¿Cómo afecta el nuevo RGDP a mi empresa?

El próximo 25 de mayo de 2018 entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD). Afectará a todas aquellas personas/empresas que recopilan datos de sus usuarios o clientes, los cuales están en la UE. Esto significa que, si estás recopilando datos de una persona de España, pero tu empresa está, por ejemplo, en América, tienes que regirte en base al nuevo reglamento de la Union Europea (UE). Por lo tanto, si tienes clientes o usuarios dentro de la UE, te interesara saber un poco más sobre esto. A continuación te presentamos los principales cambios y las novedades, y cómo te pueden afectar.

Aceptación expresa del uso de datos

El cambio más significativo del nuevo RGPD es la manera de aceptar el consentimiento de uso de los datos. Hasta el momento, bastaba con la inacción del usuario o con el uso de casillas pre-marcadas por la empresa. A partir del día 25 de mayo, cuando entre en vigor el nuevo RGPD, esto cambiará. Ahora será necesaria la aceptación expresa del uso de los datos del usuario. Esta aceptación será, obligatoriamente, con una acción determinada de aprobación de la conformidad o con la opción de rechazo. El rechazo de dicho consentimiento podría ocasionar la expulsión del usuario de la página o la baja del servicio. Este consentimiento hace referencia al envío de comunicaciones y publicidad. La recogida de datos con otros fines, como facturar o redactar contratos, no se rigen por este RGPD.

Transparencia

A partir de ahora, la transparencia en el uso y la recopilación de datos será también necesaria. Esta transparencia deberá especificar para qué se están recopilando dichos datos y qué uso se les dará. Las especificaciones serán de forma clara y precisa, y utilizarán un lenguaje natural y entendible. Las explicaciones incluirán la finalidad de los datos y el tiempo de conservación en la base de la empresa. Además, la empresa también deberá ofrecer la posibilidad de exportar los datos de los usuarios y la eliminación de estos en determinadas circunstancias.

Es decir, desde que entre en vigor el nuevo RGPD, aquellas empresas o particulares que recopilen datos de sus usuarios, estarán obligados a especificar, de manera bien clara, por qué están recopilando estos datos y con qué finalidad. Facilitarán las explicaciones de manera entendible, sin que ello dé pie a una libre interpretación. Además, los usuarios podrán solicitar, si así lo desean, la exportación de sus datos. Estos datos podrían ser utilizados, no solo para exportarlos a otra empresa, sino para mejorar el nivel de transparencia. Con esto, los usuarios sabrán exactamente qué datos tiene la empresa sobre ellos. También será obligatoria la aplicación del derecho al olvido. Esto significa que, cuando el propietario de los datos lo solicite, el responsable de los mismos deberá eliminarlos.

Comunicación de fallos de seguridad

Otro de los aspectos más importantes que incorpora el nuevo RGPD es la obligatoriedad de comunicar las brechas de seguridad. Si la base de datos, por ejemplo, sufre una fuga de datos, el responsable de los datos está obligado a comunicarlo a los afectados. Esta comunicación debe indicar que el sistema ha sufrido un fallo de seguridad y los datos de los usuarios se han visto comprometidos. Tiene un plazo máximo de 72 horas, desde el momento de la detección, para realizar el aviso tanto a las autoridades como a los afectados. Esto evitará que se repita el caso de Yahoo que, en 2013, dijo que le habían robado solo una porción de los datos, cuando en realidad sufrió un robo de datos de la totalidad de sus usuarios, lo cual escondió durante dos años.

Tratamiento de datos de menores de edad

El nuevo RGPD europeo permite el uso de los datos de un menor que haya alcanzado los 16 años. Este uso está permitido sin el consentimiento de un tutor legal del niño. Además, el nuevo RGPD permite que cada país perteneciente a la UE, escoja si decide rebajar esta edad hasta un máximo de 3 años. Esto significa que, en aquellos países que así lo escojan, será legal tratar con datos de menores a partir de 13 años sin el consentimiento expreso de los padres. En España esta edad se ha fijado a los 14 años, aunque se está estudiando establecerla en los 13. Aquellas empresas o particulares que deseen tratar con datos de menores, necesitarán el consentimiento de los padres del niño. En los casos que el niño tenga más de un padre o tutor legal, ambos padres o tutores deberán aceptar el consentimiento de trato de los datos del menor.

¿Quieres saber más sobre el nuevo RGPD?

¿Te interesa conocer más sobre los cambios que aplican en el nuevo RGPD? Desde SPG te ofrecemos un curso para certificarte en el Nuevo Reglamento General de Protección de Datos Europeo. El curso está dirigido a aquellas personas, con o sin conocimientos previos de la LOPD, que deban conocer e implementar los nuevos requisitos del RGPD y adecuarlos a su organización.