El blog para emprendedores

El experto Xavier Saula nos aclara el panorama legal frente la nueva ley de protección de datos

Publicado por Redacción el 25 - Jun - 2018

Para solucionar todas las dudas que nos puedan surgir respecto a la nueva ley de protección de datos, Colorsfera se reunió el pasado viernes 25 de mayo, con Xavier Saula, socio de Auris Advocats y abogado procesal, especializado en protección de Datos y empresa.

El nuevo reglamento de protección de datos o RGPD entró en vigor el 24 de mayo de 2016, pero desde el 25 de mayo de este año es de obligado cumplimiento. En Auris trabajan actualmente ayudando a las empresas a adaptarse a esta nueva normativa.

Xavier Saula empieza la reunión informándonos que España aún no ha aprobado el nuevo reglamento europeo, pero se espera que en pocos meses se haga. Esto es una buena noticia para los rezagados ya que aún disponen de un “tiempo de descuento” para hacerlo.

Actualmente nos regimos a nivel estatal por leyes del 1999, 2007 y la ley de 2002 que prohíbe el correo no deseado.

Aun así, nos insta a no enviar ninguna newsletter si no hemos validado nuestra base de datos, ya que esto sí que es sancionable a nivel europeo.

Saula afirma: “Ahora la ley tiene una aplicación práctica, antes tenía un carácter meramente formal”. Antes las empresas pedían a consultoras que les redactaran los documentos pertinentes, pero que en realidad no se hacía nada más. Afirma que las medidas que dicta la nueva ley son cosas que debemos poner en práctica a diario.

Esta nueva normativa va dirigida a todas las empresas que recolectan, almacenan o tratan datos de ciudadanos de la unión europea, independientemente de donde esté localizada. Por lo tanto, su aplicación va más allá de las fronteras de la Unión Europea.

Una diferencia a destacar con la antigua LOPD es que ya no hay 3 niveles según se califica el nivel de privacidad de la información. Ahora todos los datos tienen que ser protegidos por igual. Excepto los datos calificados como especialmente sensibles.

Los datos de salud, vida sexual, ideología política, afiliación sindical, son los datos, que se consideran, que pertenecen a la esfera íntima de una persona. La única diferencia que tenemos que tener en cuenta para obtenerlos está en cómo pedirlos. Es necesario pedir un consentimiento muy explícito.

Informar y consentir

La nueva ley RGPD obliga a las empresas a dar a conocer al usuario los datos que se ceden, los fines para los que se ceden, quien es el responsable de tratamiento de esos datos y los derechos que tienen sobre sus datos. Además, el propietario de los datos tiene que dar su consentimiento de manera inequívoca.

Xavier Saula resalta que a veces no es necesario este consentimiento. Cuando se hace un contrato con un cliente o trabajador, se da por hecho que este nos está autorizando a tratar sus datos. Se deberá informar, eso sí, pero no es necesaria la firma de un consentimiento.

El experto nos aconseja llevar a cabo una práctica ya establecida en Alemania, y es tener un apartado en la web dedicado a informar sobre la política de privacidad de la empresa.

Otra diferencia, que nos desvela, respecto la ley anterior, es que antes el consentimiento se permitía que fuera tácito. “Antes podías añadir a tu lista de e-mail marketing a alguien que te había mandado una newsletter, ya que se suponía que estaba interesado en tu producto, ahora ya no”- dice el ponente.

La RGPD dicta que la solicitud de consentimiento debe ser de fácil comprensión y acceso. El consentimiento debe ser claro, inequívoco y distinguible de otras cuestiones. Así quedan abolidas algunas prácticas habituales hasta ahora como las casillas pre-marcadas o los largos términos y condiciones, ilegibles, llenas de jerga legal.

Mecanismos de información

Tenemos la obligación de informar al usuario en el momento de recolectar y tratar sus datos, por ello Xavier Saula nos recomienda que establezcamos los siguientes mecanismos para hacerlo:

–          Crear un apartado en la web, dedicado a detallar las políticas de privacidad por las que nos regimos. En este apartado debe constar quien es el responsable de los datos, para qué fines han sido recogidos, la base jurídica del tratamiento e informar al usuario sobre sus derechos.

