¿Sabes cuándo entra en vigor la nueva Ley de Protección de Datos? ¿Te gustaría saber en qué afecta a tu web o a los datos que recopilas? ¿Qué debes hacer para prepararte? ¿Qué te puede pasar si no haces nada? Y lo más importante en estos casos ¿Puedo hacer yo algo por mi cuenta?
Probablemente muchos ya hayáis oído hablar de ella, ya que es algo que se lleva anunciando todo el 2017, y otros muchos os estéis enterando al leer este post. Pero en próximas fechas va a entrar en vigor una nueva Ley de Protección de Datos. En este post, intentaremos darte las claves de la nueva Ley de Protección de Datos, y lo que más preocupa, en qué te puede afectar dentro del campo que nosotros controlamos, que son las webs, blogs y marketing directo. Te enseñaremos las principales novedades, y más importante todavía, trucos y accesos a herramientas públicas y gratuitas que te darán las claves ¿Nos acompañas?
La nueva Ley de Protección de Datos
Hasta el momento como bien sabéis, nos hemos estado rigiendo por la Ley Orgánica 15/1999 del 13 de diciembre, que conocemos como LOPD o Ley Orgánica de Protección de Datos. Ésta ha sido la ley que ha servido hasta el momento para que redactásemos nuestra política de privacidad, y tratásemos los datos que obteníamos a través de nuestra web o blog.
Pero ahora hay que tener una fecha en mente: el 25 de mayo de 2018. En esta fecha, va a entrar en vigor la nueva Ley de Protección de Datos, que no es otro que el Reglamento Europeo de Protección de datos 2016/679, y que se conoce por sus siglas RGPD. A partir de la fecha comentada anteriormente, toda empresa que realice el tratamiento de datos de carácter personal (ya sea pública o privada), deberá cumplir una serie de requisitos bastante más severos que los que venían pidiéndose con la anterior legislación. Si os habéis dado cuenta, se trata de un reglamento europeo, y es que con él, se pretende terminar con la «anarquía» existente en los diferentes países de la unión, ya que cada uno hasta el momento aplica la suya propia.
Como vas a ver a continuación, es más que necesario que en este tiempo que queda hasta el 25 de mayo, vayamos depurando todo lo que tengamos que cambiar, y no lo dejemos para el último momento, ya que el reglamento será de pleno cumplimiento a partir de esa fecha, es decir, para ese día nuestro trabajo ya deberá estar hecho.
Primero: tranquilidad
Antes de nada, queremos pediros tranquilidad. Sí, habéis leído bien. Sabemos que la mayoría de artículos que leeréis van orientados a todo lo contrario, pero tras habernos documentado lo suficiente sobre el tema, queremos deciros que el asunto puede ser mucho más sencillo de lo que creéis, eso sí, tomando las medidas oportunas y no dejando todo para el último momento.
Todo va a depender del tipo de tratamiento que hagáis de vuestros datos, y de si los datos que tratáis son de riesgo, o son solamente de bajo riesgo. En números de la Agencia Española de Protección de Datos (AEPD), presentados en la 9ª Sesión Anual Abierta, este es nuestro tejido empresarial:
PYMES: 99,8% de las empresas (hasta 249 trabajadores)
MICRO: 95,4% (0 a 9 trabajadores)
Sin asalariados: 55,05%
Y con esto, ¿qué queremos decir? Que la mayoría del tejido empresarial es bastante pequeño, y por lo tanto, realizar esta adaptación a la legislación resulta bastante complicado, ya que hay que formar e informar. Unido a esto, de nuevo en números de la AEPD, casi el 75% de los datos que tratan son de bajo riesgo. Y por ello han creado un plan de trabajo del que han surgido una serie de guías y una herramienta que puede realizar esta adaptación de forma mucho más sencilla, y es lo que vamos a ir viendo a continuación.
