Conoce todo lo que debes saber sobre el RGPD

Conoce todo lo que debes saber sobre el RGPDSeguro habrás escuchado por todos los medios de comunicación algo sobre el RGPD, esta nueva ley propone muchas garantías en cuanto a la protección de datos de la personas. Sin embargo, aunque el concepto parezca sencillo, hay muchos detalles que debes conocer sobre ello.

Por esto, te presentamos un artículo completo de todo lo que debes saber sobre el RGPD, desde qué es exactamente, hasta sus requerimientos y datos importantes, para que pongas tu web al día y te actualices en el inagotable universo de la red.

¿Qué es el RGPD? (Reglamento General de Protección de Datos)

El RGPD o Reglamento general de protección de datos estandariza la ley de protección de datos en los 28 países de la Unión Europea e impone nuevas reglas estrictas para el control y procesamiento de la información de identificación personal o PII. De igual manera, amplía la protección de los datos personales y los derechos de protección de datos, devolviendo el control a los residentes de la UE. La RGPD reemplaza la Directiva de Protección de Datos de la UE de 1995 y entra en vigor el 25 de mayo de 2018. Asimismo, sustituye la Ley de Protección de Datos del Reino Unido de 1998.

Hay muchos elementos esenciales en el nuevo reglamento, incluyendo el aumento de las multas, notificaciones de incumplimientos, consentimiento de aceptación y responsabilidad por la trasferencia de datos fuera de la Unión Europea. Como resultado, el impacto en las empresas (principalmente) es enorme y cambiará de manera positiva y permanente la forma en que se recopila, almacenan y utilizan los datos de los clientes o personas.

RGPD - 25 de mayoEl RGPD se aplica a todas las organizaciones que poseen y procesan datos personales de residentes de todo el territorio que pertenezca a la unión europea, independientemente de su ubicación geográfica. Muchas organizaciones fuera de la UE no saben que la regulación de esta ley también se aplica a ellas. Ya que, si una organización ofrece bienes o servicios, o supervisa el comportamiento de los residentes de la UE, esta debe cumplir con los requisitos del cumplimiento del RGPD.

Y es importante que cumplan con esto porque las multas por cualquier falta son grandes, muy grandes. Pueden llegar a los 20 millones de euros o el 4% de los ingresos globales totales de una empresa. Esta es la multa máxima que se puede imponer por las infracciones más graves. Sin embargo, existe un foque escalonado de las multas. Una empresa, por ejemplo, puede recibir una multa del 2% por no tener sus registros en orden, no notificar a la autoridad de supervisión y el sujeto de los datos sobre una violación, o no realizar una evaluación de impacto.

¿Qué tipo de información protege el RGPD?

El Reglamento General de Protección de Datos resguarda la información de identidad básica como el nombre, apellidos, dirección, números de identificación, números de teléfono, entre otros. También protege datos web como la ubicación, dirección IP, datos de cookies y etiquetas RFID o Radio Frequency Identification (Identificación por radiofrecuencia).

Además, resguarda cualquier información sobre salud y datos genéticos, datos biométricos, información racial o étnica, opiniones políticas, orientación sexual, entre otros.

¿Para qué crearon el RGPD?

En pocas palabras, el RGPD existe a causa de la preocupación pública sobre la privacidad de los datos e información personal (y tienen toda la razón). Europa, en general y en comparación con otros lugares del mundo, siempre ha tenido más reglas estrictas sobre el uso de los datos personales en las empresas o compañías.

Esta preocupación general es muy significativa y aumenta cada día con cada nueva violación de datos de alto perfil. Según el RSA Data Privacy & Security Report más de 7500 consumidores (representando un 80%)  en Francia, Alemania, Reino Unido, Italia, y EE.UU, reportaron que la perdida de datos bancarios y financieros es la preocupación primordial. La información de seguridad perdida como contraseñas, pasaportes o licencias de conducir, también fue reflejada como otra gran preocupación por un 76% de las personas.

Pero, la estadística más alarmante de todas es aquella referente a las empresas. Se estima que un 62% de las empresas pierde los datos de sus consumidores por incumplimiento y descuido, no por parte de una pirata informático.

Además de esto, existen otras dos razones importantes por las cuales crearon la nueva ley de RGPD. La primera: la UE quiere entregar a las personas más control sobre el uso de sus datos personales. La segunda: La UE quiere dar a las empresas y compañías un entorno jurídico más simple y claro de operar. De esta manera, como la ley de protección es única e idéntica en todo el mercado, se ahorrará más de 2.300 millones de euros al año.

¿Quién debe cumplir con la RGPD?

