RGPD: descubre cómo te afecta y cómo implementarlo

RGPD: descubre cómo te afecta y cómo implementarlo

 

Está claro que el tema que tanto se está hablando últimamente y que nos trae de cabeza, es el nuevo Reglamento General de Protección de Datos (RGPD), que desplegará todos sus efectos a partir del próximo 25 de mayo de 2018.

Si bien se trata de un tema lo suficientemente importante para dedicarle la atención que se merece, no debes asustarte o entrar en pánico. A continuación, te explicamos de un modo sencillo, qué debes hacer para adecuarte a su cumplimiento.

 

¿Qué es el RGPD?

El Reglamento General de Protección de Datos, conocido bajo las siglas RGPD, se trata de un reglamento europeo que viene a sustituir a la actual Ley Orgánica de protección de datos (LOPD). Si bien el RGPD entró en vigor hace dos años, concretamente en mayo de 2016, será de aplicación obligatoria a partir del 25 de mayo de 2018. Básicamente pretende otorgar un mayor control y seguridad a los ciudadanos respecto al tratamiento de sus datos personales.

 

¿Qué se entiende por Datos personales?

El RGPD considera datos personales cualquier información por la que una persona puede ser identificada (directa o indirectamente), como su nombre, DNI, dirección postal, correo electrónico (siempre que detrás del mismo esté una única persona) o número de teléfono. También se considera información personal aquella referida a la identidad física, como los datos genéticos, fisiológicos, psíquicos, económicos, culturales o sociales. Según la nueva normativa, las IP y las cookies también son información personal.

 

¿Puedo recoger cualquier dato personal?

Es importante tener presente que en función de los datos personales que recojas, tus obligaciones como responsable de los mismos pueden aumentar. En mi caso, recojo nombre, apellidos y mail. No tendría sentido solicitar (por la tipología de servicio que ofrezco) hábitos alimenticios, peso, altura, …etc., datos que son propios de un profesional que ofrece servicios de dietética. En consecuencia, nuestro consejo es que recojas simplemente aquellos datos que realmente necesites.

 

¿Estoy obligada a su cumplimiento?

En el momento en el que recoges datos personales de proveedores (presupuestos, facturación), clientes (presupuestos, facturación, datos para efectuar un envío) independientemente si vendes un producto o un servicio, suscriptores a tu blog o a tu newsletter (independientemente si la envías o no), de usuarios si ofreces la posibilidad de hacer comentarios en el blog o sobre tus productos o servicios, debes cumplir con el RGPD.

Es importantísimo tener presente que no importa aquí si tu negocio es pequeño o grande, si recoges los datos de forma telemática o manual, si tienes pocos o muchos subscriptores. A partir del momento en el que recoges datos, estás obligada.

 

¿Titular, responsable o encargado del tratamiento?

Es importante que entiendas los roles principales que se producen a la hora de tratar un dato personal. Así, encontramos:

  1. Titular de los datos:

    Conocido como el interesado, es el dueño de los datos. Por ejemplo, yo, como particular, soy la interesada y la dueña sobre mis datos personales.

  2. Responsable del tratamiento:

    Es quien decide sobre la gestión de los datos personales del titular. Por ejemplo, yo soy la responsable de los datos personales que recojo de mis clientes.

  3. Encargado del tratamiento:

    La persona (o entidad) que va a manejar en el día a día los datos personales según las instrucciones emitidas por el responsable. Por ejemplo, yo recojo los datos personales mediante la suscripción de mis usuarios. Utilizo la plataforma de Mailchimp, por lo que dicha plataforma es la encargada del tratamiento.

 

¿En qué cosiste la figura del encargado?

Como te hemos comentado en el punto anterior, el encargado es la persona física o jurídica que va a tratar los datos personales que te facilitan tus usuarios, según tus instrucciones (tu actúas como responsable).

Ten en cuenta que en tu día a día, vas a disponer de numerosos encargados y es importantísimo que los tengas muy bien localizados y más aún, que te asegures que cumplen con el RGPD. Vamos por partes:

  • Numerosos encargados: 

Para detectar correctamente los encargados que tienes, es recomendable que separes por grupos los diferentes focos mediante los cuales recabas datos personales de tus usuarios, ejemplo:

    • Comentarios en el blog: el encargado de tratamiento será tu propio servidor o el plugin que has instalado para ello, por ejemplo, WP comments.
    • Suscritores: el encargado del tratamiento será tu plataforma de mail marketing, por ejemplo Mailchimp.
    • Formulario de contacto: el encargado de tratamiento será tu propio servidor o el plugin que has instalado para ello.
    • Clientes: el encargado de tratamiento variará en función de la plataforma o plugin que utilices. Por ejemplo, si utilizas woocomerce, al quedar los datos en tu servidor, él será el encargado.