–          También debemos informar a través de “minicláusulas”, que remitan al apartado de la web, incluidas en facturas o documentos que van dirigidos a mis clientes.

–          Incluir una cláusula referente a la protección de datos en los contratos de los trabajadores.

–          Podemos poner dicha cláusula en los perfiles de empresa de las redes sociales.

–          Establecer un canal único para recibir currículums e informar desde allí al usuario.

–          Incluir la cláusula en la firma del correo electrónico.

–          Si tenemos formularios de contacto en la web hemos de incluir un selector clicable que informe de las políticas de privacidad para que el usuario dé su consentimiento.

–          Diseñar un protocolo interno del tratamiento que tendrán los datos.

–          Es necesario firmar contratos con los proveedores que tratan los datos de nuestros clientes o trabaja dores que nosotros les proporcionamos, cuando deleguemos el tratamiento de esos datos. Por ejemplo: si tenemos contratada una gestoría que nos prepara las nóminas de nuestros trabajadores.

–          Hay que incluir una cláusula adicional al contratar trabajadores.

“Las medidas a aplicar dependerán de la casuística de cada empresa. No todas estas son medidas obligatorias, pero sí recomendables, para curarnos en salud”- dice el abogado de Auris.

 

¿Y la base de datos?

Si podemos demostrar que nuestra base de datos está formada únicamente con usuarios que tengo una relación comercial o me han dado su consentimiento específico para recibir newsletters, sólo deberemos mandar un mail informativo. Si no es así, tendremos que conseguir su consentimiento, o del contrario, eliminarlos.

El experto nos dice que no temamos perder datos, ya que quien no consienta serán los usuarios a los que no les interesen nuestras comunicaciones.

Los datos los podemos guardar hasta dos años después del fin de la relación contractual.

Más derechos para los usuarios

El abogado experto destaca que, en comparación a la LOPD, la nueva RGPD otorga más derechos a los usuarios sobre sus datos. Un ejemplo de ello son el derecho al olvido y el derecho a la portabilidad.

Con la nueva ley los ciudadanos pueden solicitar que sus datos personales sean eliminados. El problema es que este derecho no es absoluto y puede confrontarse con otros derechos como el de libertad de información, por ejemplo.

Por otro lado, el derecho a la portabilidad otorga a los ciudadanos la potestad de solicitar la entrega de sus datos personales a una determinada empresa. Los interesados lo pueden requerir para su uso personal o para que sean traspasados a una nueva entidad o proveedor. En cualquier caso, los datos deben ser proporcionados en un formato estructurado, de uso común y de lectura mecánica. Como por ejemplo un Excel.

El abogado pone énfasis en la aparición de otro derecho que hasta ahora no existía, el derecho a la indemnización. Hasta ahora el usuario afectado no tenía derecho a ser indemnizado por la Agencia de Protección de Datos (AEPD).  Xavier Saula afirma que este hecho va incentivar a la gente a denunciar.

Otra novedad importante es que las empresas tienen la obligación de informar a la AEPD en un plazo máximo de 72 horas, si han sufrido algún problema en el que la seguridad de los datos quede comprometida.

Si dicho problema afecta a los derechos y libertades de los usuarios, también hay la obligación de notificárselo a ellos.

La figura del CDO

Con la aplicación de la nueva RGPD surge una nueva figura, el Delegado de Protección de Datos (DPO) o CDO (Chien Data Officer). El CDO es el responsable de la estrategia relacionada con los datos y el control de estos.

Xavier Saula nos explica que no es necesario que todas las empresas tengan un CDO, dependerá de tratamiento de los datos que haga cada empresa. El delegado de protección de datos puede ser tanto un interno o externo a la empresa.

El experto en protección de datos insiste en que conviene que el CDO tenga conocimientos referentes a la protección de datos. Este será el responsable de la seguridad de los datos y actuará como nexo de contacto con la AEPD.

Sanciones y multas

Las organizaciones pueden ser multadas con hasta el 4% de la facturación anual o 20 millones de euros por no cumplir la ley.

xerrada RGPD

Deja tu comentario