Habrás oído hablar mucho sobre el Reglamento General de Protección de Datos Europeo o RGPD seguro.

¡Yo que te voy a decir!, llevo haciendo adaptaciones una detrás de otra los últimos meses como abogado especialista en protección de Datos en Almería y Granada y preparando la adaptación de las Agencias de Marketing online y sus clientes por toda España.  Si todavía no tienes idea de cómo es o como te afecta he decidido hacer este artículo para abrir debate y explicar los puntos más importantes sino sabes cómo hacer una política de protección de datos.

EL NUEVO PAPEL DEL ABOGADO DIGITAL EN LA IMPLANTACIÓN DE LA POLÍTICA DE PROTECCIÓN DE DATOS EN LA EMPRESA

La nueva normativa busca crear una cultura de la privacidad con participación activa de las empresas. Lo cual se traduce en informar a trabajadores para que estos ejecuten e informen correctamente a los usuarios y clientes. Si necesitáis ayuda profesional de un Abogado experto en Políticas de Protección de Datos, no dudéis en contactar tenemos una amplia experiencia sobre todo en negocios que operan por Internet con experiencias muy positivas de clientes.

¿Cómo nos afecta el nuevo RGPD?

En mi opinión como abogado  en Almería y Granada especialista en implantaciones de protección de datos en empresas desde 2015 el nuevo RGPD es un avance en materia de privacidad.

En España la mayoría de derechos estaban consolidados en la jurisprudencia, pero era necesario acudir a la vía judicial con abogado para reclamar estos derechos, mientras que ahora la Agencia de Protección de Datos tiene nuevas herramientas para sancionar e investigar a las empresas que no cumplan con la protección de los usuarios.

Llevo un tiempo siguiendo a los afectados de IDENTAL una clínica que ha cerrado dejando a todos los clientes en la estacada con los tratamientos a medías. En la anterior Ley no se hacía mención expresa a la solicitud de los expedientes clínicos o datos de tratamiento. Con la nueva Ley estos afectados pueden solicitar sus expedientes para finalizar su tratamiento en otra clínica. Aunque en este caso, la empresa se niega, si continua en esa línea posiblemente se lleve una de las primeras y más importantes sanciones dentro de la nueva normativa europea. (Pero eso es otro tema).

Es un avance, y realmente aunque adaptarse pudiera ser un gasto, no me lo parece.

Creo que todas las empresas cuando operan en Internet deberían respetar los derechos de sus clientes desde el mismo momento en que deciden comprar un dominio.  

Cómo todo lo nuevo, al principio es una molestia pero es mal necesario y bueno para todos en una sociedad digital como la actual. Los empresarios también navegan, tienen hijos y tienen derecho a la intimidad. Internet es un fenómeno global imparable, por lo que no viene mal, establecer algunos mínimos que a nadie que esté haciendo correctamente las cosas perjudica.

¿Cómo afecta a las empresas contratar una política de protección de datos nueva?

Las empresas deben realizar nuevos protocolos de gestión de datos confidenciales, muy similares a los anteriores descritos en la Ley. Pero esta vez de forma más seria y de acuerdo a la tecnología existente que tienen en las empresas. La nueva normativa hace un gran énfasis en la proporcionalidad de las medidas y el criterio del empresario. En la práctica implica que las empresas deban realizar dos documentos: El análisis de riegos y la evaluación de riesgos. Pero no solo hacer los documentos, sino cumplirlos cada día y establecer cuantos mecanismos sean necesarios para que se cumplan.

El coste para las empresas de implantar una política de protección de datos es un gasto fundamentalmente en formación, que se amortizará a los largo de los próximos años. Un coste similar al que se invirtió en su día para que las empresas usaran ordenadores. Quizás doloroso para el bolsillo en un primer momento, pero muy rentable posteriormente.