La RGPD recae enteramente en los controladores y procesadores de datos. El primero indica cómo y por qué se procesan los datos personales; mientras que el segundo procesa en sí los datos. Así pues, el controlador podría ser cualquier organización como una empresa con fines de lucro, un grupo benéfico o un gobierno. Y el procesador podría ser la empresa de TI que realice el proceso real de los datos.

Es responsabilidad del controlador garantizar que el procesador cumpla con la ley de protección de datos y las reglas establecidas para mantener registro de sus actividades de procesamiento. Si alguno de ellos se encuentra involucrado en alguna situación de violación de datos, tendrán repercusiones más fuertes bajo el RGPD en comparación con la Ley de Protección de Datos.

¿Qué cambia respecto a la LOPD?

El RGPD presenta muchos cambios con respecto a la LOPD Española, estos son solo algunos de ellos.

Cambios en legitimación

El cambio más importante del RGPD es que los consentimientos tácitos u omitidos ya no son válidos, y se necesita de una declaración clara, valida o acción afirmativa y explicita para casos de alto riesgo, decisiones automatizadas, transferencias internacionales, entre otros.

Es importante que sepas que los tratamientos iniciados bajo la antigua LOPD todavía serán válidos, siempre y cuando el consentimiento esté en el mismo nivel que el RGPD.

Cambios en la transferencia de información a las partes interesadas

El RGPD, a diferencia del LOPD, establece que la trasferencia de información a las partes interesadas se proporcionará de manera concisa, transparente, inteligible y de fácil acceso. Todo esto con un lenguaje sencillo y con esta información: base legal del procesamiento, intención de realizar transferencias internacionales y desarrollo de perfiles.

Cambios en los derechos de los afectados

Derecho de acceso

Con el LOPD era obligatorio proporcionar todos los datos básicos de la persona afectada, pero no era necesario presentar copias ni documentos. Mientras que el RGPD reconoce el derecho de obtener una copia de los datos personales procesados.

Derecho a olvidar

Este derecho se produce como consecuencia de la aplicación del derecho de eliminar datos personales, siendo esto una manifestación de los derechos de cancelación u oposición en el entorno de la web.

Asimismo, si el responsable del procesamiento ha sacado  a la luz tus datos personales,  tiene que tomar medidas técnicas para eliminar por completo la información personal y así sacarla de la red.

Limitación de tratamiento

La limitación del procesamiento es un derecho del interesado que permite en ciertos casos, descritos en detalle en el RGPD, la eliminación de los datos. Los límites de tiempo y los procedimientos son los mismos que para todos los demás derechos.

Portabilidad

El derecho de la portabilidad de datos se refiere a una forma avanzada del derecho de acceso mediante el cual la copia provista al interesado debe entregarse en un formato estructurado, comúnmente utilizado y legible mecánicamente. Este derecho solo puede ejercerse cuando el procesamiento se lleva a cabo por medios automatizados, cuando se basa en el consentimiento o un contrato y cuando el interesado lo solicite con respecto a la información que ha proporcionado al controlador de datos.

Este derecho implica que los datos de las partes interesadas se transfieren de un controlador a otro siempre y cuando sea posible. Además, es importante que sepas que el derecho no es aplicable si los datos han sido proporcionados por terceros.

Medidas de responsabilidad activa

Otro aspecto importante es el procedimiento que el controlador y el procesador deben seguir para cumplir con las mediadas de responsabilidad activa.

Registro de actividades de tratamiento

Los operadores y gerentes deben mantener un registro de las operaciones de procesamiento que contengan la siguiente información: nombre y datos de contacto del responsable, propósito del procesamiento, descripción de las categorías de los sujetos y categorías de datos personales, trasferencias internacionales.

Es importante que conozcas que las organizaciones con menos de 250 empleados están exentas, a menos que el procesamiento que llevan a cabo implique un riesgo para los derechos y libertades de los interesados, lo cual no es muy frecuente.

Notificación de infracciones de seguridad datos

Las infracciones de seguridad incluyen cualquier incidente que resulte en la destrucción, pérdida o alteración de datos personales, así como la comunicación no autorizada y el acceso a dichos datos.

El responsable debe notificar las infracciones de seguridad dentro de las 72 horas posteriores de la ocurrencia, a menos que la violación no implique un riesgo a los derechos o libertades de los afectados. Entre esta notificación debe estar presente la naturaleza de la violación, las categorías de datos de las personas, medidas tomadas por el responsable para resolver la falla, y medidas aplicadas para mitigar posibles efectos negativos.

Designación de un delegado de protección de datos

El RGPD establece que es obligatorio designar un Delegado de Protección de Datos (DPD) en algunos de estos casos: autoridades públicas y organizaciones públicas, procesamiento a gran escala de datos confidenciales y cuando las personas responsables requieran una observación sistemática.