Las novedades
El texto por el que nos estábamos rigiendo era anterior al año 2000, y no hay más que pensar en el avance tecnológico que hemos tenido en este siglo XXI, como para ver la diferencia tan bestial en cuento a intercambio de información que hacemos. Es por ello que la nueva ley de protección de datos trae novedades importantes. Ahora se va a centrar mucho más en la persona y sus derechos, tal y como podéis observar en la siguiente infografía obtenida de la AEPD:
La imagen nos da una pista de por dónde va la nueva ley de protección de datos. El usuario va a tener derecho a conocer, a pedir diferentes cosas acerca de sus datos a los responsables del tratamiento de los mismos, a rectificarlos, a suprimirlos y finalmente va a poder oponerse a que traten sus datos. Y es que aquí se encuentra la primera gran novedad del nuevo RGPD: hay que obtener un CONSENTIMIENTO EXPRESO. O lo que es lo mismo, pasamos del consentimiento tácito de la antigua LOPD a obtener una acción expresa por parte del usuario para que podamos contar con sus datos. Es el usuario el que a partir de ahora deberá realizar una acción en la que nos indique expresamente que nos cede sus datos tras nosotros haberle informado.
Por lo tanto esto va a requerir un cambio importante en la acción de INFORMAR al usuario. La nueva Ley de Protección de Datos nos dice que debemos informar de forma concisa, transparente, que sea fácil de entender, y que sea también fácil de poder acceder. Incluso nos dice que utilicemos iconos si eso hace que sea más fácilmente entendible.
Vamos a ver la diferencia entre la actual LOPD y la RGPD que entra en vigor a finales de mayo:
LOPD
- La existencia del fichero o tratamiento, su finalidad y destinatarios.
- El carácter obligatorio o no de la respuesta, así como de sus consecuencias.
- La posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.
- La identidad y datos de contacto del responsable del tratamiento.
RGPD
- Los datos de contacto del Delegado de Protección de Datos (DPD).
- La base jurídica o legitimación para el tratamiento.
- El plazo o los criterios de conservación de la información.
- La existencia de decisiones automatizadas o elaboración de perfiles.
- La previsión de transferencias a Terceros Países.
- El derecho a presentar una reclamación ante las Autoridades de Control.
Y si los datos no hubieran salido del propio interesado:
- El origen de los datos.
- Las categorías de los datos.
Como ves, el primero de los grandes cambios es que debes tener una persona que se haga cargo de la información, y que sea el enlace con la AEPD en el caso de tener que comunicarse. Y esa persona es el Delegado de Protección de Datos (DPD) o Data Protector Officer (DPO). Aunque para las empresas de una sola persona por ejemplo, no deja de ser la propia persona (a no ser que decida subcontratar dicho servicio si es que sus datos son de riesgo o maneja un volumen tal que no es rentable para la persona), que era la que también con la LOPD se hacía cargo del fichero de tratamiento de datos.
Este responsable deberá encargarse de garantizar el cumplimiento de las siguientes cláusulas que se recogen en el artículo 5 de la nueva ley de protección de datos:
- Limitación de la finalidad: Los datos se recogerán siempre con unos fines determinados de los que se informará al usuario. O lo que es lo mismo, no podemos decir que la finalidad de los datos es simplemente para enviar un producto, y a posteriori enviarle también publicidad vía correo electrónico.
- Licitud, lealtad y transparencia: Los datos se tratarán de forma lícita, leal y transparente. O lo que es lo mismo, a la hora de recoger los datos, se informará al usuario de forma fácil y no de forma tergiversada o poco transparente.
- Minimización de datos: Los datos serán los mínimos posibles para el fin al que se vayan a destinar.
- Exactitud: Los datos serán exactos, y si es necesario deberán actualizarse. Deben adoptarse todas las medidas para poder modificarlos, o suprimirlos.
- Limitación del plazo de conservación: Los datos se deberán mantener no más allá del fin para el que se recogen, por lo tanto habrá que informar de qué tiempo va a ser éste.
- Integridad y confidencialidad: Los datos serán tratados siempre garantizando la seguridad de los mismos.
Una última novedad se refiere en este caso a los menores de edad. La LOPD hasta ahora, tenía en 14 la edad mínima en la que el menor podía prestar consentimiento para poder tratar sus datos. Con la nueva ley de protección de datos, esta edad baja a 13 años.
¿Dónde informar? ¿Cómo hacerlo?
