Pues sí es el día 25 de mayo el elegido para que entre en vigor el RGPD o GDPR. Ese día todas las empresas que usen tus datos deberán conseguir de ti el consentimiento inequívoco. El consentimiento inequívoco de que permites el uso de esos datos. Pero, ¿es solo eso? No, no basta con que te pidan que des el consentimiento. Están obligados a contarte qué datos manejan, cómo los tratan, para qué los quieren, y comunicarte el responsable último de su tratamiento.
Bien esta es una norma Europea, pero afecta a empresas que no son de la Unión Europea. Por ejemplo empresas con sede en Estados Unidos que operan con datos de ciudadanos europeos deben cumplir el RGPD. Hablamos de las redes sociales o empresas dedicadas al mundo de Internet. Como siempre penden sobre las cabezas de aquellos que incumplan multas cuantiosas. Que a la postre es lo que mueve el mundo. Lo cierto es que las multas y su cuantía dependen de un desarrollo por parte de cada país de la Unión Europea. Una vez más el legislador patrio llega con los deberes sin hacer y a pie cambiado. Por lo que hay dudas acerca de si se mantienen las multas de la Ley anterior o qué conejo sacarán de la chistera.
Al margen de multas, de legisladores torpes o ineficaces, lo cierto es que el RGPD no presenta una nueva forma de información a los usuarios. Un nuevo modo de informarnos de los datos personales que las empresas manejan, de nuestro consentimiento para cederlos, y el derecho fundamental de saber para qué se usan nuestros datos.
El nuevo Reglamento se sustenta en tres principios básicos:
En la recogida de datos se debe informar claramente, esto significa que cualquier usuario debe comprender que se recogen y para qué. Se indica en el Reglamento que esa recogida de datos debe ser limitada. Limitada porque de antemano debes estar previsto el fin para el que se recogen. Esta limitación contribuye a que no se recojan datos extra que no sirvan para el fin legítimo establecido. Al tiempo los datos deben ser actualizados, y guardados de forma que la seguridad de los mismos este garantizada.
Obviamente el tratamiento de los datos recogidos debe ser lícito. Para que tenga esa consideración se deben dar algunas particularidades. Conseguir el consentimiento expreso de los usuarios. Que la recogida de datos tenga como objetivo la firma o asunción de un contrato entre partes. O para proteger intereses legítimos si su recogida es fundamental para tal fin. Y por supuesto que la posibilidad de renunciar a la cesión de dichos datos o interrumpir la misma, sea sencilla y de fácil acceso para el usuario.
Para que se puedan enviar los datos personales de ciudadanos europeos fuera de nuestro espacio común, se deben ofrecer garantías de protección de los mismos. Por ello se han ido firmando acuerdos con terceros países de fuera del Espacio Económico Europeo. Esos acuerdos sientan las bases de esa protección de los datos personales, por ejemplo con Estados Unidos o Canadá.
Es evidente que es necesario saber qué se consideran datos personales y que no para saber si se está sujeto al cumplimiento del RGPD. Si tienes dudas puedes contactar con nuestro despacho y te asesoraremos. Una vez que sabemos o tenemos claro que sí debemos cumplir, debemos tener en cuenta algunas claves de este nuevo contexto. El RGPD amplia derechos fundamentales de los consumidores o usuarios, principalmente el saber para qué y cómo se recogen sus datos personales. Que aparte de conocer la finalidad y el tratamiento de los mismos, siempre sean preguntados e informados antes de esa recogida.
Esa petición de toma o recogida de datos debe ser clara y expresa. Ahora no podremos encontrarnos casillas premarcadas para obtener el consentimiento. Eso se prohíbe expresamente por el RGPD. Y quien pida ese consentimiento deber guardarlo para poder usarlo en el momento oportuno. Los fines para los que se piden los datos deben estar fijados con antelación. No se puede sobre la marcha cambiar el destino de los mismos. El usuario tiene el derecho a mover, copiar o transferir a otra empresas esos datos. Esto implica que pueden llevarse los datos a la competencia.
Si en algún momento los datos que tenemos en custodia han sido vulnerados en su seguridad, habrá un plazo de 72 horas para comunicarlo a las autoridades competentes. Se crea la figura del Delegado de Protección de Datos (DPO). Esta figura será necesaria atendiendo al volumen de datos que manejemos, y si entre esos datos personales se encuentran datos de categorías especiales. La novedad en cuanto a las sanciones por incumplir el RGPD, es que ya no será un cifra fija. Ahora se plantearán sanciones calculadas respecto al volumen de negocio de la empresa a sancionar. Hasta del 4% del volumen de negocio. Probablemente estas sanciones afectarán por fin a la cuenta de resultados, y las empresas se tomen en serio la protección de datos y las posibles denuncias.
