplir el Reglamento General de Protección de Datos.
Hay que tener especial cuidado con el RGPD en la cuestión de los datos sensibles, es decir, origen étnico, opiniones políticas, de salud, orientación sexual… Ten en cuenta que la recogida de datos requiere un consentimiento explícito, en el que el usuario sepa que van a utilizar esos datos y para qué los van a utilizar, y éste tendrá que «firmar» que está de acuerdo.
¿Cómo me afecta el RGPD?
Aunque ya pasamos sobre este tema en el anterior apartado, es importante resaltar que el RGPD pone el foco en los siguientes puntos:
- Las personas deben estar informadas previamente sobre el uso que vas a hacer con sus datos, y sobre qué tienen que hacer si quieren dejar de permitir que los tengas.
- No solo debes cumplir el RGPD, sino que debes demostrar que lo cumples.
- Quien te cede los datos debe entender para qué los vas a usar, y debe seguir teniendo el poder sobre sus datos.
Nos tenemos que meter en la cabeza que cualquier dato tiene un valor económico, vivimos en la era del Big data, y eso es porque se comercia con los datos de las personas. No olvides que, todos esos servicios de los que has disfrutado gratuitamente todos estos años, han estado recopilando información sobre ti porque tú se lo permitiste al aceptar las cláusulas de privacidad.
Por tanto, tanto cuando nuestros usuarios nos ceden un dato, como cuando somos nosotros los que lo cedemos, están o estamos cediendo un bien muy preciado y valioso, con el que se mueve la economía.
Pero ¿cómo nos afecta y cómo afecta a nuestros clientes el RGPD?
Como usuario
El consentimiento informado
Tenemos que saber que, como usuarios, el nuevo reglamento nos protege, pero también nos traspasa una responsabilidad, la de decidir si le cedemos a alguien nuestros datos bajo consentimiento consciente. Como veremos más adelante, tendremos que disponer de una casilla en cada formulario y de un link a toda la información, en la que se indique qué se va a hacer con nuestros datos y para qué se van a utilizar. Y muy importante, esta información deberá estar en un lenguaje que podamos entender.
Pero el reglamento también nos da la oportunidad de poder reclamar daños y perjuicios a la empresa a la que cedemos los datos si ésta hace un uso distinto del que nos ha informado, y que previamente hemos dicho que hemos entendido. Y ojo, habremos dicho que se ha entendido porque realmente se ha de entender. Otra cosa es que hayamos marcado la casilla sin leer. Por eso la responsabilidad es nuestra.
Como emprendedor
Como emprendedores yo creo que, además de hacer un buen uso de los datos (esto se sobreentiende), tenemos una obligación muy importante, que es la de explicar muy bien a los usuarios de nuestra web o de nuestra comunidad todo lo relativo a cómo tratamos sus datos.
Para que esto se haga de forma adecuada, la información sobre protección de datos se distribuirá en dos capas. Es decir, hay como una especie de multinivel.
Multinivel en la información sobre protección de datos
La primera capa va a ser el formulario que le ofrecemos al cliente para que se suscriba o para que nos envíe un correo, donde se le solicita al usuario el consentimiento consciente, y aquí se le ofrecerán una serie de datos que marca el reglamento como la identificación del responsable del tratamiento de datos, si procede quién es el delegado de protección de datos, el destinatario de los datos, derechos de usuario y otras informaciones de interés.
Nueva estructuración y forma de los avisos legales en nuestra web.
Otro asunto que nos interesa es, ¿cómo debemos estructurar el aviso legal de la web?
Según Lluisa Ochoa, debemos estructurar el aviso legal de la web en los siguientes apartados:
- Política de privacidad, ésta afecta a la recogida del consentimiento y en cómo vamos a usar esos datos.
- Las condiciones de contratación, es decir, qué va a pasar si nos compran nuestro producto o si contratan nuestros servicios. Para ello, tenemos que repasar muy bien y plasmar el proceso de compra o de contratación, los derechos y las garantías que ofrecemos a nuestros usuarios o posibles clientes.
- Otras cláusulas generales sobre temas legales como derechos de propiedad intelectual, consentimiento de menores, política de cookies, etc.
Esto que parece tan simple implica un análisis muy concienzudo de cada uno de los procesos mediante los cuales recibimos datos de nuestros usuarios y clientes, ver qué introduce el cliente en ellos y adaptarlos al RGPD adecuadamente.
Sanciones
He dejado lo mejor para el final, «¿y to esto pa qué?», pues ahora no es tu competidor envidioso el que te puede denunciar, sino cada uno de tus clientes o usuarios si se le llegan a cruzar los cables o, con más razón, si tú no haces bien las cosas y haces un mal uso de sus datos personales.
Por ello la cosa ha cambiado sustancialmente, antes la LOPD establecía multas que iban desde 900 € a 600.000 €, sin embargo, en Europa, que son más rumbosos, han establecido multas que van desde un 4% de la facturación global anual hasta 20 millones de €. Hala ahí….
Por eso conviene que nos tomemos esto en serio.
¿Qué hago para adaptar mi empresa a la RGPD?
Pues tienes varias posibilidades, pero te recomiendo que no escatimes en gastos porque esto no es ninguna broma. Te ofrezco varias opciones:
- Si quieres empezar por formarte, Lluisa Ochoa tiene un curso muy completo sobre cómo adaptar tu empresa a la LOPD 2018 *, y si eres de los que tienes conocimientos técnicos, tiene otro más económico sobre cómo adaptar tu web al RGPD 2018 *.
- Si no tienes conocimientos técnicos puedo ayudarte a adaptar tu web al RGPD, pídeme presupuesto y estudiaré el caso de tu web.
- En cualquier caso, tú y yo, todos debemos recurrir a un profesional para adaptar nuestros textos legales. Yo trabajo con Lluisa Ochoa, pídeme presupuesto y tendrás un precio especial por los dos servicios (Adaptación de tu empresa a la LOPD y adaptación de tu web).
Hay mucho más por contar, ¿qué ocurre con el comercio electrónico, con el consentimiento de menores, etc? Te recomiendo que recurras a un experto, que me preguntes a mi o que hagas alguno de los cursos que te he recomendado en este artículo.
Quiero que me ayudes a adaptar mi web al RGPD
Foto de portada de Matthew Henry extraída de Unsplash
* Estos enlaces son de afiliación. Si haces alguno de estos cursos, ayudarás a que pueda seguir aportando valor a través de mi blog ganando una pequeña comisión, sin incremento en el precio de los mismos.
Deja una respuesta