¿Cómo cumplir la ley de protección de datos y garantía de derechos digitales?

La Ley de protección de datos puede resultar un tema farragoso pero de vital importancia para todos, y en especial para las empresas, así que vamos a tratar de explicar cómo cumplir con la ley de protección de datos de la forma más clara y amena posible.

¿Cuál es la normativa vigente actualmente?

El Reglamento de protección de datos (RGPD) fue publicado en el Diario Oficial de la Unión Europea el 4 de mayo de 2016, aunque no fue de obligado cumplimiento hasta el pasado 25 de mayo de 2018, momento en que entró en vigor. Esta norma afecta a todos los países de la Unión Europea y a todas aquellas empresas que trabajen con datos personales de ciudadanos europeos, independientemente de dónde sean, comunitarios o extracomunitarios.

El 6 de diciembre de 2018 entró en vigoren España la nueva Ley Orgánica 3/2018 de Protección de Datos y de Garantía de los Derechos Digitales (LOPD-GDD) que desarrolla el RGPD para permitir la aplicación práctica de su normativa.

¿Sustituye la nueva LOPD-GDD al RGPD?

No, no lo sustituye. La L.O de protección de datos y Garantía de Derechos Digitales desarrolla la normativa necesaria para regular la aplicación práctica del RGPD. La nueva LOPD-GDD adapta el ordenamiento jurídico español al reglamento europeo, complementando y desarrollando las cuestiones concretas del RGPD.

Una vez tenemos claro qué normativa es aplicable, podemos ya meternos en materia. ¿Cómo cumplir la ley de protección de datos?.

Empezaremos explicando con una breve enunciación de los requisitos indispensables y, a partir de ahí, desarrollaremos con profundidad cada uno de ellos.

Requisitos para cumplir con la ley de protección de datos y garantía de derechos digitales:

Explicaremos a continuación de manera sucinta todos estos requisitos y nos detendremos en el requisito que afecta especialmente a los interesados: el consentimiento.

En este video, se explica mejor el caso práctico de los formularios web en el caso del consentimiento expreso.

¿Quieres información personalizada acerca de La Ley de Protección de Datos en lo que respecta al alquiler de bases de datos? Solicita una consulta estratégica en CoRegistros y nuestro equipo te explicará mejor cómo una buena estrategia de marketing puede ayudar a tu negocio a convertir leads en clientes!

1. Llevar un registro de los tratamientos realizados por la empresa

El RGPD establece la obligación de documentar el registro de los tratamientos realizados por Responsables y Encargados del Tratamiento de empresas con más de 250 trabajadores y, aunque tengan un número inferior de empleados, de empresas que traten categorías especiales de datos que puedan suponer un riesgo para los derechos o/y libertades del individuo interesado.

El registro especificará las actividades de tratamiento llevadas a cabo, su finalidad y los datos personales tratados. Dicho registro debe recoger el nombre y el contacto del Responsable o el Encargado del tratamiento, así como el nombre y el contacto del DPO, si la empresa tuviere uno designado. Además, se debe especificar si habrá transferencia internacional de datos y cuándo se eliminarán esos datos.

2. Recabar el consentimiento informado, expreso e inequívoco del interesado

A nuestro entender, el consentimiento es la clave de la nueva Ley de Datos Personales.

El Consentimiento expreso en el LOPD-GDD

Se entenderá por consentimiento del interesado toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. Este consentimiento se recoge en el artículo 6 del RGPD así como sus excepciones -dentro de las cuales ninguna está vinculada a la cesión de bases de datos personales ya que esta se produce después de que el usuario acepte expresamente y autorice dicha concesión.

Viendo un caso práctico:

Este formato NO cumpliría con la nueva Ley de Protección de Datos:

En la imagen superior, no hay un consentimiento expreso. El usuario no debe pulsar un check legal para aceptar enviar sus datos, por lo que se entiende que es un consentimiento tácito.

Es decir, el Consentimiento Tácito es aquel que no queda reflejado expresamente de forma escrita o física. Pero se sobreentiende por una serie de acciones u omisiones indirectas. Éste es el caso que se da cuando recibimos una carta o un email en el que nos dicen que, a no ser que nos opongamos en los próximos X días, alguien nos aplicará ciertas condiciones o tendrá derecho a enviarnos su información comercial.

En cambio, en este otro caso, sí que se informa de la finalidad y hay un check box legal que debes marcar de forma expresa para aceptar la política legal, también visible. Este segundo caso sí cumpliría con la nueva LOPD:

Por el contario, el Consentimiento Expreso es aquel que se da de forma concreta, explícita y de manera directa, quedando registrado de una o varias maneras sin dejar lugar a dudas.