¿Cómo afecta a los usuarios ?Cómo puede ayudarnos un abogado especialista en Protección de Datos

Cómo Abogado Digital especialista en Protección de Datos y Privacidad, la negativa a que una empresa facilite los datos a un usuario o los utilice sin su consentimiento conlleva una sanción por parte de la Agencia de Protección de Datos. Si además la empresa usa datos de forma masiva, la combina con otros datos o empresas recibirá una sanción aún mayor. En casos más extremos puede conllevar una indemnización por la jurisdicción civil por delitos contra el honor o la intimidad. E incluso en algunos casos podemos ser responsables indirectos de la comisión de delitos si se filtran datos comprometidos de clientes por una negligencia por parte de nuestra empresa.

Nuestro consejo para los usuarios sigue siendo el mismo. Leer las condiciones de privacidad antes de aceptar y en la medida de lo posible usar siempre navegación anónima.

¿Qué es el RGPD?

El RGPD son las siglas en español de la normativa denominada Reglamento General de Protección de Datos aprobada por el Parlamento Europeo y que entró en vigor en Mayo de 2018.  Al ser un texto legal europeo, si buscas información sobre él deberás hacerlo con su nombre en inglés. RDPG o General Data Protection Regulation.

El RGPD es un texto de mínimos de obliga a todos los estados medíante una norma uniforme o común para todos los estados miembros de la Unión Europea y que a la vez obliga a todas las empresas que operen en Europa.

La finalidad del RGPD es proteger a los ciudadanos europeos garantizando una serie de derechos relacionados con la privacidad de la información y su acceso por terceros.

¿Qué es un dato personal y como se regula en el RGPD?

Un dato personal o dato privado es cualquier dato directo o que combinado con otro pueda predecir el comportamiento o gustos de una persona concreta.

Existen algunos problemas de precisión en la traducción de datos personales del inglés al español que suponemos que se incluirán en la nueva normativa española. Ya que las palabras personales, privadas y confidenciales son conceptos que en español admiten bastantes matices a los que como abogados de protección de datos hemos dado bastantes vueltas al aplicarlos en los protocolos de protección de datos que estamos aplicando en empresas y blog.

Es decir, se obliga a que las empresas que combinen datos de usuarios, por ejemplo aquellas que acumulan datos sobre tus compras (bancos) o los sitios que visitas (Buscadores) indiquen que van a hacer con ellos y con qué empresas lo van a combina.

¿Te imaginas que Google y el Banco Santander combinasen que páginas visitas, donde vives y cuanto gastas y se lo vendieran a otra empresa y tuvieras mañana un comercial de una empresa de informática en la puerta de tu casa porque sabe que estás pensando en comprar un ordenador? Es precisamente eso lo que se quiere evitar. Se busca avisar al usuario de forma previa sobre que va a ocurrir cuando suministre sus datos.

De otra, algunas empresas usan la huella dactilar, la firma electrónica, nos piden fotografías de nuestra cara para identificarnos… ¿Os imagináis que puede suceder si esos datos acaban en el mercado negro?

El RGPD hace especial referencia a datos personales como nombres, direcciones, información financiera, direcciones IP, contraseñas, datos de identificación biométrica, datos de ubicación, públicaciones, fotos,…

La necesidad de garantizar los derechos de privacidad de los europeos

Cómo Abogados Digitales recibimos tenemos muy claro que cuando un usuario navega por Internet va dejando una huella digital en los sitios que visita como equipo, dirección de ip, datos personales, fotografías, preferencias de búsqueda…al igual que vemos como se comenten muchos delitos informáticos y de protección de datos con los usuarios.

El nuevo RGPD obliga a todas las empresas e instituciones públicas a informar sobre la forma en que trata estos datos y como acceder a ellos y cancelarlos en caso de que el usuario lo decida.

Así el RGPD busca garantizar una serie de derechos a los ciudadanos europeos que se convierte en consecuencia en una serie de obligaciones para las empresas europeas desde el 25 de Mayo de 2018.

