La ley de protección de datos que empezará a aplicarse este año 2018 viene a marcar un punto de inflexión en relación con todos los procesos de recogida y protección de datos personales. Este nuevo marco legislativo tiene como objetivo principal dar un mayor control al usuario sobre la utilización que pueda hacerse de sus datos.
De este modo, aspectos como la obtención del consentimiento expreso, el derecho al olvido, la portabilidad de los datos, etc. devuelven al usuario su plena capacidad de decisión y control en estas situaciones.
Un nuevo marco legal
El 25 de mayo de 2016 entró en vigor el Reglamento General de Protección de Datos (RGPD), que sustituirá a la normativa anteriormente vigente y que comenzará a aplicarse el 25 de mayo de 2018. Este reglamente establece unas reglas de protección de datos que serán comunes para todos los países de la Unión Europea.
En el caso español, será también la nueva Ley Orgánica de Protección de Datos la que venga a recoger este novedoso marco jurídico que sustituye al que establecía la Ley Orgánica de Protección de Datos de Carácter Personal de 1999.
¿Qué empresas deben cumplir con la nueva ley de protección de datos?
La ley afecta a toda empresa o autónomo que realice tratamiento de datos personales y que se ubique en la Unión Europea o bien ofrezca servicios dentro de la UE, aunque la empresa sea extracomunitaria.
Por tanto, con independencia del tamaño de la empresa, siempre que se recojan datos personales de ciudadanos de la UE, se deberán cumplir los requisitos que establece la ley.
Sanciones por incumplimiento de la ley de protección de datos
Como sabrás, las sanciones económicas en caso de incumplimiento de esta normativa son de cuantías muy elevadas. De este modo, en función de la gravedad de la infracción, las multas pueden llegar a situarse entre los 10 – 20 millones de euros o entre el 2% y el 4% del volumen de negocio de la empresa.
Este tipo de sanciones, como todas las que venía ya aplicando la Agencia Española de Protección de Datos (AEPD), tienen una finalidad claramente disuasoria. Por ello, merece la pena dedicar un poco de esfuerzo a adaptar nuestros negocios a las nuevas exigencias legales.
Principales novedades de la ley de protección de datos personales
Algunos de los puntos más novedosos y relevantes de la nueva normativa para 2018 son los siguientes:
- Solo deben recogerse los datos estrictamente necesarios para la finalidad que se pretende.
- Refuerzo del consentimiento. Se elimina la posibilidad de consentimiento tácito, de modo que ahora el consentimiento deberá ser expreso, libre, informado, específico e inequívoco. Por tanto, no debe quedar ningún tipo de duda acerca de que el usuario conoce perfectamente qué datos se van a recoger y con qué finalidad, aceptando de forma expresa su cesión y tratamiento. En consecuencia, muchas webs se verá obligadas a adaptar formularios, pop-ups, etc. para permitir que el usuario indique de forma expresa su consentimiento.
- Mejora de la información al usuario. Debe presentarse una información por capas, que permita al usuario conocer en detalle todo lo relativo al tratamiento de sus datos. Además, como aspecto que recoge expresamente la nueva normativa, destaca la obligación de que la información sea clara y concisa para facilitar su comprensión. Por último, deberá especificarse la base legal de tratamiento de los datos y el tiempo durante el que van a almacenarse.
- Derecho al olvido. Los usuarios podrán solicitar que los datos personales sean eliminados en tres casos: cuando ya no sean necesarios para el fin para el que fueron reunidos, cuando se haya revocado el consentimiento o cuando se hayan obtenido de forma ilegal.
- Derecho a la portabilidad. El interesado podrá requerir al responsable de tratamiento que se transmitan a otro responsable los datos que haya proporcionado. Alternativamente, también podrá solicitar que le sean entregados a él mismo dichos datos en formato electrónico.
- Obligación de notificar violaciones de seguridad. En caso de producirse violaciones en la seguridad que puedan afectar a los datos personales almacenados, deben notificarse a la AEPD en un plazo máximo de 72 horas. Si además ese ataque puede haber afectado a datos de carácter sensible y con gran repercusión en los usuarios, también se les deberá notificar a ellos mismos.
- Registro de ficheros y actividades de tratamiento. La nueva normativa elimina la obligación de registrar los ficheros ante la AEPD. Sin embargo, será obligatorio mantener un registro interno de todos los tratamientos de datos personales que lleve a cabo la entidad, siempre que tenga más de 250 empleados o si realiza tratamiento de datos sensibles (tales como los relativos a la salud, opiniones políticas, afiliación religiosa, datos biométricos, etc.).
Conclusión
En definitiva, la nueva ley de protección de datos personales supone un cambio de enfoque en relación con la recopilación y tratamiento de este tipo de datos. Así, el protagonismo y capacidad de control se devuelve a los usuarios, en un marco general de absoluta transparencia. El usuario de una web podrá saber en todo momento qué datos se están recopilando y con qué finalidad, debiendo prestar un consentimiento expreso para su tratamiento.
Por tanto, con el nuevo marco legal, ya no serán posibles informaciones incompletas, consentimientos tácitos o explicaciones confusas.
En cualquier caso, lo que podría verse solo como un nuevo conjunto de obligaciones para las empresas, es también una oportunidad para realizar un tratamiento de los datos más responsable, consciente y eficaz. Y, por añadidura, conseguir clientes más satisfechos con nuestro trabajo.
¿Quieres un software para call centers preparado para los cambios en la nueva Ley de Protección de Datos? No esperes más y descubre cómo nuestro software EVOLUTION puede ayudarte:
