La LOPD, la ley de protección de datos española, tiene que adaptarse al Reglamento Europeo de Protección de Datos RGPD vigente desde 2016, pero de obligado cumplimiento desde el 25 de mayo de 2018.
Es un asunto grave ya que no es algo nuevo y por tanto lo lógico es que ya teníamos que tener adaptado nuestros formularios y la web al reglamento.
LOPD
El Gobierno de España aprobó un Proyecto de Ley Orgánica de Protección de Datos de Carácter Personal LOPD que tendrá que ser aprobado por el Parlamento.
Esto no obstaculiza la plena vigencia del Reglamento Europeo.
Por tanto durante todo el post hablaremos indistintamente de LOPD o RGPD.
Una vez que el Gobierno y el Parlamento español aprueben la nueva LOPD adaptaremos este texto si fuera necesario.
Reglamento Protección de Datos RGPD y la LOPD
01- LOPD ¿Qué tiene que ver la Ley de Protección de Datos y Europa?
Todo, se trata de armonizar y homogeneizar las regulaciones en cuanto al tratamiento de los datos de todos los países de la Unión Europea.
Es lógico que todos los ciudadanos europeos tengamos los mismos derechos y deberes.
El Reglamento Europeo es mucho más exigente que la hasta ahora Ley de Protección de Datos Española.
02-¿El Reglamento Europeo de Protección de Datos se impone sobre la LOPD Ley de Protección de Datos de España?
Sí, la ley española se tendrá que adaptar al nuevo Reglamento.
Nuestra Ley de Protección de Datos es de 1999, evidentemente el paso del tiempo y la revolución digital que hemos vivido la ha dejado obsoleta.
Razones de peso para cumplir con el Reglamento y la LOPD
03-Hasta ahora me ha ido bien y apenas he cumplido la LOPD (Ley de Protección de Datos, ¿qué tengo que temer?
Mucho. El asunto se ha puesto muy serio y ya se ha constatado que un abuso en el tratamiento de los datos ha ocasionado consecuencias planetarias.
Las elecciones a la presidencia de EE.UU y otras elecciones son un claro ejemplo de lo que puede producir un mal uso de los datos personales.
04-LOPD ¿Pero el cambio es tan radical?
Totalmente, porque se trata de un cambio de modelo.
Antes obedecía más a los intereses de los negocios y ahora la legislación se centra en los derechos de los usuarios.
El usuario tendrá el control de todos sus datos, no como hasta ahora que una vez captados los datos “si te vi no me acuerdo”.
05-¿Para infracciones leves a qué sanciones me puedo enfrentar?
¡Agárrate que vienen curvas! 10 millones de euros o un 2% del volumen anual de tu negocio.
Se toma como referencia el ejercicio financiero del año anterior a la sanción.
Antes la ley sancionaba las infracciones leves con 600.000 euros, una subida abismal.
06-¿Para infracciones graves a qué sanciones me puedo enfrentar?
20 millones de euros o un 4% del volumen de tu negocio de todo el año.
Se toma como referencia el ejercicio financiero del año anterior a la sanción.
Ya te avisé que la cuestión se agrava y que probablemente sea el principio del fin de algunas empresas de la Unión Europea.
07-¿Me pueden reclamar indemnizaciones los afectados por no cumplir la LOPD/Reglamento?
Sí, es otra de las novedades que antes no contemplaba la ley.
Claro que tendrán que demostrar que son damnificados pero la situación puede volverse crítica.
Quien conozca las debilidades de nuestra empresa en materia de protección de datos podría hacernos un gran daño.
A quien afecta y a quien no la LOPD y el Reglamento
08-Soy autónomo, ¿por qué me afecta la LOPD y el RGPD?
Evidentemente si no recabas ningún tipo de datos no te afecta. Pero esto en pleno siglo XXI es prácticamente imposible.
Por lo general tendrás que adaptar tus textos legales al Reglamento así como cumplir con todos los requisitos si tienes una web, entre otras cuestiones.
09-Soy bloguero, ¿por qué me afecta la LOPD y el RGPD?
Porque la mayoría de actividades que llevas a cabo para llegar a más gente implica recoger datos.
Por ejemplo, los suscriptores tendrás que captarlos con la nueva normativa que es más exigente.
10-Soy marketero, ¿por qué me afecta la LOPD y el RGPD?
Muchos de los procesos que implementas implican recabar datos.
En el marketing online son habituales la automatizaciones, la conversión, incluso es habitual la colaboración con otros profesionales.
11-Yo realizo marketing directo, ¿en qué me afecta la LOPD y el RGPD?
Puede ser parecido al caso anterior, pero se diferencia en que este puede ser online como el email marketing, aunque también puede ser por ejemplo correo postal o en el punto de venta.
El usuario igualmente siempre tiene la última palabra y puede oponerse al tratamiento de sus datos.
12-Yo elaboro perfiles de clientes ideales con los datos, ¿en qué me afecta la LOPD?
Averiguar tu buyer persona o cliente ideal te obliga a que consigas un consentimiento específico para esta finalidad.
Tendrás que valorar cuanto tiempo vas a tener esta base de datos activa.
13-¿Este Reglamento Europeo RGPD afecta a empresas no europeas?
Sí, afecta a entidades establecidas en la UE pero también a empresas que efectúen tratamiento de datos que tengan que ver con la oferta de bienes y servicios destinados a ciudadanos de la Unión Europea.
14-LOPD ¿También afecta al tratamiento de datos policiales o judiciales?
Sí que afecta pero con particularidades muy distintas a las que hemos mencionado, si no obstaculizaría claramente la labor judicial y policial.
15-¡Han publicado datos de un familiar fallecido! ¿El Reglamento lo ampara?
No, este Reglamento no se aplica a los datos personales de personas ya fallecidas.
Principales exigencias del Reglamento y la LOPD
16-Así, a voz de pronto ¿qué implica el nuevo Reglamento?
Básicamente hay más responsabilidades y medidas de obligado cumplimiento.
Por tanto se incrementa las medidas respecto a la ley anterior.
17-¿Desde qué fecha tengo que cumplir con la nueva regulación?
El 25 de mayo de 2018 es la fecha límite para tener todos nuestros archivos y sistemas actualizados a los nuevos requerimientos legales.
18-¿Cómo tiene que ser el consentimiento para cumplir con el nuevo Reglamento?
Tus clientes o usuarios tienen que formalizar un consentimiento expreso para que puedas seguir tratando sus datos.
19-¿Puedo ofrecer a mis clientes acceso a una parte de los datos y yo reservarme otros para mí?
No, evidentemente la transparencia es fundamental, además tienes que facilitar una información completa.
Ahora tienes que informar con todo rigor todos los datos que incluyas sobre la información personal de tus clientes o usuarios.
20-¿Cómo tiene que ser el acceso a los datos de los clientes?
Se trata de otras de las novedades, tienes que garantizar el acceso fácil a sus datos a todas las personas que te los han facilitado.
21-¿Me puede exigir un cliente que “elimine/borre” sus datos los cuales utilicé para establecer el perfil de mi cliente ideal?
Sí, es un derecho que tienes que cumplir incluso en aquellos casos en los que la información está camuflada junto con la de otras muchas personas como es la elaboración de perfiles.
22-¿Qué implica el derecho de portabilidad?
A petición de un cliente o usuario tienes que facilitar sus datos a otro prestador de servicios.
23-¿La recogida de datos, qué tiene que cumplir?
Tiene que cumplir tres principios fundamentales, hay que recoger los datos de una manera lícita, leal y transparente.
Por tanto la información tiene que ser clara, sencilla, ajustada a la ley y sin recovecos o doble sentido.
24-¿Tengo datos de una actividad anterior, los puedo utilizar para otro asunto?
No puedes, cuando recoges los datos tienes que indicar para que finalidad los recoges y por tanto después no puedes utilizarlos para otra finalidad.
Esto último tiene ciertos matices, pero por lo general no se pueden emplear para otro cometido distinto para el que fueron proporcionados.
25-¿Puedo recoger más datos y así gano tiempo para mi próxima campaña?
Tampoco puedes hacer eso ya que choca contra el principio de minimización de datos.
Estás obligado a recoger los datos estrictamente necesarios para los fines que los recoges.
26-¿Puedo almacenar los datos todo el tiempo que yo quiera si cumplo la ley?
No puedes, ya que vulnera el principio de limitación del plazo de conservación.
Los datos se mantendrán el tiempo estrictamente necesario para los fines del tratamiento que hayas declarado, después tienes que borrarlos.
27-¿Qué requisitos de seguridad requiere el nuevo Reglamento?
Tienes que cumplir con el principio de integridad y confidencialidad como ya se venía haciendo con la anterior ley.
Por tanto tienes que implementar un sistema que garantice la seguridad de los datos.
28-¿Quién es el responsable del cumplimiento del RGPD?