Obligaciones que pueden conllevar fuertes sanciones para las grandes empresas y que a la vez busca crear una cultura de la privacidad en la que todas las empresas analicen como gestionan los datos de los usuarios.

La Ley Española actual  (LOPD y su Reglamento de Desarrollo) estaba fechada en 1999 y aun siendo pionera en Europa necesitaba algunas actualizaciones acordes a los nuevos tiempos, ya que en la práctica no estaba funcionando correctamente.

Con la nueva normativa (RGPD) se obliga a las empresas a que sean ellas quienes hagan un cálculo de probabilidades y necesidades dejando el estado como garante de marcar los mínimos y siendo las propias empresas quienes deben aplicar una estructura en función de sus necesidades. Es decir, se flexibilizan los requisitos en la norma, pero aumentan las sanciones para los incumplimientos en protección de datos.

En cuanto a los derechos de los usuarios en la web de la Agencia Española de Protección de Datos podemos ver un esquema resumen de los cambios más importantes de la nueva legislación de privacidad y protección de datos:

¿Qué empresas o colectivos tienen que cumplir el RGPD?

Cómo Abogado especialista en privacidad os podemos decir que el RGPD se aplica a todas las organizaciones o individuos que recopilen datos de usuarios privados y hagan tratamientos de estos datos, es decir que los reutilicen en cualquiera de sus formas. Esto quiere decir que incluso en algunos blog de particulares que no tengan actividad comercial puede ser necesario implantar una pequeña política de protección de datos dependiendo de la tecnología que utilice. (Siendo más concreto aquellos que usen por ejemplo cookies de terceros o servidores de otras empresas, que son prácticamente todos). Dependiendo de cómo se haga esta reutilización deberán aplicar un tipo distinto de metodología. Metodologías estas que aparecen recogidas en el propio RGPD

¿Me afecta el RGPD como empresa o bloguero?

  • El RGPD afecta a todas las personas jurídicas y profesionales con sede europea o que operen en Europa, esto es, también se aplica a empresas extranjeras que tengan visitantes o clientes europeos.
  • Cómo usuarios, es especialmente importante la forma en la que la regulación afecta a los gobiernos y administraciónes, ya que les obliga a ser mucho más transparentes en la gestión.

¿Qué derechos tengo como usuario en la nueva normativa de protección de datos?

Cómo usuarios o clientes el RGPD impone una serie de principios de obligado cumplimiento y además una serie de artículos o derechos en concreto, que pasamos a enumerarte de forma general.

Principios a aplicar sobre los derechos de privacidad de los europeos

Cómo ciudadano europeo o ciudadano residente en la Unión europea tienes derecho de forma general a los siguientes derechos sobre privacidad y confidencialidad de tus datos. (Los anteriores ARCO, se amplían en dos nuevos derechos más expresamente recogidos.

Si cualquiera de los siguientes principios es vulnerado, puedes ponerte en contacto con nosotros y denunciaremos a la empresa que está incumpliendo estos principios, bien ante la Agencia Española de Protección de Datos, bien directamente ante los tribunales de justicia, Españoles, Europeos o de cualquier país de la Unión Europa donde se estén infringiendo.

  1. Nadie puede usar tus datos sin informarte previamente del uso que va a hacer y permitirte eliminarlos o comprobar que se han hecho con ellos. (Principios de Legitimidad, equidad y transparencia.)
  2. Nadie puede usar los datos más allá del fin para el que prestaste tu consentimiento. (Principio de Limitación de propósito)
  3. Nadie debe pedirte más datos de los necesarios para prestar un servicio. (Principio de Minimización de los datos)
  4. Si los datos no están correctos tienes derecho a cambiarlos siempre o cancelarlos. (Principio de Exactitud)
  5. Los datos no pueden guardarse de por vida, una vez finalizado el tiempo en función de la necesidad para la que se solicitaron deben eliminarse o bloquearse. (Principio de Restricción de almacenamiento)
  6. Las empresas están obligadas a guardar los datos en países seguros que garanticen los derechos de los ciudadanos europeos. ¿Te imaginas ir a cierto país y ser detenido por tu orientación sexual por ejemplo?
  7. Terceras empresas no deben poder acceder a tus datos sin tu consentimiento. (Principio de Integridad y confidencialidad)

