Todos queremos que, a nuestra web y a nuestro establecimiento se acerquen muchas personas. Y que además se conviertan en clientes y se queden. Para conseguir eso es fundamental la confianza.
Nuestro negocio y nosotros mismos debemos despertar confianza en quienes vienen por primera vez y más todavía en quienes ya nos conocen.
El próximo día 25 de mayo comienza la vigencia del nuevo Reglamento Europeo de Protección de Datos (RGDP).
Este cambio en la normativa no debemos verlo como un nuevo obstáculo que pone la Administración a nuestro negocio. Debemos valorarlo como una oportunidad para ganarnos la confianza de nuestros clientes.
Confiarán en nosotros porque:
- Cumpliremos una legislación que les protege más como usuarios y consumidores, para que no se utilicen mal sus datos personales.
- Solo recabaremos los datos que sean imprescindibles para dar el servicio que el cliente pide.
- Les informaremos de para qué estamos pidiendo sus datos y durante cuánto tiempo los vamos a conservar.
- Garantizaremos el cumplimiento de los deberes de secreto y seguridad para tratar esos datos.
Cambios que debemos realizar para cumplir con el RGPD
La actual Ley Orgánica de Protección de Datos (LOPD) está vigente desde 1999. En ella se fijan unas obligaciones legales, técnicas y organizativas para todas las empresas y autónomos que traten datos de terceros.
Ha habido estos años un alto porcentaje de incumplimiento y la Agencia Española de Protección de Datos (AEPD). Ha habido más de 10.000 denuncias por ello y la AEPD ha impuesto multas por más de 17 millones de euros.
Ahora obligatoriamente tendremos que adaptarnos a las reglas de juego que trae el nuevo RGPD.
Tipos de datos
En la LOPD se hablaba de tres tipos de datos, a los que había que dar un tipo de protección distinta (nivel básico, nivel medio y nivel alto).
En el nuevo RGPD no se establecen niveles de datos, pero sí se habla de datos especialmente sensibles: los de menores de edad, los de salud, vida sexual, convicciones políticas, religiosas, datos genéticos, biométricos.
Y se prohíbe el tratamiento de estos datos salvo en casos excepcionales, como por ejemplo, los intereses vitales del afectado (tema salud).
El nivel de información y el consentimiento inequívoco
El nuevo RGPD amplía el detalle de la información que hay que proporcionar al afectado.
Hay que informar de para qué solicitamos el tratamiento de esos datos. Si es para vender un producto o servicio, si es para enviarle publicidad, si es para participar en un concurso, etc. El cliente debe dar su consentimiento inequívoco y entonces, sus datos no se podrán utilizar para otra finalidad distinta a la solicitada.
Hay que informar si se realizan transferencias internacionales de datos y solicitar el consentimiento.
Hay que informar de quiénes son los destinatarios de esos datos. Si los vamos a tratar solo nosotros o si va a haber alguna transferencia de datos (para lo cual tendrían que autorizarnos específicamente).
Hay que informar de los derechos que tiene como titular de los datos, que son éstos:
- Derecho de acceso, para saber de qué datos suyos disponemos.
- Derecho de rectificación, para cambiar los datos que almacenamos.
- Derecho de cancelación, para cancelar la autorización a que dispongamos de esos datos.
- Derecho de oposición, para oponerse a que tratemos sus datos.
- Derecho de limitación, para limitar el uso de sus datos (bloqueo) cuando haya controversia sobre la licitud de tener esos datos.
- Derecho de portabilidad, para que, en caso de no seguir trabajando con nosotros, traspasemos sus datos al nuevo profesional o empresa que designe el usuario.
- Derecho al olvido
Toda esta información la tendremos que dar en nuestra web, en el Aviso Legal, en la Política de Privacidad, en el Aviso de Cookies, en las Condiciones generales de contratación (si hay comercio electrónico).
Pero también tendremos que dar la información en los formularios de contacto, en los sistemas de suscripción de email marketing, en los emails y cartas que enviemos, en las facturas, albaranes, presupuestos, contratos, recepción de curriculums.
Para cada lugar y situación habrá que redactar los textos legales que recojan lo que indica el nuevo RGPD.
Los antiguos suscriptores
Desde que implantemos en nuestro negocio estas medidas, para tratar los datos, estaremos cumpliendo con el nuevo RGPD para los nuevos clientes, proveedores y suscriptores.
Pero, ¿qué pasa con los antiguos?
Pues que con ellos tendremos que firmar nuevos contratos de confidencialidad acordes al RGPD, para el caso de clientes y proveedores.