El DPD debe ser designado de acuerdo con sus cualificaciones profesionales y, en particular, con sus conocimientos sobre la legislación y la práctica de protección de datos. Este, a su vez, debe cumplir con este conjunto de requisitos: autonomía total en el ejercicio de sus funciones, necesidad de mantener contacto con el nivel superior de la gerencia, deber de brindar todos los recursos necesarios para llevar a cabo la actividad propuesta.

Transferencias internacionales

De acuerdo con el RGPD, los datos solo se pueden trasmitir fuera del espacio económico europeo en ciertos casos. Entre ellos están: algunos países sobre los cuales la comisión ha decidido que ofrecen un nivel apropiado de protección, cuando se hayan dado las garantías adecuadas en relación con la protección de datos, entre otros.

La lista de países externos a la Unión Europea que actualmente garantizan la protección de datos comienza con Suiza, Andorra, Isla de Man, Jersey, Islas Feroe, Israel, Uruguay, Nueva Zelanda, EE.UU y Guenrsey.

Procesamiento de datos de niños

El RGPD establece que, en este caso, el consentimiento solo será válido a partir de los 16 años y con un permiso de los padres. Sin embargo, El RGPD permite a los estados miembros establecer una edad más baja, siempre y cuando no sea menos de 13 años de edad.

Asimismo, es necesario que los responsables realicen un esfuerzo quisquilloso con el fin de verificar si los padres dieron o no el consentimiento requerido.

Cambios en la relación responsable-gerente

Las innovaciones en las relaciones entre responsables y gerentes se establecen en tres áreas diferentes. La primera, se refiere a las obligaciones específicas de los gerentes. Este es un gran cambio, puesto que la antigua LOPD solo contenía obligaciones para los responsables de la información, pero, el RGPD, incluyó la de los gerentes. Algunas de ellas son: mantener un registro de las actividades de tratamiento de datos, determinar las medidas de seguridad aplicables a los procesamientos que se llevan a cabo, asignar un delegado de protección de datos en los casos específicos indicados por el RPGD, entre otros.

La segunda área, recae directamente en el administrador de datos. Entre sus obligaciones están: elegir gerentes con habilidades organizativas y técnicas apropiadas para garantizar que el procesamiento cumpla con los requisitos  necesarios.

Y la tercera, se refiere al contenido del contrato del gerente. En este, las relaciones entre la persona responsable y el gerente deben formalizarse por contrato o por un acto legal, adaptando los contratos previos al nuevo RGPD.

¿Cómo adaptar la web para cumplir con el RGPD?

Adaptar la web para cumplir con los requisitos del RGPD puede ser un poco complicado porque hay muchas cosas que contemplar y cambiar. Pero con esta guía resumida te daremos todas las herramientas e indicaciones para que puedas hacerlo en cuestión de segundos.

Antes de empezar, es importante que tengas en cuenta estos puntos: ¿Qué textos legales debe llevar una web de acuerdo al RGPD? ¿Cómo se redactan estos textos legales? ¿Cómo insertar checkbox y coletillas de texto en los formularios?

¿Qué textos legales debe llevar una web de acuerdo al RGPD?

Vamos por partes. La respuesta a la primera pregunta es bastante sencilla, el listado es: política de privacidad, política de cookies, aviso legal, coletilla legal para el formulario de suscripción, coletilla legal para el formulario de comentarios, coletilla legal para el formulario de contacto con el blog o página web, coletilla legal ara el pie de los emails, coletilla legal para el pie de los newsletters, y por último, coletilla legal para el pie de las facturas y presupuestos.

Los tres primeros textos se deben colocar en un lugar accesible, como el footer de la web. Es decir, la parte inferior de la página, aunque esto puede variar dependiendo de la plantilla y diseño de la misma. Los demás textos (las coletillas) van en diferentes secciones de la página, según sea su utilidad. Recuerda que las coletillas son textos breves que se encuentran, generalmente, en los formularios e informa los elementos más relevantes a los usuarios. Pero, también ofrece enlaces para acceder a la información completa y más detallada.

¿Cómo se redactan estos textos legales?

En cuanto a la segunda pregunta, es bastante arriesgado redactar un texto de esta naturaleza por sí solo, en especial si no se tiene una estructura o plantilla, ya que contienen mucha información referente al proveedor del hosting, proveedor de email market, entre otros. Sin embargo, es recomendable utilizar aplicaciones web confiables para crear estos textos legales y así cumplir con los requerimientos que pide el RGPD antes del 25 de mayo.

¿Cómo insertar un checkbox y coletillas de texto en los formularios?

