Reconócelo. Cada vez que entras en una web y te salta el aviso de las cookies dices que sí sin saber qué estás aceptando. ¡Error! Sin saberlo, estás cediendo un montón de datos que las empresas pueden utilizar para (prácticamente) lo que quieran. O esto era así hasta que el RGPD llegó a nuestras vidas para ponerles freno y límites en el tratamiento de estos datos. ¿Te suena a chino? ¡No te preocupes! En este post te contamos qué es el RGPD y cuáles son sus objetivos.
Antes de nada… ¿qué es el RGPD?
El Reglamento General de Protección de Datos RGPD viene a ser una serie de directrices y medidas de la Unión Europea que garantizan que las empresas que traten datos personales lo hagan solo en los supuestos legalmente contemplados y conforme a lo legalmente previsto. Pero, ¿qué significa exactamente toda esta parrafada? Pues que, básicamente, tienen que tratar los datos preservando su seguridad, privacidad y confidencialidad.
Toda esta fiesta empezó en mayo de 2016, cuando el reglamento entró en vigor, y se alargó hasta el 25 de mayo de 2018, cuando pasó a ser de aplicación obligatoria. A partir de ahí, se endureció el control sobre los datos personales y se le dió a cada persona el derecho a autorizar el uso de sus datos.
Otra cosa que también se han endurecido son las sanciones a las empresas que no cumplan con el RGPD. Para que te hagas una idea, la autoridad supervisora de protección de datos puede llegar a imponer multas de hasta el 4% de la facturación anual o 20 millones de euros, según cuál sea mayor. Nos duele el bolsillo solo de pensarlo…
¿Y a quién afecta el RGPD?
Todas las empresas que estén establecidas en la Unión Europea, independientemente de donde estén geográficamente ubicadas, están obligadas a cumplir con el RGPD. Pero el reglamento no se queda ahí, también incluye a empresas que estén establecidas fuera de la Unión Europea pero que traten datos personales de residentes de la UE y sí, esto incluye también a Estados Unidos. ¡Ojo! Porque es un cambio muy importante con respecto a las antiguas reglas de la UE.
Además, el propietario del sitio web es el responsable del adecuado cumplimiento del RGPD en materia de cookies. Y nada de tirar balones fuera. Seguirá siendo responsable incluso cuando las cookies sean propiedad de terceros (como las cookies de Google Analytics). Así que, si no quieres soltar la pasta de la multa, asegúrate de que en tu página web aparezca un banner sobre cookies que cumpla estos tres puntos:
- Informe sobre cómo utiliza las cookies.
- Recabe el consentimiento de tus visitantes.
- Permita rechazar alguna de las cookies.
Cuál es el objetivo del RGPD: puntos clave
Este cambio en el marco legal puso patas arriba todo lo que sabíamos (o creíamos saber) sobre protección de datos. Con el foco puesto en dotar a los datos personales de mayor seguridad, el RGPD estableció una nueva serie de puntos clave que las empresas tienen que tener muy en cuenta.
Mayor transparencia
Transparencia, transparencia y más transparencia. Ese es el principal objetivo del RGPD. Y para lograrlo, las empresas tendrán que explicar a los usuarios de quienes recojan datos para qué los están recopilando. Además, están obligados a demostrar que esos datos solamente se emplean para los fines recabados.
Nuevo concepto de dato personal
Uno de los motivos de por qué surge la RGPD es el nuevo concepto de lo que son datos personales. Con la nueva normativa se amplió su alcance para incluir cualquier información relacionada con una persona física que pueda hacer que la identifiquen. Y no hablamos solo del nombre o la dirección de alguien (que también) si no de otra información como su dirección IP.
Bye bye consentimiento tácito
Eso del consentimiento tácito es cosa del pasado con el RGPD. El nuevo reglamento se las ha ingeniado para incluir muchos más controles con los que garantizar que quién cede sus datos, lo hace con pleno conocimiento. Además, los usuarios tendrán la capacidad de retirar su consentimiento y eliminar su información.
Comunicación de brechas de seguridad
Si por lo que sea (tampoco vamos a entrar ahora en temas de ciberseguridad) se filtran los datos almacenados, el responsable de tratamiento debe notificar estos fallos de seguridad a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas. Además, esta persona tendrá que comunicar el fallo a los afectados, en caso de que exista algún riesgo para sus derechos.
Nueva figura del DPO
El RGPD introduce la figura del delegado de protección de datos. Una persona que actúa como guardián de los datos personales y cuya misión es identificar todos los posibles riesgos y buscar soluciones. Si estás pensando en librarte de esta persona, ya te decimos que nanai. Su presencia es obligatoria para todas las administraciones públicas y para organizaciones que traten datos a gran escala.
Nuevos requerimientos para datos de menores
Cuando hablamos de datos de menores, la cosa se complica todavía más. Son datos especialmente protegidos en el RGPD y, como tal, tienen un tratamiento especial. ¡Al lío! Se necesitará consentimiento parental para procesar datos de menores de 16 años en servicios online. Pero quién hace la ley, hace la trampa y los Estados podrán legislar para rebajar esa edad de consentimiento. Eso sí, el RGPD se asegura de que nunca pueda estar por debajo de los 13.
Nuevas certificaciones
El nuevo reglamento también se ha currado bastante la parte de implantación de esquemas de certificación y abre un montón de posibilidades para su gestión. Estas certificaciones pueden ser entregadas por las Autoridades de protección de datos como por otras entidades debidamente acreditadas.
Adaptación del RGPD a cada empresa
Tanto cambio de golpe puede ser demasiado para cualquiera. La Agencia Española de Protección de Datos era consciente y decidió echar un cable a todas las empresas con una serie de guías con instrucciones en las que fija conceptos y da ejemplos, recomendaciones y hasta un listado de los posibles riesgos que conlleva el incumplimiento del RGPD. Ahora corre a cuenta de cada empresa adaptarlas a su realidad particular.