Inbound Marketing | EuroCastalia

¿Superando la LOPD? Llega el RGPD o GDPR según quién hable...

Escrito por Cesar Bragado | 07-mar-2018 20:43:32

Mayo de 2018 es la fecha. Mucho alarmismo, y poca concreción... ¿Qué es lo urgente a adaptar para este mes de mayo?

Una buena aproximación es la que aportan las plataformas de software encargadas de gestionar las listas de envíos, campañas de email marketing y demás tareas de automatización de marketing.

Es este sentido se ha publicado por HubSpot una buena guía de adaptación que aclara los conceptos prácticos de la utilización del día a día.

Consultar Estudio Original de HubSpot RGPD (Español)

Consultar Site Oficial de la UE sobre GDPR (English)

.

¿Estás preparado para el RGPD?
Consulta esta Encuesta HubSpot sobre el grado de adaptación al nuevo GDPR y determina las acciones que aún debes realizar para garantizar el cumplimiento del reglamento.

 

 

Antecedentes

Aunque en mayo de 2018 el RGPD sustituirá la Directiva de Protección de Datos de la UE de 1995, este documento establece los ocho principios de protección de datos que han regido el tratamiento de datos personales por parte de las organizaciones los últimos veinte años.

Si bien la legislación vigente de la UE (la Directiva de Protección de Datos de 1995) regula las entidades dentro de la Unión, el alcance territorial del RGPD es mucho más amplio, ya que también se aplicará a

  1. Empresas de fuera de la UE pero que comercialicen sus productos en la UE o
  2. Empresas de fuera de la UE pero que monitoricen el comportamiento de ciudadanos en la UE.

Aplica por tanto el rango donde se opera, y no la sede fiscal de la empresa. El el caso de servicios de e-commerce tiene implicaciones si los usuarios del portal pertenecen a la UE.

 

Modificaciones del RGPD

 

Sobre los derechos de las personas

 

Consentimiento 

Cuando una parte interesada está a punto de enviar su información personal, el responsable del tratamiento de los datos (generalmente, una empresa) debe asegurarse de que dicha parte interesada haya expresado su consentimiento. Asimismo, se requiere que los responsables del tratamiento de datos faciliten pruebas de que sus procesos cumplen con las normas y se respetan en cada caso. Anteriormente, en virtud de la DPD, se podía inferir el consentimiento de una acción de envío de información. Ahora se exige aceptación expresa.

Ahora, no se puede obligar a los clientes a dar su consentimiento, y estos no pueden desconocer que están otorgando dicho consentimiento para el tratamiento de sus datos personales. Deben saber exactamente para qué están otorgando su consentimiento y deben ser informados previamente de su derecho a retirar dicho consentimiento. (Esto ya se venía haciendo declarando la política de protección de datos y los tipos de cookies y datos que se recopilaban).

Obtener el consentimiento requiere una indicación positiva de acuerdo. El consentimiento no puede ser inferido de la ausencia de afirmaciones (silencio de la parte interesada), de casillas marcadas de manera predeterminada o de la inactividad.

Nuevos derechos para los individuos

El reglamento también integra dos nuevos derechos para las partes interesadas: el derecho al olvido, que exige que los responsables del tratamiento de datos alerten a los destinatarios subsiguientes sobre las peticiones de eliminación de datos. Y el derecho a la portabilidad de datos, que permite que los interesados soliciten una copia de sus datos en un formato común. Estos dos derechos harán que sea más fácil para los usuarios solicitar que cualquier información almacenada sea eliminada o que la información recopilada sea compartida con ellos.

En este sentido, la excelente herramienta de portabilidad de Google debería ser la referencia.

Solicitud de acceso

Las partes interesadas siempre han tenido derecho a solicitar el acceso a sus datos. Sin embargo, el RGPD mejora estos derechos, y en la mayoría de los casos, se inhabilita el derecho de cobrar por ello. El plazo para procesar una solicitud de acceso también se reducirá significativamente en comparación con el período actual de 40 días.

Otra novedad es la posibilidad a la negativa de acceso. En ciertos casos, las organizaciones pueden negarse a conceder una solicitud de acceso; por ejemplo, cuando la solicitud se considere evidentemente infundada o excesiva. Sin embargo, las organizaciones tendrán que contar con políticas y procedimientos claros de negación y demostrar por qué una solicitud cumple con estos criterios.