Esta respuesta es un poco más complicada que las demás. Esto es porque el proceso será diferente en cada proveedor de email marketing. Sin embargo, la idea general de los formularios sigue siendo la misma. Es importante que muestres una coletilla o un pequeño resumen informativo que sea totalmente visible a los usuarios.

Ahora bien, después de tener esto claro, veamos de manera general lo que debes cambiar en tu página web para que cumplas con los requisitos exigidos por el RGPD.

Obtener el consentimiento del usuario para recoger información personal

El consentimiento es una parte clave de la legislación RGPD y es importante que cualquier sitio web que recopile datos personales tenga este elemento. Es importante que muestres a tus visitantes cómo planeas utilizar exactamente sus datos para que ellos estén o no de acuerdo con cada propósito específico.

Para esto, cada formulario de contacto debe tener una opción activa en lugar de optar por una exclusión, esto es una opción por separado para cada método de contacto, como por ejemplo el correo electrónico, teléfono, nombre, entre otros.

Asegúrate de que los datos sean cifrados

Asegúrate de que cualquier información que se envíe a tu sitio web sea encriptada para cumplir con el RGPD. Esto evitará que las personas o ladrones cibernéticos se apoderen de la preciada información personal de tus usuarios.

Para este caso, debes pedir asistencia a tu desarrollarlo web para que instale las medidas necesarias con el fin de garantizar la protección de los datos. Recuerda que se debe instalar un certificado SSL en tu sitio web para poder encriptar.

Puedes verificar si ya tienes uno de estos buscando el símbolo del candado en la barra de direcciones de tu navegador cuando visitas la página de inicio del sitio web. Si parece que esto falta, entonces debes hablar de inmediato con tu desarrollador para que lo rectifique.

Agregar una advertencia de cookies

Esas molestas ventanas emergentes que aparecen en los sitios web son una gran fuente de controversia porque algunos sitios simplemente los ignoran y otros lo cumplen juiciosamente según la ley. Sin embargo, aunque parezca molesto y desubicado, es importante que los usuarios conozcan qué cookies se están colocando es sus máquinas.

Se ha hablado en diferentes ocasiones sobre la introducción de reglas más simples, pero hasta que se implementen, es mejor quedarse con el banner emergente que enlaza con la política de cookies.

Actualizar la política y privacidad de cookies

Asegúrate de que tus políticas de privacidad de cookies reflejen la nueva legislación del RGPD y, si no tienes una, agrégala. Si no sabes cómo redactarla, siempre puedes buscar ayuda o aplicaciones en la web, como la Oficina del Comisionado de Información (OCI) que ha proporcionado un aviso de privacidad de muestra que puedes adaptar y usar en tu sitio web.

Limpiar las bases de datos de correo electrónico

Si tu base de datos incluye suscriptores cuyos permisos no se han recopilado de acuerdo a los nuevos estándares de la RGPD, o si, por el contrario, no puedes proporcionar un comprobante de consentimiento para algunos de tus contactos, entonces no deberías enviar más correos electrónicos a esos suscriptores en particular.

Para ello, es una buena idea enviar un correo de permiso a los usuarios para saber si quieren seguir participando en la lista de boletines. Esto podría llevarte a tener menos suscripciones, sí, pero será un grupo más compacto y comprometido. Además, no pones en riesgo la información personal de los demás suscriptores y sigues, en su totalidad, las normas del RGPD.

Pagos online

Si tu página web se relaciona con un negocio de comercio electrónico, es muy probable que estés utilizando una pasarela de pago para transacciones financieras. Y, en consecuencia, el sitio recopila los datos personales antes de pasar los detalles a dicha pasarela de pago.

Si este es el caso y tu sitio web está almacenando estos datos, entonces debes modificar los procesos web para eliminar cualquier información personal después de un periodo razonable, 60 días, por ejemplo. La legislación RGPD no manifiesta claramente el número de días, pero es importante que lo hagas lo más pronto que puedas.

Pasar de HTTP a HTTPS

http a httpsEl paso de HTTP a HTTPS es bastante importante y puede afectar no solo en el tema del RGPD, sino también en el SEO de tu página. Para hacer esto, primero debes conseguir un certificado SSL y activarlo, después queda en manos de tu proveedor de hosting realizar este proceso.

En manera de resumen, debes adaptar tu página web e insertar textos concretos que necesite la página. Para hacerlos puedes buscar aplicaciones como la APP de LEXblogger, con esta gran ayuda no te complicarás la vida.

Debes ir implementado y actualizando todos los textos, políticas y términos para asegurar a los usuarios la mejor protección de datos posible. Y por último, hacer todo esto antes del 25 de mayo para evitar cualquier inconveniente y cumplir con lo establecido en la  nueva legislación del RGPD.

Facebooktwitterlinkedin