Hoy, día 25 de mayo de 2018 entra en vigor el nuevo Reglamento General sobre la Protección de Datos Personales UE 2016/679 (RGPD) que establece importantes cambios en materia de protección de datos de carácter personal.
¿Qué necesitas saber del nuevo Reglamento Europeo de Protección de Datos?
Las claves de este Reglamento se centran en el análisis de impacto de privacidad, en el consentimiento, el deber de información y la aparición de nuevos derechos.
El análisis de impacto de la privacidad consiste en analizar el impacto que supone en el tratamiento de datos cualquier proyecto llevado a cabo por parte de empresas o profesionales, porque no todas las actividades, ni todos los sectores tienen idéntica incidencia sobre los datos de carácter personal de terceros, consecuentemente requerirán un análisis de los riesgos a fin de establecer las medidas de seguridad y control para garantizar los derechos de las personas físicas.
En el consentimiento, radica la constante afluencia de correos electrónicos a nuestra cuenta, si con la redacción anterior de la LOPD ya se requería que el consentimiento fuese, con carácter general, libre, informado, específico e inequívoco, con el nuevo Reglamento Europeo de Protección de Datos es imprescindible que se produzca una declaración del interesado –o bien una acción positiva– que otorgue su conformidad para poder considerar que dicho consentimiento es “inequívoco”.
En el nuevo RGPD, el consentimiento no será válido si puede deducirse del silencio, inacción u omisión por parte del interesado, como hasta la fecha permitía el anterior articulado.
Quedan pues campañas de email marketing supeditadas a un consentimiento inequívoco del interesado.
Hasta ahora se exigía por la Agencia Española de Protección de Datos información sobre quién se encuentra detrás de todo tratamiento de datos y qué tratamiento se iba a hacer de los mismos, con el nuevo Reglamento Europeo de Protección de Datos es obligatorio detallar la información de la forma más precisa posible:
- La identidad del responsable de la gestión y, en su caso, del delegado de protección de datos.
- La identidad de los destinatarios o categorías de destinatarios de los datos personales.
- Los fines del tratamiento a que se destinan los datos personales y el fundamento jurídico para dicho tratamiento.
- Las medidas técnicas en que los datos van a ser tratados.
- El plazo durante el que se conservarán los datos personales y, cuando ello no sea posible, los criterios que se utilizarán por el responsable para determinar dicho plazo.
- Los avisos legales, condiciones de contratación y políticas de privacidad de páginas web, tiendas online o aplicaciones deberán ser lo más claras y sencillas posible, utilizando un lenguaje que sea fácil de entender para todo tipo de usuario.
- Los antiguos derechos del interesado (A.R.C.O.) son ampliados existiendo, a partir de hoy, los derechos de Acceso, Rectificación, Supresión, Limitación del tratamiento, Portabilidad de los datos y derecho de Oposición.
Uno de los puntos más importantes de la normativa es su definición de dato personal:
Es cualquier información relativa a una persona física viva identificada o identificable. Las distintas informaciones, que recopiladas pueden llevar a la identificación de un individuo. A modo de ejemplo, son considerados datos de carácter personal: El nombre y apellidos, domicilio, dirección de correo electrónico, número de documento nacional de identidad, datos de localización, dirección de protocolo de internet (IP), el identificador de una ‘cookie’ o cualquier clase de documentación médica.
Si a fecha de hoy cumples con lo establecido en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, los cambios necesarios en tu política de tratamiento de datos serán pocos, si por el contrario, no tienes ningún protocolo de gestión de datos, tienes delante una ardua tarea de “aclimatación” a la normativa.