Nuevo Reglamento General de Protección de Datos (RGPD)
El pasado 25 de mayo de 2016 entró en vigor el Nuevo Reglamento General de Protección de Datos (RGPD), aunque su aplicación efectiva no se producirá hasta el 25 de mayo de 2018.
En marketing y publicidad online se gestiona a diario mucha información de carácter personal. El derecho a la protección de datos personales es un derecho fundamental que toda persona tiene y esto se traduce en que cada uno debe poder acceder, modificar y cancelar sus datos personales cuando terceras fuentes dispongan de ellos.
El Nuevo Reglamento General de Protección de Datos y su aplicación, suponen un auténtico reto para el sector publicitario.
Como novedad, el RGPD es de aplicación, no solo a las empresas establecidas en la Unión Europea, sino también a aquellas empresas de terceros países que ofrezcan productos o servicios a ciudadanos en la Unión Europea o monitoricen y analicen su comportamiento en la Unión.
Es importante que las marcas tengan en cuenta el Nuevo Reglamento General de Protección de Datos desde el momento en que decidan llevar a cabo cualquier acción publicitaria en la que se obtengan o traten datos personales.
El consentimiento
Con el reglamento anterior, el consentimiento, en ocasiones incluso podía llegar a ser tácito, es decir, obtenerse por la inacción del interesado. Con el nuevo reglamento, el consentimiento para poder tratar los datos de carácter personal ha de ser inequívoco, libre y revocable.
El principio de responsabilidad proactiva exige una actitud consciente, diligente y proactiva por parte de las marcas frente a todos los tratamientos de datos de carácter personal que realicen.
El RGPD excluye el consentimiento tácito, ya que entiende el consentimiento como una “manifestación de voluntad libre, específica, informada e inequívoca”, que debe darse “mediante una declaración o una clara acción afirmativa”. Por lo tanto, “el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento”. (Fuente: autocontrol.es)
A partir del 25 de mayo de 2018, los consentimientos que se basen en el consentimiento tácito o por inacción, dejaran de ser válidos con la aplicación del Nuevo Reglamento General de Protección de Datos, salvo que se obtenga un nuevo consentimiento conforme al RGPD.
Las marcas deberán recoger consentimientos para cada una de las finalidades para las que vayan destinados dichos datos.
Deber de información
El RGPD establece la obligación de informar sobre nuevos aspectos, las marcas deberán explicar la base legal para el tratamiento de los datos de carácter personal, el período de conservación de los mismos, así mismo, deberán informar a los interesados, de que podrán dirigir sus reclamaciones a las Autoridades de protección de datos, si consideran que hay un problema con la forma en la que se están manejando sus datos.
Esta información deberá facilitarse de “forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo”. (Fuente: autocontrol.es)
Derechos de los interesados
Normativa actual (LOPD): (ARCO)
- Derecho de acceso
- Derecho de rectificación
- Derecho de oposición
- Derecho de cancelación
Normativa (RGPD): (además de los anteriores)
- Derecho a la transparencia de la información
- Derecho de supresión (derecho al olvido): permite al interesado, en determinados casos, obtener sin dilación indebida del Responsable del Tratamiento de Datos (RTD), la supresión de los datos personales que le conciernan, lo que vendría a ser la garantía y el refuerzo de los derechos de oposición y cancelación.
- Derecho de limitación
- Derecho de portabilidad: permite al interesado recibir los datos personales que le incumban y que dichos datos sean trasmitidos de RTD a RTD siempre que sea posible, facilitando así la contratación electrónica y el cambio de proveedor de servicios.
Los responsables del tratamiento de datos tienen la obligación de facilitar y garantizar a las personas interesadas el ejercicio de sus derechos, permitiendo que se puedan presentar solicitudes mediante medios electrónicos.
Comunicación de fallos a la autoridad de protección de datos
Esta nueva obligación del RGPD que impone al RTD (Responsable del Tratamiento de Datos) la obligación de notificar los fallos de seguridad que se produzcan en su organización, a la Agencia Española de Protección de Datos (AEPD) en un plazo de 72 horas.
Registro de actividades del tratamiento de datos
El Nuevo Reglamento General de Protección de Datos establece la obligación de llevar un registro por escrito de las actividades de tratamiento, en general para empresas de más de 250 empleados.
Dicho registro deberá contener información relativa a los tratamientos de datos que se realicen, los destinatarios de los datos, la finalidad de dicho tratamiento, etc.
Medidas de seguridad
El RGPD señala, de forma genérica, que las medidas de seguridad deberán ser adecuadas al riesgo, ya no distingue entre ficheros de nivel básico, medio o alto. El nuevo reglamento habla de “medidas técnicas y organizativas apropiadas” para garantizar un nivel de seguridad adecuado al riesgo, sin especificar qué medidas habrá que llevar a cabo para garantizar ese nivel de seguridad.
Delegado de protección de datos
El RGPD introduce la nueva figura del Data Protection Officer o Delegado de Protección de Datos, que será el encargado de asesorar sobre todos los asuntos en materia de protección de datos y de supervisar el cumplimiento de la normativa de protección.
Sanciones
El RGPD establece multas de hasta 20 millones de euros o el 4% del volumen de negocio total anual global del ejercicio financiero anterior, en el caso de infracción y en función del artículo que haya sido vulnerado.
Es recomendable que las empresas que no lo hayan hecho ya, inicien un proceso de adecuación progresivo y continuo para adaptarse al nuevo reglamento.
La propia Agencia Española de Protección de Datos recomendó, a través de nota de prensa emitida el pasado 29 de junio, que las organizaciones vayan adaptando sus procesos internos a las novedades legislativas.
){kind=link}
0 Comentarios