El pasado 25 de mayo entró en vigor el Reglamento General de Protección de Datos (RGPD) de la UE y a día de hoy todavía hay algo de confusión sobre qué debe hacerse para que un sitio web cumpla la normativa europea. En este post intentamos poner algo de luz al asunto.

1. ¿Qué es el RGPD?

Comencemos por el principio, RGPD significa Reglamento (UE) 2016/679 General de Protección de Datos. Como su nombre indica, está relacionado con los datos de los usuarios registrados por los sitios web cuando navegan o utilizan sus servicios. El objetivo del RGPD es mejorar la privacidad de los datos y también la forma en que las empresas abordan o planifican este asunto.

2. ¿Afectará a mi negocio?

Sí, siempre que registres información que pueda identificar de manera única a un individuo (por ejemplo: nombres, fotos, direcciones de correo electrónico o dirección IP) deberás cumplir con el nuevo estándar. Las únicas excepciones son los formularios anónimos, como encuestas o cuestionarios que no recopilan datos personales.

Esto afectará tanto a las empresas que se encuentran en la UE como a las que están fuera de la UE que procesan información personal con respecto a los ciudadanos de la UE.

La nueva legislación entró en vigor el pasado 25 de mayo de 2018.

3. ¿Cuáles son los requisitos de RGPD?

Consentimiento explícito: los usuarios deben dar su consentimiento explícito para que el sitio web recopile su información. Este consentimiento no se puede enmascarar en un extenso texto de "Términos y condiciones", debe ser independiente y muy claro para el usuario.

Acceso a la información ofrecida: se debe permitir que los usuarios vean la información recopilada de ellos en su sitio.

Permitir opción para eliminar información: se deberá ofrecer a los usuarios una forma fácil de retirar su consentimiento y eliminar la información de su sitio.

4. ¿Por dónde empezar?

La Agencia Española de Protección de Datos ha dispuesto una herramienta online y gratuita llamada "Facilita" de ayuda para empresas con el fin de verificar el riesgo del tratamiento de datos personales que realizan y por ende, el cumplimiento del Reglamento General de Protección de Datos.

Por otra parte, el registro de usuarios debe contar con el checkbox "He leído y acepto las condiciones de este sitio web" que ha de estar no-seleccionado por defecto.

5. Puntos clave

Derechos de los ciudadanos

El RGPD refuerza los derechos existentes, genera nuevos derechos y ofrece a los ciudadanos un mayor control sobre sus datos personales. Se incluyen:

  • un acceso más sencillo a sus datos, por ejemplo, proporcionando más información sobre cómo se tratan esos datos y garantizando que la información esté disponible de una forma clara y comprensible;
  • un nuevo derecho a la portabilidad de los datos que facilite la transmisión de datos personales entre proveedores de servicios;
  • un derecho más claro a la supresión («derecho al olvido») cuando un individuo no desee que se sigan tratando sus datos. Cuando no exista ninguna razón legítima para conservarlos, se suprimirán los datos;
  • derecho a saber cuándo se han pirateado los datos personales: las empresas y organizaciones tendrán que informar rápidamente a las personas sobre cualquier infracción grave relativa a los datos personales. Asimismo, deberán informar a la autoridad supervisora relevante en materia de protección de datos.

Reglas para las empresas

El RGPD está diseñado para crear oportunidades de negocio y para estimular la innovación a través de diversos pasos, entre los que se incluyen:

  • un conjunto único de normas aplicables en toda la UE: se estima que la existencia de una única ley de protección de datos para toda la UE permitirá ahorrar 2 300 millones de euros al año;
  • las designación, por parte de las autoridades públicas y las empresas que procesen datos a gran escala, de un delegado de protección de datos;
  • un mecanismo de ventanilla única: las autoridades deben tratar con una única autoridad supervisora (en el país de la UE donde tengan su sede principal);
  • normas de la UE para las empresas de fuera de la UE: las empresas con sede fuera de la UE deben aplicar las mismas normas al ofrecer productos o servicios o realizar una supervisión del comportamiento de las personas dentro de la UE;
  • normas que promuevan la innovación: una garantía de que se integren salvaguardias relativas a la protección de datos en los productos y servicios desde las primeras etapas del desarrollo (protección de datos por diseño y por defecto);
  • técnicas respetuosas con la privacidad, como la seudonimización (cuando los campos identificativos de un registro de datos se sustituyen por uno o más identificativos artificiales) y el cifrado (cuando se codifican los datos de tal manera que solamente puedan leerlos las partes autorizadas);
  • eliminación de las notificaciones: las nuevas normas sobre protección de datos eliminan la mayoría de las obligaciones de notificación y los costes asociados a estas. Uno de los objetivos del Reglamento de protección de datos es eliminar los obstáculos a la libre circulación de datos personales en el seno de la UE. Esto facilitará la expansión de las empresas;
  • evaluaciones del impacto: las empresas deben llevar a cabo evaluaciones del impacto cuando el tratamiento de datos pueda ocasionar un mayor riesgo para los derechos y libertades de las personas;
  • mantenimiento de registros: las pymes no están obligadas a mantener registros de sus actividades de tratamiento, salvo que dichas actividades sean regulares o probablemente puedan ocasionar un riesgo para los derechos y las libertades de la persona cuyos datos están siendo procesados.