En este foco de recopilación de datos personales, pueden intervenir otros encargados como por ejemplo la empresa de mensajería si envías físicamente el producto, tu CRM en el que gestionas las fichas de los clientes, Google o dropbox si utilizas sus plataformas para enviarte información personal con tus clientes, etc.

  • Asegúrate que cumplen con el RGPD:

Recae en ti asegurarte que los encargados del tratamiento de datos personales que utilizas cumplen con el RGPD. La forma más sencilla es la de comprobar su política de privacidad. Por lo general, las grandes empresas se han adaptado al cumplimiento (todo y que es fundamental que lo compruebes), y para aquellas más pequeñas, te aconsejamos que firmes un acuerdo con tu encargado del tratamiento para asegurarte que se ajusta al RGPD.

Ten en cuenta, que a la hora de analizar si el RGPD afecta a tu encargado del tratamiento o no, no te fijes únicamente si tiene la sede en el espacio económico europeo, ya que si ofreces tus productos o servicios a tus usuarios, y estos usuarios son de la Unión Europea, estarás obligada al cumplimiento del RGPD.

En el caso de los principales proveedores (encargados) de mail marketing, como pueden ser mailchimp y active campain, te adelantamos que puedes dormir tranquila ya que ambos, cumplen con lo contenido en el RGPD. Prueba de ello es que forman parte del llamado Privacy Shield (escudo de seguridad), un acuerdo de certificación en materia de RGPD entre Europa y Estados Unidos. Te adjuntamos el link para que puedas comprobar si tus encargados, de origen americano, figuran en dicho listado. (link: https://www.privacyshield.gov/welcome)

Asimismo, te adjuntamos el link de una guía (con modelo de contrato incluido) que ha publicado la Agencia Española de Protección de Datos (AEPD), en la que se trata la relación entre el responsable y encargado, por si tienes alguna duda. http://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/directricescontratos.pdf

 

¿He de notificar mi fichero a la AEPD?

A partir del día 25 de mayo, desaparece esa obligación. Eso sí, deberás crear un registro de actividades (se trata de una mezcla entre los antiguos ficheros y el documento de seguridad). Este registro de actividades no estás obligado a notificarlo, sino que simplemente debes elaborarlo para el momento en el que te lo puedan solicitar.

Si quieres elaborar tu propio registro de actividades, te adjuntamos el que ha preparado la AEPD para que te resulte de pauta: http://www.agpd.es/portalwebAGPD/LaAgencia/registro_actividades_tratamiento/index-ides-idphp.php

 

¿Mayores requisitos informativos?

Se exige mayor claridad y transparencia a la hora de recabar y tratar información personal. Será necesario proporcionar información completa y de forma sencilla (lenguaje claro y comprensible) al usuario para que pueda tomar decisiones adecuadas. En este sentido, se recomienda informar por capas (la guía de la AEPD para el cumplimiento del deber de informar explica como hacerlo). Así, se facilitará la comprensión del usuario y la toma de decisiones.

 

¿Debo pedir a todos mis usuarios (suscriptores, clientes) que me autoricen el tratamiento de sus datos?

No, siempre que, con ellos, tengas legitimación suficiente para tratar sus datos. Por ejemplo, si tus clientes te han facilitado sus datos para ejecutar la compra del producto o servicio, está claro que sin esos datos no podrías ejecutarla por lo que se entiende que hay un interés legítimo, y en consecuencia, no es necesario que recabes su consentimiento expreso.

Con ello queremos decir, que debemos ir caso por caso para valorar si corresponde la solicitud de ese consentimiento expreso o no. Si atendemos a lo que nos cuenta la ley, vemos que ofrece diferentes supuestos para legitimar el hecho de que trates datos de carácter personal:

  • el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte para la aplicación a petición de este de medidas precontractuales”: sería el supuesto que hemos justo comentado.
  • “el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”: he contratado los servicios de un gestor (por ejemplo) y necesito sus datos para poder pagarle.
  • el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física”: se trata de un supuesto muy concreto en el que raramente nos encontraremos en nuestro día a día.
  • “el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”: se trata de un supuesto muy concreto en el que no nos encontraremos en nuestro día a día.
  • “el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño: se trata de un supuesto muy concreto en el que no nos encontraremos en nuestro día a día.

