La entrada en vigor de la nueva normativa sobre protección de datos en Europa pone a las empresas españolas en una situación especialmente interesante. Más allá de evitar sanciones ante las nuevas reglas que se han de cumplir, ¿hasta qué punto puede ser productivo aprovecharse de la nueva coyuntura para crecer? ¿En qué medida afectan los cambios de 2018 a los emprendedores?
El 25 de mayo de 2018 entra en vigor el Reglamento General de Protección de Datos Personales (abreviado como RGPD o GDPR), el nuevo marco legal comunitario de obligado cumplimiento que lleva implícita en su naturaleza una mayor preocupación sobre la privacidad de los ciudadanos y de las compañías.
El 25 de mayo de 2018 entra en vigor el Reglamento General de Protección de Datos Personales (abreviado como RGPD o GDPR), el nuevo marco legal comunitario de obligado cumplimiento que lleva implícita en su naturaleza una mayor preocupación sobre la privacidad de los ciudadanos y de las compañías.
Esta normativa quiere otorgar mayor poder a los afectados acerca de la gestión de sus datos personales, tanto en el sector tecnológico (todo lo que afecta a móviles, Inteligencia Artificial, redes sociales), como en la tramitación burocrática con empresas y administración. El resumen es que todas las personas pasarán a tener una mayor capacidad de controlar la información de carácter privado que circula sobre ellos.
En España, además, se está trabajando en un Proyecto de nueva Ley Orgánica de Protección de Datos (LOPD) que adapta el actual ordenamiento jurídico a este nuevo marco europeo, de manera que se avecinan todavía más cambios en legislación sobre protección de datos.
Ahora bien, ¿qué cambios? ¿Cómo afecta esto a las empresas del sector digital, es decir, a las que trabajan a partir de páginas web que ponen a disposición del cliente un servicio que se ofrece online?
El nuevo marco legal exige un mayor rigor a las empresas en la gestión de datos. En el caso concreto de los negocios online, esto es todavía más importante, ya que todas las actividades que se pueden dar a través de Internet requieren que los usuarios aporten información personal.
¿Cómo puedes comprar algo sin aportar datos bancarios? ¿Y cómo puedes aportar datos bancarios sin cotejarlos con datos identificativos personales? Por no hablar de la dirección a la que te enviarán el producto. Algunas de las novedades más significativas que la RGPD aporta son las siguientes:
No sólo en lo relativo al registro, sino también en lo referente a las cookies y otros elementos más sutiles. Los negocios online a partir de mayo estarán obligados a rendir cuentas ante sus consumidores de forma mucho más intensa.
Las empresas online están siempre bajo el acecho de hackers. ¿Cómo lidiar con este problema en el futuro?
La nueva normativa determina que las violaciones en la seguridad en las que quepa la posibilidad de que los datos personales de los clientes queden expuestos deben ser comunicadas a la Autoridad de Control que prevalezca (en el caso español, la Agencia Española de Protección de Datos) en un plazo máximo de tres días (72 horas).
Si los datos que quedan en peligro tras la brecha de seguridad son de carácter muy privado o delicado (por ejemplo, datos bancarios), la violación también ha de ser transmitida a los afectados de manera individual.
Sin embargo, les insta a mantener un registro interno detallado de todos los tratamientos de datos personales que realiza la compañía a través de Internet cuando se esté hablando de datos muy delicados o cuando la empresa sea grande (no así en caso de ser pyme).
El GDPR pone mayor énfasis en la documentación que los controladores de datos deben tramitar para demostrar su responsabilidad.
El cumplimiento de todas las áreas correspondientes requerirá que las empresas online re-evalúen su enfoque de organización y la manera de gestionar la protección de datos como un problema corporativo.
En este sentido, las organizaciones que establezcan relaciones comerciales con sus clientes a través de la red deberán revisar los contratos y demás disposiciones para adecuarse al nuevo contexto.
Así pues, será preciso llevar a cabo un análisis de riesgo de los distintos tratamientos para poder determinar qué reglas se deben hacer efectivas y cómo sacar adelante los problemas de cara a posibles (y obviamente indeseadas) sanciones.
Dichos análisis pueden ser procesos simples en organizaciones que no realizan demasiados tratamientos, pero en el caso de las empresas online se ha de ser mucho más cuidadosos, al existir una mayor cantidad de riesgos.
A partir de la entrada en vigencia del RGPD, todas las empresas online deben contar con un Delegado de Protección de Datos que se ocupe de fiscalizar el tratamiento interno de la información personal de trabajadores y clientes en la compañía.
Los usuarios tendrán derecho a que las empresas borren sus datos de sus registros internos si así se les reclama. Esta última es una de las grandes preocupaciones que deben tener presentes las empresas.
Al fin y al cabo, uno de los mayores desafíos para los negocios online será la necesidad de mantener un registro del consentimiento del usuario.
A partir de la entrada en vigor de la RGPD, cuando un cliente dé su consentimiento para almacenar y procesar sus datos personales, deberá conservarse un registro completo de cómo y cuándo se otorgó ese consentimiento, y ese consentimiento debe ser explícito, no inferido.
Además, como los consumidores también podrán retirar el consentimiento en cualquier momento, las nuevas regulaciones ahora implican una acción inmediata.
Hasta ahora, el mercado online funcionaba en gran medida valiéndose del tráfico de datos para la gestión de sus clientes, pero esto cambiará en el futuro.
Los retos que se avecinan para cambiar las costumbres y seguir creciendo son, por tanto, numerosos, pero no por ello menos ilusionantes para las empresas del sector online.
En definitiva, cualquier empresa de Internet que tome direcciones de correo electrónico, números de tarjetas de crédito o cualquier otra forma de información personal estará legalmente obligada a cumplir estas reglas. Es importante, por lo tanto, comenzar a tomar medidas ahora, de modo que cuando la ley entre en vigencia, todo esté listo.
Más información
Cómo adaptar una tienda online a la LOPD 2018
Cambios y novedades en la protección de datos para 2018 en las PYMES
¿Cumple tu empresa con la normativa de la LOPD 2018?
¿Cómo se pueden adaptar las pymes al nuevo reglamento de protección de datos?
¿Qué mínimos legales debe cumplir mi página web?
¿Eres un proveedor de soluciones TIC y quieres aparecer en este portal?
¿Eres una empresa y no encuentras lo que estás buscando?
Recibe, cada dos semanas, todas las novedades sobre las tecnologías de la información para empresas.
El Responsable del tratamiento de tus datos es la Cámara Oficial de Comercio, Industria y Servicios de Madrid (Q2873001H), que tratará los datos con la finalidad de gestionar tu suscripción y mantenerte informado de productos y servicios de esta Corporación. La legitimación para el tratamiento es el propio consentimiento del usuario y interés legítimo de la Cámara. No se cederán los datos personales a terceros, salvo obligación legal o indicación expresa. Puede ejercer los derechos de acceso, rectificación, cancelación y oposición, así como el ejercicio de otros derechos, remitiendo un correo electrónico a dpd@camaramadrid.com. Puedes consultar información adicional y detallada sobre la política de privacidad.