RGPD
El GDPR por sus siglas en inglés (General Data Protection Regulation), o RGPD (Reglamento General de Protección de Datos) es la nueva normativa que regulará la protección de datos de las personas que vivan en la UE.
Tenemos 2 años por delante para poder implantarlo y es obligatorio en aquellas empresas europeas y empresas no europeas que ofrezcan servicios online en la UE.
Si eres un ciudadano de a pie, verás reforzados algunos derechos:
- Reconoce de facto el derecho al “olvido” mediante la rectificación o supresión de datos personales. Cualquier persona tiene el derecho a ser olvidado y que toda su información personal sea eliminada si no quiere que sea accesible (salvo algunas excepciones)*
- Derecho a la “portabilidad”, o a trasladar los datos a otro proveedor de servicios.
- Será necesario el consentimiento parental para que los menores de 16 años puedan utilizar las redes sociales como Facebook, aunque los países tendrán la posibilidad de reducir esta edad hasta los 13 años.
NOTAS
* La información no será eliminada si es necesaria por razones históricas, científicas, estadísticas, salud pública, para ejercer la libertad de expresión, o es necesaria para cumplir con un contrato legal.
Reglamento Europeo de Proteccion de Datos
Cómo te afecta el RGPD si tienes una empresa.
- El responsable tendrá que ser capaz de demostrar que obtuvo el “consentimiento claro y afirmativo” necesario para obtener los datos del usuario. Es obligatorio emplear además un lenguaje claro y comprensible en las cláusulas de privacidad.
- Surge la figura del CPO – delegado de Protección de Datos – y bajo ciertos supuestos será necesario que sea alguien de la propia plantilla**. También se admite que algunas empresas externalicen esta figura.
- Las empresas realizarán análisis de riesgos y evaluaciones de impacto en materia de privacidad antes de sacar al mercado un producto o servicio.
- Están obligadas informar si sufren alguna filtración de datos personales durante las 72 horas siguientes a la autoridad nacional de control (a la AEPD) y también a los propios usuarios afectados***
- Una de sus principales novedades es el endurecimiento del régimen sancionador: las multas pueden alcanzar hasta el 4% de la facturación global.
- Se ha creado la ventanilla única para agilizar los trámites. En el caso de una empresa española con sedes en otros países de la UE, solo tratará con la AEPD, que es la entidad de control donde esta empresa tiene su matriz o sede central.
CPO
La figura del delegado de Protección de Datos será obligatoria en estas empresas:
- Organizaciones e instituciones públicas.
- Empresas con más de 250 trabajadores.
- Empresas con menos de 250 empleados.
- Que necesiten un seguimiento sistemático y periódico de los datos personales tratados: para la monitorización o investigación de mercados, de análisis de riesgos, crediticios o de solvencia patrimonial.
- Que traten con datos catalogados de especialmente protegidos: religiosos o de creencias, afiliación sindical, raciales, biométricos, si permiten identificar exhaustivamente a una persona, sexuales. salud y antecedentes penales o condenas.
*** El Reglamento establece expresamente, que cifrar la información personal excluye la obligación de notificar a los afectados que se ha producido una brecha de seguridad en la que se han visto comprometidos sus datos personales. (Art. 34.3 del REPD)