El Reglamento General de Protección de Datos se publicó en el año 2016 y regula esta materia en todo el ámbito de la Unión Europea. Al tratarse de un reglamento aprobado a nivel europeo, este es aplicable en todos los estados miembros sin que se haga necesario el poner en marcha trámites de adaptación interna, ya que al aprobarse por su propia naturaleza pasan a ser parte de esta normativa.
Esta imposición de la Ley de Protección de Datos como un Reglamento europeo se basa en el deseo de evitar errores del pasado. La anterior
Directiva 95/46/CE en esta materia generó disparidad entre las regulaciones ya que permitía demasiada discrecionalidad a los estados, lo cual tuvo como consecuencia una elevada inseguridad jurídica. Es decir, mientras que en unos estados algunas normativas tenían un alcance, en otras el mismo tema se trataba con menos o mayor indulgencia.
¿Qué conceptos abarca esta nueva Ley de Protección de Datos?
Esta norma tiene como finalidad precisar el alcance en nuestro país de conceptos tan importantes como el consentimiento para el tratamiento de datos; la edad mínima en la que está un joven podrá prestarse válidamente; el tratamiento que se puede y debe hacer de los datos de personas que han fallecido o el régimen sancionador. A continuación señalamos algunos de los más importantes y/o polémicos en mayor profundidad:
Uso de datos de personas fallecidas
Si bien no se trata de un tema de importancia real más allá de las implicaciones emocionales entre familiares, esta preocupación se considera un avance positivo en la legislación sobre los datos de las personas fallecidas. Se pretende así extender el derecho al olvido y dotar de la posibilidad a los herederos de acercarse a estos datos, así como rectificarlos o suprimirlos. Por su parte, cualquier persona podrá exigir la prohibición a que se den esta documentación.
La cuestión de la videovigilancia laboral
Se contempla que no sea necesario informar de forma directa al trabajador, sino que bastaría con la colocación de carteles y señales que indiquen que se está llevando a cabo este tipo de acciones.
Infracciones y sanciones
Se incrementan aquellas acciones por las cuales las empresas y las asociaciones u organismos recibirán sanciones. Respecto a aquellas incluidas en la actual Ley Orgánica de Protección de Datos del estado español, las infracciones leves pasan de 4 a ser 19; las graves, de 11 a 28; y las muy graves, de 4 a 16.
Fin del consentimiento tácito
Desde el próximo mayo, el tratamiento de cualquier dato exige que el usuario dé su consentimiento de forma expresa, clara e inequívoca. Las empresas ya no podrán explotar aquella fórmula a partir de la cual se envía publicidad y al no indicar el receptor su posición, bien por falta de respuesta o de oposición, la empresa se autoimpone un consentimiento ilícito.
¿Cómo afecta la nueva LOPD 2018 a mi página web o e-commerce?
Se deberá tener especial cuidado en el almacenamiento de datos, pues la pérdida de alguno podrá ser motivo de sanción. Así, en caso de que tengamos la perdida de algún dato deberemos notificar al cliente su perdida. Además, nos obligará a darnos de alta en el fichero de protección de datos –esta medida ya esta impuesta en la ley anterior-. Deberemos tener el SSL activado, ya no solo por el SEO, sino también para que ningún dato se encuentre sin cifrar. Por otro lado, los datos deben encontrarse almacenados en Europa, y si los sacarán de esta se tendrían que llevar a cabo medidas legales para no ser sancionados. Esto nos obligará a consultar las herramientas de newsletter y los servidores de alojamiento donde se encuentran ubicados. Además, el fin del consentimiento tácito nos obligará a rectificar muchas bases de datos de clientes para las campañas de newsletter, ya que los contactos no podrán ser utilizados únicamente por registrarse por su compra. Por último, tanto los dueños de negocios online, como los desarrolladores deben poseer los documentos validados de acceso a terceros, aunque esto ya esta aplicado en la Ley vigente, no debemos de olvidar que en la próxima también será necesario.
¿Por qué se ha tardado dos años en aplicar la Ley de Protección de Datos?
Debido a la diversidad cultural, política, económica, jurídica, empresarial… que concentran los países de la Unión Europea, el establecimiento de un marco unificado y de general cumplimiento ha supuesto un largo periodo de negociaciones, discusiones y consensos. A esto se ha de sumar que su carácter afecta de manera directa y profunda a todas aquellas empresas que empleen datos personales. Por este motivo la Unión Europea estableció un mecanismo de trabajo previo que consistía en que el Reglamento ya entraría en vigor a los veinte días de ser publicado, es decir, el 25 de mayo de 2016, pero no comenzaría a ser aplicable hasta dos años más tarde: 25 de mayo de 2018.
¿Qué significa esto?
El hecho de que el Reglamento de General de Protección de Datos no vaya a ser aplicable, en principio, hasta el próximo 25 de mayo significa que las normas que estipula ya se están moviendo entre las nuevas pautas que han de seguir las empresas y gobiernos, pero su cumplimiento no será exigido hasta la fecha de aplicación.
La Ley Orgánica de Protección de Datos española
El hecho de que se trate de un Reglamento europeo no elimina la capacidad de actuación de los estados miembros. Así, le hecho de que un país especifique o restrinja una o varias normas vendrá marcado por «razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios». En España estas concesiones se han llevado a cabo a través de la creación de una nueva ley orgánica de protección de datos que sustituya a la que se posee actualmente y que se aprobó en 1999. Así, el Gobierno delegó en la Comisión Nacional de Codificación la elaboración de este documento, que ha contado con la colaboración de la Agencia Española de Protección de Datos. El texto aprobado se remitió al Ministerio de Justicia y se presentó ante el Consejo de Ministros el 24 de junio de 2017, actualmente el proyecto se halla pendiente de su aprobación. Esta aprobación debe llegar antes del 25 de mayo, cuando entrará en vigor el Reglamento europeo.
El Reglamento General de Protección de datos en las Administraciones Públicas
Las AAPP son responsables y encargadas del tratamiento de datos personales en muchas de las actividades que han de llevar a cabo. Así, el nuevo RGPD le afectará en la medida de que se verán obligadas a identificar con precisión las finalidades y la base jurídica de los procedimientos que llevarán a cabo, es decir, el funcionario deberá informar al usuario de las finalidades o la base jurídica de aquellos documentos que está llevando a cabo. El consentimiento de un usuario ante una determinada demanda se dará de manera libre, especifica, acreditando que ha sido informado al respecto y presentando un manifiesto en el que muestra su voluntad de consentir dicha acción. En esta línea, las informaciones ofrecidas por las AAPP han de ser claras, concisas y transparentes; evitando las confusiones por parte del usuario. Además, el Reglamento europeo también incide en la necesidad de establecer mecanismos que sean visibles, accesibles y sencillos para poder ejercer los derechos de cada ciudadano, un ejemplo de ello es la inclusión del uso de los medios electrónicos.
Desde StartGo Connection aconsejamos el acudir a profesionales para llevar a el tratamiento de datos, así como la adecuación a la nueva normativa.