El 25 de mayo entró en vigor el cambio legislativo más importante de los últimos años en lo que a protección de datos se refiere.
Se trata de la nueva Ley General de Protección de Datos (LGPR) o en inglés General Data Protection Regulation (GDPR).
Esta ley marca que los ciudadanos de la Unión Europea, deben mostrar su consentimiento expreso a cualquier cesión de datos a cualquier empresa, sea o no europea. Este ha sido uno de los puntos más controvertidos, ya que las empresas que no cumplan con la normativa europea se enfrentan a multas de hasta el 4% de su facturación anual.
Algunas empresas americanas, por ejemplo, decidieron dejar de prestar servicios en territorio de la Unión Europea, pero pronto volvieron a la acción ya que adaptarse a la nueva normativa es relativamente sencillo si se siguen ciertos pasos.
Esta nueva ley de protección de datos se aprobó en el Parlamento Europeo en 2016, pero no pasó a ser de obligado cumplimiento hasta el pasado 25 de mayo. Esta nueva ley de protección de datos es la referencia para todos los estados de la Unión Europea y en ningún caso se pueden aprobar leyes estatales o regionales que contradigan lo especificado en la GDPR.
Anteriormente existían 28 leyes distintas, una por cada estado miembro. A partir de ahora sólo existe una y es el Parlamento Europeo quien debate y promulga las leyes específicas que se puedan derivar.
Esta ley unifica la manera en que las empresas e instituciones deben tratar los datos obtenidos por procesos comerciales o de servicios, residan estas o no en territorio de la Unión. En esta ley se establecen algunas líneas rojas que protegen a los usuarios ante el robo de datos o sus usos fraudulentos.
Se trata, por lo tanto, de un marco claro, sólido y estable para que los usuarios sepan quién tiene sus datos y con qué objetivo. Eso sí, las empresas deben poseer un protocolo claro.
Esta ley afecta a todas las empresas e instituciones que recopilen, conserven, analicen o gestionen algún tipo de dato, indistintamente del estado en el que sean residente o su actividad económica.
Esta ley afecta también a los usuarios, ya que garantiza una serie de derechos que, anteriormente y a causa de la fragmentación legislativa no se podían cumplir completamente.
Algunos de estos contemplan el que el usuario deba dar el consentimiento expreso, conocer quién y con qué objetivo recopila esos datos, garantiza el ‘derecho al olvido’, poder solicitar que nuestros datos se borren completamente, denunciar un uso no autorizado de los datos o denunciar que los datos se han recogido de forma ilícita.
Si tu empresa recopila algún tipo de dato, el que sea, de sus usuarios – y estamos convencidos que así es – debes adoptar una hoja de ruta para adaptarte a la ley, si es que no lo has hecho todavía.
Uno de los primeros puntos que debes llevar a cabo es la evaluación de los riesgos de incumplir la GDPR en el tratamiento y gestión de los datos que has recopilado. El consejo básico aquí es crear un registro interno de la gestión de los datos, con objetivo de saber qué datos se están tratando y con qué objetivo.
En el fondo, se trata de llevar a cabo una auditoría interna y una revisión de todos los contratos que se hayan firmado con los usuarios. Recuerda que en el momento en que entró en vigor la ley de forma obligatoria, los usuarios deben dar de nuevo su consentimiento para seguir recibiendo información de tu empresa. Si no lo dan, no podrás enviar nada y, si lo haces, te arriesgas a una multa de hasta 20 millones de Euros o el 4% de la facturación anual.
El artículo 37 de la GDPR determina tres supuestos en los que las empresas deberán contar con la figura del Delegado de Protección de Datos:
Hay que destacar, por lo tanto, que, si el objetivo de tu empresa no es la recopilación de datos, esta figura no es necesaria. Por ejemplo: una aplicación que maneja perfiles, deberá contar con esta figura, pero no será necesaria para manejar el pago de las nóminas, que también cuentan con datos personales.
Esta figura puede ser tanto un trabajador de la misma empresa, como un consultor externo y su tarea será la de registrar que todo se hace de acuerdo con la nueva ley. El objetivo será coordinarse con las autoridades competentes en protección de datos.
Debes asegurarte que si la recopilación de datos la realizas a través de una empresa externa, esta cumple con todo lo establecido en la nueva ley.
Con la ley en marcha, tu empresa debe adaptarse o aceptar los riesgos de no hacerlo – que son muchos y, en algunos casos, absolutamente inasumibles -.
En un mundo cada vez más conectado y en donde constantemente cedemos los datos personales, es necesario legislar para proteger los derechos de los consumidores.
Nuestro deber como empresas es garantizar el tratamiento de los datos personales acorde con la nueva ley, sin olvidar que la GDRP es un nuevo reto al que enfrentarse.