El consentimiento en el RGPD, y a diferencia de la legislación precedente a 2018 , en la que si se permitía el consentimiento tácito, tiene que ser expreso y de él debe quedar constancia. La aceptación por parte de la persona física consistirá en una aceptación manifiesta.

3. Deber de informar al interesado sobre sus derechos

La Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPD-GDD) incluye además la obligación de informar al interesado sobre sus derechos (los denominados derechos ARCOPOL) y las vías para ejercitarlos..

Antes ARCO, ahora añadimos POL, los derechos ARCOPOL son los siguientes:

ACCESO

RECTIFICACIÓN

CANCELACIÓN

OPOSICIÓN

PORTABILIDAD

OLVIDO

LIMITACION

4. Realizar un análisis de riesgos

El Responsable de los datos deberá realizar un análisis de los riesgos teniendo en cuenta el número de interesados, la naturaleza de los datos objeto de tratamiento y la cantidad y variedad de tratamientos realizados.

Si tras el análisis de los riesgos se deduce que el riesgo es bajo no sería necesario poner en marcha medidas especiales, si el resultado el que el riesgo es medio habrá que tomar una serie de medidas para proteger esos datos y si el riesgo es alto será necesario tomar medidas de seguridad muy estrictas, entre otras, será obligatorio el registro de tratamientos del que hablábamos unos párrafos antes.

5. Comunicar los "incidentes de seguridad"

El Responsable de los datos tiene la obligación de comunicar cualquier violación de la seguridad de los datos en un plazo inferior a 72 horas tanto a los interesados afectados como a la Agencia Española de Protección de Datos.

6. Realizar una evaluación del impacto

Una vez detectada una brecha de seguridad, es obligatorio realizar una evaluación del impacto de esa brecha de seguridad para conocer las consecuencias y peligros que pueden suponer para los interesados.

7. "Contactos de Encargado de Tratamiento"

Cuando el Responsable de los datos, encargue el tratamiento de los datos a un tercero, deberá escoger a una persona o empresa que ofrezcan las garantías suficientes para asegurar que desempeñarán sus funciones de manera independiente y dicha relación debe formalizarse en un contrato que recoja los aspectos básicos del encargo.

8. Garantizar los derechos digitales

Artículo 71 LOPD-GDD. Los derechos en la Era digital. Los derechos y libertades consagrados en la Constitución y en los Tratados y Convenios Internacionales en que España sea parte son plenamente aplicables en Internet. Los prestadores de servicios de la sociedad de la información y los proveedores de servicios de Internet contribuirán a garantizar su aplicación.

Con este artículo la LOPD-GDD pretende trasladar a Internet la exigencia de respetar y aplicar los derechos y libertades de los ciudadanos reconocidos en la Constitución y en toda la normativa aplicable en España.

No vamos a entrar ahora en detalle, pero para finalizar este post enumeraremos los “nuevos derechos” que incorpora esta ley para actualizar y armonizar la legislación española a la nueva realidad de la Era Digital.

Los nuevos derechos de la Era Digital:

Derecho a la neutralidad de Internet.
Derecho de acceso universal a Internet
Derecho a la seguridad digital.
Derecho a la educación digital.
Protección de los menores en Internet
Derecho de rectificación en Internet.
Derecho a la actualización de informaciones en medios de comunicación digitales.
Derecho a la intimidad y uso de dispositivos digitales en el ámbito laboral.
Derecho a la desconexión digital en el ámbito laboral.
Derecho a la intimidad frente al uso de dispositivos de videovigilancia y de grabación de sonidos en el lugar de trabajo.
Derecho a la intimidad ante la utilización de sistemas de geolocalización en el ámbito laboral.
Derechos digitales en la negociación colectiva.
Protección de datos de los menores en Internet.
Derecho al olvido en búsquedas de Internet.
Derecho al olvido en servicios de redes sociales y servicios equivalentes.
Derecho de portabilidad en servicios de redes sociales y servicios equivalentes.
Derecho al testamento digital.

Los cambios que ha habido en protección de datos de carácter personal han sido importantes, volviendo a situar al espacio europeo como el más garantista del mundo para toda aquella persona que tenga que facilitar un dato.

Todos los datos que captamos en CoRegistros tienen la protección legal exigida garantizando todos los derechos de los usuarios. Si quieres implementar una generación de leads y necesitas una agencia de marketing especializada, contáctanos. ¿Cumples con la ley de protección de datos personales?

El call center como estrategia de marketing

Descubre qué es un call center, cómo funciona y como te puede ayudar en tu estrategia empresarial. ¡Justo lo que tu negocio necesita!