A la hora de informar, tenemos diferentes medios para realizarlo: papel, teléfono y vía email. En este artículo nos estamos refiriendo más concretamente al medio digital, y en concreto a lo que debemos hacer en una Web, en la que básicamente tendremos dos apartados en los que debemos informar:
- El formulario de contacto (aquí también incluimos todos aquellos apartados en los que pedimos los datos del usuario para que le demos algo, como por ejemplo cuando nos dan un ebook de forma gratuita, etc).
- Nuestra política de privacidad
Formulario de contacto
Y es que hasta ahora, en el sector digital la gente estaba más por la labor de conseguir datos que de su tratamiento. Era muy habitual, como te hemos comentado antes, colocar una casilla pidiéndote tu nombre y correo electrónico a cambio de darte algo que se suponía pudiera interesarte, pero sin informarte de qué iban a hacer con ello. Pero incluso, los formularios de contacto, podían ser, como los que ves a continuación:
En él puedes ver que se hace mención a que aceptas la política de privacidad, al enviar tus datos. ¿Sería válido? Pues no, con la nueva ley de protección de datos no lo sería. Simplemente porque la acción positiva del usuario en este caso es rellenar y pulsar «enviar». Lo cual no quiere decir que se haya leído nuestra política ni tan siquiera que se haya leído la frase que hemos puesto. Por ello, lo primero que deberemos hacer en este caso es añadir una casilla, un check box. De tal forma que el usuario para poder enviarnos el formulario primeramente tenga que clicar la casilla de consentimiento:
Bueno, y ahora dirás, con esto ya es suficiente. Pues tampoco, porque no estás cumpliendo el principio de transparencia al 100%, pero sobre todo el de fácil acceso. Efectivamente le haces saber que hay una política de privacidad, en la que probablemente indiques qué haces con los datos y para qué los recoges. Pero en lugar de tener que ir el usuario a otra página, deberías indicarle ya directamente los principios básicos de tu recogida de datos. Y para ello la nueva ley de protección de datos hace uso de lo que denomina INFORMACIÓN POR CAPAS O NIVELES. ¿Qué es eso? Muy simple, presentar en una primera capa, a modo de resumen, y en el momento en el que se recogen los datos, una información básica. Y posteriormente indicar la información adicional de cada campo en una segunda capa. Y os estaréis preguntando, ¿qué información básica es la que debo presentar? ¿qué pongo en la primera y en la segunda capa? Pues acudiendo a la Guía para el cumplimiento del deber de informar de la AEPD, aquí podemos ver qué es lo que se recomienda indicar, y qué en cada capa o nivel:
No es tan difícil, ¿verdad? Y la misma guía nos aporta un ejemplo, de lo que deberíamos indicar bajo el formulario de inscripción, en una primera capa:
En resumen, nuestro formulario debería tener bajo la recogida de información de datos:
Un check box: con esto básicamente le obligamos al usuario a realizar una acción positiva antes de enviarnos la información
Una caja como la que veis arriba, con la información correspondiente a la primera capa
El enlace a la política de privacidad donde entre otras cosas se mostrará la información de la segunda capa (además de la primera por supuesto, para aquellos que visiten directamente nuestra política de privacidad)
Con esto ya tendríamos nuestro formulario preparado para la nueva ley de protección de datos. Ahora bien, con esto no nos debemos quedar contentos, ya que es muy importante cómo nosotros guardemos esos datos. Una novedad de esta Ley de Protección de Datos es que va a ser mucho más activa en lo que se refiere a que mantengamos los ficheros en los que recabamos los datos actualizados y mantenidos. Por ello, deberemos guardar todos los detalles de los nuevos suscriptores, clientes, etc (incluso con IP, fecha de aceptación expresa, etc). A ver cómo tienen que ser estos ficheros nos va a ayudar la herramienta que veremos más adelante.
Política de privacidad
Como bien sabes, nosotros no somos expertos en aspectos legales, ni ofrecemos estos servicios. Estamos aportándote un resumen de lo más interesante que hemos visto en la página de la AEPD. Te decimos esto porque, así como la recopilación de datos el tema es más claro de complementar y orientar, la política de privacidad es muy diferente. ¿Por qué? Porque dependiendo del sector en el que estés, deberás recoger unas cláusulas u otras, y por ello es importante que te asesoren especialistas en este caso. Nosotros vamos a indicarte algunas de las cosas que no deben faltar.