Y para el caso de los suscriptores, tendremos que pedirles que se vuelvan a suscribir. Y esta vez, han de hacerlo según las normas del RGPD. Si no lo hicieran, a partir del próximo 25 de mayo ya no podríamos seguir enviándoles comunicaciones comerciales periódicas.
Otros cambios
A partir del 25 de mayo ya no será obligatorio comunicar a la AEPD los ficheros que manejamos en nuestro negocio para tratar los datos personales. Aparece la obligación de tener un Registro de actividades de tratamiento que tendrá un contenido mínimo fijado en el nuevo RGPD.
El 25 de mayo también dejará de ser obligatorio el Documento de seguridad y, en su lugar, será necesario fijar un Protocolo de seguridad.
Desaparece la obligación de realizar auditorías cada 2 años, pero pasa a ser fundamental el mantenimiento.
La nueva figura del Delegado de Protección de Datos
En el nuevo RGPD aparece la figura del Delegado de Protección de Datos (DPO-DPD), que puede ser una persona de plantilla o contratar un profesional externo.
Será obligatorio que tengan un DPD:
- Los organismos públicos (excepto Juzgados y Tribunales)
- Actividades que requieran una observación habitual y sistemática de interesados a gran escala (encuestas, estudios de mercado, big data, etc.)
- Tratamientos a gran escala de datos sensibles (hospitales, colegios…)
Notificación de violaciones de seguridad
En caso de ocurra la destrucción, pérdida, alteración ilícita o acceso no autorizado a datos personales que conservemos, se ha producido una brecha de seguridad.
Si en estos casos hay un riesgo grave para los derechos y libertades de los afectados, el nuevo RGPD nos obliga a:
- Comunicárselo a la AEPD en el plazo de 72 horas.
- Comunicárselo a los interesados.
Unos últimos consejos prácticos
Si obtienes un email de contacto de una página web o de una red social, ten en cuenta que solo podrás utilizarlo para contactar una vez. Ahí deberás solicitar autorización para seguir manteniendo posteriores comunicaciones, si te interesa.
Es importante para cumplir con el nuevo RGPD tener bien redactados todos los textos legales a medida de nuestro negocio.
No se deben copiar de otras web o negocios que creamos que “son como el nuestro”. Porque cada negocio trabaja de una manera diferente. Por eso, sus riesgos son distintos y deben analizarse individualmente.
Además de los textos, tenemos que poner en práctica en nuestro trabajo diario el procedimiento adecuado al nuevo RGPD para tratar los datos de clientes, proveedores, usuarios de la web, etc. Solo así estaremos cumpliendo con la nueva normativa de Protección de Datos.
Si quieres profundizar en este tema, puedes leer los artículos que vamos publicando en nuestro blog: http://emprenderseguro.com/blog/
Y si tienes claro que quieres delegar esta tarea en profesionales para tener todas las garantías, puedes contactarnos en: http://emprenderseguro.com/lopd-lssice/
Ahora es tu turno
¿Conocías qué hacer para adecuar tu negocio a la nueva ley de protección de datos? ¿Tienes alguna duda que se pueda preguntar y contestar en un comentario? Recordad que los casos partículares, debéis poneros en contacto personalmente con Isabel, para que ella y su equipo te den la mejor solución.
Es de agradecer que escribais sobre el RGPD y aconsejéis y ayudeis a vuestros lectores. Realmente esta genial que existan profesionales como tu Maria que sepan de lo que hablan. Es un post de muchísima calidad. No dejes de aportar información tan valiosa como esta. Un abrazo!!
Hola! Blogger por defecto hace los textosde cookies cuando entras en un blog, pero ahora también lo hará o tendremos que hacerlo nosotros? Y como ponemos al comentar todo el texto necesario? Gracias
Hola, si tu blog es un blog con el que sacas cualquier beneficio económico (porque anuncies tus servicios, tus productos o porque tenga banners de publicidad), debe cumplir con el RGPD. Si no, puedes recibir una multa por parte de la AEPD.
Para asegurarte de este cumplimiento, entre otras cosas, tu blog debe tener un Aviso Legal, un Aviso de Cookies y una Política de Privacidad de acuerdo al nuevo RGPD.
Si tú no sabes hacer esos textos, lo mejor es contar con los servicios de un consultor experto en protección de datos.
Respecto a tu segunda pregunta, no entiendo muy bien qué quieres decir, ¿podrías explicarla un poco más? Gracias