 

Cuando nos encontramos en que no podemos encajar el motivo (legitimación) por el cual tratamos datos personales de nuestros usuarios, debemos ir a solicitar el famoso consentimiento del que tanto se habla.

 

¿He de pedir siempre el consentimiento para enviar publicidad (newsletter)?

Si bien el propio reglamento, en uno de sus considerandos hace referencia a que el tratamiento de datos personales con fines de mercadotecnia directa puede considerarse realizado por interés legítimo, te aconsejamos, que por seguridad solicites el consentimiento.

 

¿Cómo debo solicitar el consentimiento?

A la hora de solicitar el consentimiento, desde las Autoridades de Protección de Datos se recomienda adoptar un modelo de información por capas o niveles.

Esto significa que:

(i) se presente una información básica en un primer nivel o capa, de forma resumida, en el mismo momento y en el mismo medio en el que se procede a recoger los datos del usuario/cliente.

(ii) se proceda, en una segunda capa o nivel (política de privacidad) la información adicional, en la que se presentarán de forma detallada el resto de las informaciones requeridas.

Si quieres saber más sobre la información que deben contener tus formularios, visita la guía del deber de informar que ha preparado la AEPD (http://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf).

Recuerda que para se considere válido ese consentimiento, el usuario debe haber sido informado de la política de privacidad (segunda capa de información). Una forma sencilla de hacerlo es incorporando una casilla de verificación. Importante que dicha casilla no esté pre-marcada, sino que sea el propio usuario quien la seleccione reflejando de este modo una acción afirmativa de aceptación de nuestra política.

Para ayudarte un poco con esta tarea de las diferentes casillas de verificación, en especial si utilizas mailchimp, Gemma Fillol ha preparado un estupendo tutorial en el que paso a paso te explica como hacerlo (link).

 

¿Cómo uso email marketing cumpliendo con el nuevo RGPD?

No es para nada complicado. Se trata de aplicar todo lo que te he comentado anteriormente. Es decir, tienes que ser transparente e informar a tus usuarios de una forma clara y directa sobre cómo vas a utilizar sus datos. No es lo mismo si recojo sus datos para mandarles publicidad sobre mis servicios, contenido exclusivo para suscriptores o información sobre cursos que realizo, que si voy a utilizarlos para enviarles una factura o los datos de una compra que ha realizado. Al tener propósitos distintos a la hora de recabar los datos (previamente a que nos otorguen el consentimiento), deberás indicar las acciones que realizaras una vez disponga de ellos.

Permitir al titular de los datos los denominados derechos POLIARSO (Portabilidad, Oposición, Limitación del tratamiento, Información, Acceso, Rectificación, Supresión/derecho al olvido y Oposición).
Recomendación: crea mecanismos que dejen rastro de que has obtenido correctamente el consentimiento del usuario. Un modo sencillo de realizarlo es implementando casillas de verificación y el doble “opt in”.

 

¿He de solicitar nuevamente el consentimiento a mis usuarios?

Si no existe ninguna de las causas de legitimación que hemos comentado, deberás pedirlo de nuevo. Este punto es muy importante puesto que, si no te otorgan su consentimiento expreso, a partir del día 25 de mayo deberás proceder a la eliminación de esos datos.

 

¿Qué ocurre si no cumplo con el RGPD?

El incumplimiento del nuevo reglamento supone que te expones a posibles sanciones y multas que pueden alcanzar cuantías muy elevadas.

 

Para terminar, y a modo de conclusión, te aconsejamos que revises los textos legales (política de privacidad, aviso legal, política de cookies y condiciones de venta) y leyendas (solicitud de consentimiento) contenidas en tu web a efectos de asegurarte de que cumplen con los requisitos exigidos por el nuevo RGPD.
Si tienes dudas sobre cómo adaptar tu negocio a la nueva normativa, recuerda que tienes a tu disposición las diferentes guías que ha creado la AEPD.
Es importante adecuar nuestro negocio al nuevo RGPD, no sólo para evitar posibles sanciones y multas, sino también para ganar la confianza de nuestros usuarios. Estarán tranquilos al saber que sus datos son protegidos tal y como se merecen.

 

About Nuria Ramirez

Soy abogada de profesión y soñadora de nacimiento. Apasionada de los proyectos con alma, y siempre intento ayudar a valientes emprendedoras a proteger su trabajo desde un punto de vista legal.

Comments

comments

Post A Comment