La nueva ley de protección de datos, nos dice que debemos ser claros, específicos, concisos, y facilitar el acceso. Por ello, ya no es válido coger cualquier política de privacidad que veas por ahí y copiarla en la tuya (antes tampoco, pero como se trataba de un texto legal, que seamos sinceros, no se leía casi nadie, parecía que importaba menos). Debemos redactar una política de privacidad clara, que sea amena de leer. Por ello te animamos a que primero de todo cojas los textos que tienes hoy día y los adaptes, añadiendo todo aquello que hace falta:
- Normativa que estás cumpliendo
- La tabla que hemos visto en el apartado anterior, pero con todas las capas o niveles
- Hacer referencia a que los menores de 13 años necesitan consentimiento de sus tutores
- Decir qué ficheros tienes para el tratamiento de datos y quién es el responsable de los mismos
- Indicar la finalidad de tener esos registros, y si vas a cedérselo a alguien
- Cómo recopilas esos datos (qué formularios usas y/o herramientas)
- Cuánto tiempo vas a disponer de sus datos
- A quiénes vas a ceder tus datos (sí, sí, porque tú cedes datos de tus clientes por ejemplo a la gestoría, hosting, o si utilizas herramientas de mailing… etc)
- Etc.
(El último etc lo hemos puesto porque, como hemos dicho al principio, dependiendo de vuestra actividad, deberéis indicar más cosas. Hemos tratado de poner algunas de las que son obligatorias y hasta ahora en muchas políticas de privacidad no se indicaban).
Nosotros en base a lo que hemos leído, estamos reformando la nuestra. Pero, para ayudaros un poco más, hemos dejado para el final lo mejor. Os animamos a seguir leyendo.
La herramienta
Para facilitar el camino hacia el cumplimiento del RGPD, la AEPD ha desarrollado una herramienta que va dirigida fundamentalmente a las nanopymes, siempre que sean empresas que tengan datos de bajo nivel de riesgo.
Como hemos visto al principio del artículo, el porcentaje de nanopymes es muy grande, y el de empresas que tienen o recopilan datos de bajo nivel de riesgo es casi del 75%. Por ello, a 3 de cada 4 que estéis leyendo esto, os debería servir. De todas maneras avisamos, que el utilizar esta herramienta NO garantiza que cumplas el RGPD; te ayuda a allanar el camino y que consigas cumplirlo. Además esta herramienta te hará una serie de preguntas, o lo que es lo mismo, que dependiendo de lo que contestes (o lo sincero que seas), esta herramienta te ayudará más o menos.
En nombre de esta herramienta es FACILITA, y su uso consta de tres fases:
En la primera fase te realizará una serie de preguntas que ayudarán a descartar si estás dentro del sector para el que sirve esta herramienta, es decir si solamente tienes datos de bajo nivel de riesgo. En caso de que no estés dentro de este grupo, la herramienta simplemente te echa del sistema, no puedes continuar.
Una segunda fase en la que das los datos de tu empresa. Muy importante: la AGPD no va a guardar estos datos, ni meterte en ningún tipo de fichero. Una vez que termines la sesión se borrarán. Para lo único que los necesita, es porque al final del proceso, la herramienta te proporciona una serie de documentos, y si le indicas ya tus datos, esos documentos saldrán ya cumplimentados. Si no te fías, puedes poner unos anónimos, y al final tendrás que cambiarlos en la documentación que te salga.