Artículos y derechos concretos de los usuarios en relación a la privacidad de sus datos en el RGPD

  1. Notificación de quiebras de seguridad: En caso de robo de datos, las empresas deben informarte en menos de 72 horas para que puedas implementar medidas de protección. Esto sin perjuicio de que puedas demandarlos posteriormente por un comportamiento negligente. Esta norma es muy importante, porque muchas empresas silenciaban los robos de información que sufrían. (Igual de acuerdas del caso ASLEY MADISON sobre una web de citas donde se filtraron los datos de usuarios que fueron extorsionados.)
  2. Derecho a conocer la finalidad del uso de los datos y poder acceder a ellos de forma sencilla, así como impedir su uso o solicitar una copia de ellos en cualquier momento.
  3. Derecho al Olvido o a desaparecer de Internet. (Salvo que afecte a la libertad de expresión por ser un dato noticiable). Si estás en un supuesto de este tipo, ponte en contacto con nosotros y encontraremos alguna solución que permita eliminar la noticia o minimizar su impacto.
  4. El derecho a la portabilidad de datos, un derecho de importancia fundamental por ejemplo en el sector médico o dental. Pero igualmente en todos los sectores. Obliga a las empresas a entregarte una copia de todos tus datos en un formato de fácil lectura y que se pueda exportar a otra empresa sin dificultades y de forma completamente gratuita.
  5. Consentimiento para el tratamiento de datos: El usuario debe de saber para que presta el consentimiento antes de aceptar. Debe estar además en un lenguaje claro y de fácil lectura.
  6. Protección a la infancia: se perfecciona la necesidad de autorización para menores de edad. Si bien se deja a cada estado la decisión de los márgenes de edad.
  7. Se obliga a que cada empresa publique los datos de un Responsable de Tratamiento que se haga cargo de los problemas de los usuarios relacionados con privacidad. (DPO o Delegado de Protección de Datos)

¿BUSCAS UN DPO O DELEGADO DE PROTECCIÓN DE DATOS PARA TU EMPRESA?

 Ponte en contacto y te enviaremos los detalles para encargarnos de cualquier problema o cuestión relacionada con las normativas de privacidad en tu empresa y la gestión de solicitudes de información quejas con usuarios.

Penalizaciones y sanciones

Con el Nuevo RGPD  se amplía el número de sanciones y se detallan más con respecto a la normativa anterior. Esto implica que en la práctica casi todas las empresas deben revisar sus actuales políticas de protección de datos por haberse quedado anticuadas en algunos extremos.

El eje principal es que debe ser la empresa quien pruebe que cumple la Ley en caso de denuncia por vulneración de las políticas de protección de datos por un usuario. En caso de que la empresa no coopere con el afectado las sanciones aumentan con respecto a la legislación anterior según el artículo 83 del párrafo 4 al 6, las sanciones pueden tener como máximo:

  • Hasta € 10 millones o 2% del volumen de negocios mundíal anual, cualquiera que sea mayor, cifra que está por encima de la regulación española actual.
  • Hasta € 20 millones o 4% del volumen de negocios anual del año financiero anterior, cualquiera que sea mayor.

Aquí la cuestión es que hasta que no se publique la nueva LOPD y su Reglamento el proceso sancionador sigue siendo el actual. Si cuando leas esta noticia, ya se ha públicasdo la nueva Ley Española verás que estas cifras son los techos máximos, pero que habrá que estar a lo establecido medíante infracciones leves, graves y muy graves.

PROTECCIÓN DE DATOS ALMERÍA  ABOGADO ESPECIALISTA EN LOPD Y RGPD