 

Procedimientos Internos

 

Privacidad por Diseño y EIPD

Existen varios principios nuevos para las entidades que manejan datos personales, que incluyen el requisito de crear la privacidad de los datos “desde el diseño” a la hora de desarrollar nuevos sistemas y la obligación de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD). Principalmente para que se puedan detectar posibles problemas de privacidad antes de que se produzcan. Y se tenga tiempo de encontrar una manera de mitigar los problemas antes de que el proyecto esté en marcha.

Delegado de Protección de Datos

En términos de seguridad, el RGPD obligará a muchas empresas a nombrar a un Delegado de Protección de Datos (DPO) para ayudar a supervisar sus esfuerzos de cumplimiento. Las organizaciones que necesitarán contar con la figura del DPO incluyen autoridades públicas, organizaciones cuyas actividades implican monitorizar de manera regular y sistemática los datos a gran escala u organizaciones que procesan a gran escala lo que actualmente se conoce como datos personales de carácter confidencial.

Contratos y documentación de privacidad

Si un responsable del tratamiento de datos contrata a proveedores para el procesamiento de datos bajo su control, deberá asegurarse de que sus contratos con dichos encargados del tratamiento estén actualizados. Deben incluir además las nuevas disposiciones obligatorias para los encargados que se establecen en el Artículo 28 del Reglamento. Asimismo, los encargados del tratamiento de datos deben considerar qué cambios tendrán que hacer para que sus contratos con los clientes se adhieran al RGPD antes de mayo de 2018.

 

Alcance, responsabilidad y sanciones previstas

 

Alcance

Si bien la legislación de la UE vigente (la Directiva de Protección de datos de 1995) regula las entidades dentro de la UE, el alcance territorial del RGPD es mucho más amplio, ya que también se aplicará a las empresas no pertenecientes a la UE que comercialicen sus productos en la UE o monitoricen el comportamiento de ciudadanos de la UE.

Responsabilidad proactiva

Los procedimientos deben registrarse, implementarse y revisarse regularmente. Se debe capacitar al personal y tomar las medidas técnicas y organizativas apropiadas para garantizar y demostrar el cumplimiento.

Sanciones graves

Dependiendo del tipo de infracción en cuestión, los responsables y encargados que no velen por el buen procesamiento de los datos personales o que incumplan de alguna otra manera los derechos de las partes interesadas, podrían incurrir en multas de hasta 20 millones de euros o el 4% de su ingreso anual global (la cifra que sea mayor).

 

Las modificaciones en el software de HubSpot

 

Transferencias de datos fuera de la UE

HubSpot, Inc. dispone de una Certificación del Escudo de la Privacidad con el Departamento de Comercio de EE. UU., la cual garantiza que se establezcan las salvaguardias adecuadas al transferir datos personales de la UE a EE. UU. Se incluyen referencias a nuestra certificación del Escudo de la Privacidad tanto en nuestros Términos de Uso para los Clientes como en nuestra Política de Privacidad. También ofrecemos un Acuerdo de Tratamiento de datos (que contiene las Cláusulas Modelo aprobadas por la UE) a determinados clientes que radican en la UE/EEE bajo solicitud. La buena noticia es que las leyes de transferencia de datos personales en el extranjero no cambian en el RGPD.

Se está implementando un Cloud Hosting en territorio UE (Alemania) aunque no cambia la legislación de transferencia.

¿Tendrán que ser almacenados en la UE los datos a partir de ahora?

No. No existe ninguna obligación en el RGPD de almacenar los datos en la UE, y las normas relativas a la transferencia de datos personales fuera de la UE no cambian.

Este es uno de los bulos más ampliamente extendidos. Sin duda de forma interesada por plataformas dentro de la UE que veían peligrar su negocio de Hosting.

Los datos se pueden transferir al extranjero siempre y cuando se encuentren “protegidos adecuadamente”. Por ejemplo, la UE ha elaborado una lista de países que considera que proporcionan un nivel de protección adecuado (conocidos como “países de la lista blanca”), por lo que está permitido transferir datos a esos países.

Cuando un país no figura en esa lista de la UE (por ejemplo, Estados Unidos), el responsable del tratamiento debe recurrir al uso de disposiciones contractuales aprobadas (por ejemplo, las Cláusulas Modelo o las Normas Empresariales Obligatorias) u otra medida alternativa, determinada por la ley, como la certificación del Escudo de la Privacidad.