En la última fase, tienes que indicar qué tratamiento vas a hacer de esos datos: tratamiento de clientes, la gestoría que trata los datos que tú le des, los datos de tus potenciales clientes, los datos de la empresa de Marketing que vaya a realizar tus campañas, tratamiento de datos de empleados, candidatos a un empleo, proveedores, videovigilancia…
Con todo esto, se generará un documento con todos los tipos de tratamientos que hayamos seleccionado. Nos aporta mucha información para cada uno de los registros que le hayamos indicado, incluso cláusulas contractuales para incluir en los contratos con las gestorías, servicios informáticos, etc…
Sin duda es una herramienta que nos va a ayudar a disponer de todos los elementos necesarios, para poder empezar a trabajar en los documentos definitivos para cumplir la nueva ley de protección de datos a nivel documental en todo aquello que no tiene que ver con la web o blog (y nos dará una idea también en qué cosas tenemos que añadir a nuestra política de privacidad).
Sanciones
No nos gusta hablar de esto, evidentemente, pero tenemos que tener una idea de lo que nos puede pasar. Simplemente os diremos el baremo general que utilizaba la LOPD y el que utiliza el RGPD. En la LOPD, se tipificaban tres niveles de sanción:
- leves: tenían sanciones entre 600 € y 60.000 €
- graves: tenían sanciones entre 60.000 € y 300.000 €
- muy graves: tenían sanciones entre los 300.000 € y 600.000 €
Pues bien, con la nueva ley de protección de datos, pasamos a:
- multas de hasta 10.000.000 € o un 2% del volumen de negocio del año anterior (lo que sea mayor)
- multas de hasta 20.000.000 € o un 4% del volumen de negocio del año anterior (lo que sea mayor)
- no existe un límite inferior
Evidentemente para llegar a esas cifras, debemos realizar infracciones muy graves, pero queremos que tengáis esta información para que sepáis de qué estamos hablando comparativamente con el marco anterior.
Conclusiones
Llegados a este punto, podemos sacar la siguientes conclusiones:
- Es vital que actualicemos todos nuestros registros para cumplir la nueva ley de protección de datos, y más viendo las sanciones del apartado anterior.
- Se deben obtener los datos con consentimiento expreso del usuario.
- Hay que informar al usuario de forma clara y concisa, de fácil acceso. Tendremos que informar por capas o niveles, pero siempre informar en el momento de la captación de los datos.
- Tendremos que redactar nuestra política de privacidad de una forma amena, sencilla y añadir todas las novedades que la nueva ley de protección de datos trae, y que hemos repasado.
- Visitar los enlaces que os vamos a dejar más adelante, y que hemos consultado para poder empezar a adecuar nuestra política de privacidad y registros. Todos estos enlaces son de la AEPD, oficiales.
- Utilizar especialmente la herramienta FACILITA. Nos ayudará a tener la información necesaria para tener las bases sobre las que trabajar y poder completar nuestros registros para cumplir el RGPD.
- En caso de cualquier duda acudir a la AEPD, o en su defecto a vuestros asesores legales.
Por último, queremos dejaros una infografía de nuevo de la AEPD, en la que veréis qué debe hacer una PYME para adecuar su marco al nuevo RGPD, paso por paso. Esperamos de verdad que os resulte de ayuda este artículo, y cualquier comentario, duda o aporte que tengáis, como siempre, es bienvenido.
Enlaces de interés
- Agencia Española de Protección de Datos (AEPD)
- Reglamento General de Protección de Datos (RGPD)
- Herramienta FACILITA
Algunas de las guías más interesantes:
- Guía del Reglamento General de Protección de Datos para responsables de tratamiento
- Guía para el cumplimiento del deber de informar
- Directrices para la elaboración de contratos entre responsables y encargados del tratamiento
- Guía práctica de Análisis de riesgos
- Guía práctica de Evaluaciones de impacto
Gracias por las explicaciones. La verdad es que somos muchos los que no estamos al día con la Ley de Proteccion de datos ni con el nuevo Reglamento. Os agradezco el trabajo que habéis realizado en este post. Un abrazo!!
Muchísimas gracias por vuestro comentario. La verdad es que hay mucho desconocimiento, pero en la página de la AEPD hay muy buena información. Y la herramienta que te indican, FACILITA, te da gran parte de lo que necesitas incluir en contratos, documentos… en definitiva, si eres una empresa del 75% de las que hay que no realizan tratamientos de datos sensibles, la adaptación es bastante más sencilla de lo que parece.
Nos alegra mucho saber que os ha ayudado. Un abrazo!!