Ahora tienes que cumplir con el principio de responsabilidad proactiva, ya no esperas a que se produzca un problema para actuar.
Esto te obliga a tener un responsable del tratamiento de los datos que es el responsable de cumplir la ley.
29-¿El consentimiento para recoger los datos puede ser sobrentendido o tácito?
Rotundamente no, ahora ya no vale el silencio o casillas pre marcadas, el consentimiento tiene que ser expreso.
El consentimiento expreso implica acción del usuario o cliente y no puede ser sustituido por ningún recurso.
30-¿El consentimiento para recoger los datos puede ser genérico para utilizarlo varias veces?
No, el consentimiento tiene que ser específico y para una finalidad concreta.
31-¿El consentimiento para recoger los datos puede ser verbal?
Sí puede, pero en este caso tendrás que grabarlo y guardarlo ya que el consentimiento tiene que ser verificable.
Ante una inspección o denuncia tendrás que acreditar que has obtenido el consentimiento.
32-¿Qué es lo básico y fundamental tener en mi web?
Lo primero es tener un enlace a tu política de privacidad.
Cada formulario tiene que tener una casilla de autorización o check box.
Si quieres reforzar la transparencia debajo de cada formulario puedes poner una cláusula con los puntos esenciales de la ley que el cliente tenga que aceptar antes de facilitar los datos.
Sí, he leído y estoy de acuerdo con la política de privacidad.
Este es un ejemplo de cómo podemos desarrollar un formulario en nuestra web.
LOPD ¿Qué puedo hacer con mis datos antiguos?
33-¿Puedo reutilizar mis antiguos formularios de suscripción o contacto?
Si los adaptas sí, pero no es lo conveniente.
La nueva norma implica mecanismos claros y que el usuario proporcione su consentimiento expreso.
34-LOPD ¿Puedo seguir trabajando con los datos de mis clientes?
No puedes, sí, ya sé que es un drama para muchas empresas pero hay que entender que la mayoría, por no decir todos los datos, se han recogido con un consentimiento tácito que ya no está permitido.
Si los utilizas corres el riesgo de que te denuncien y te sancionen.
35-¿Puedo adaptar los datos de los clientes al nuevo Reglamento?
Sí, esa es la tarea de reconvertir los consentimientos tácitos en consentimientos explícitos.
Implementa tu sistema para que el consentimiento sea explícito, específico y que se pueda verificar.
36-¿Qué hago con las viejas cláusulas informativas?
Lo mejor es redactarlas de nuevo de acuerdo a la nueva ley, añadir más información, pero sobre todo mucho más clara.
37-LOPD ¿Qué es el consentimiento revocable y como me afecta?
Te afecta porque tienes que implementar un mecanismo para que cualquier cliente o usuario pueda revocar su consentimiento de tratamiento de datos en el momento que quiera.
38- Ya tengo los consentimientos recabados, ¿qué hago con ellos?
Tienes que llevar un registro con todos los consentimientos, ya que la ley te obliga a que el consentimiento sea verificable.
39-¿Cómo adapto a la legislación vigente a los antiguos registros?
Esta es la madre del cordero, parece razonable que lo lógico es enviar una comunicación a nuestros clientes y solicitarles un consentimiento expreso para tratar sus datos.
Digo parece razonable porque se supone que se va a facilitar una transición a la nueva ley, porque en realidad después del 25 de mayo estamos enviando una comunicación que no está amparada por el RGPD.
40-¡Con los nuevos consentimientos he perdido muchos datos de clientes y suscriptores a mi web/blog! ¿Qué hago?
Nada, es doloroso perder toda esa información pero piensa que si la sigues manteniendo corres un riesgo muy grande.
Transparencia y otras exigencias del RGPD y el LOPD
Un caso especial son las llamadas empresas de recobro, para más información: ¿Te está acosando un cobrador de deudas? ¡Actúa es ilegal!
41-¡Me exigen transparencia informativa! ¿En qué consiste?
Consiste en informar de manera clara, asequible a todo el mundo y con total transparencia.
Olvídate de las cláusulas interminables y de que la misma cláusula valga para todo.
42-En la práctica, ¿cómo se consigue la transparencia informativa?
Para evitar “los ladrillos” de información difíciles de digerir y entender es bueno aplicar la información por niveles.
Se trata de que a medida que el cliente toma contacto con la información le vamos informando paso a paso.
En una primera capa informamos de lo básico, y en una segunda capa completamos la información.
Este es un ejemplo de cómo podemos implementar esta información en una web.
43-Información adaptada a mi empresa ¿Qué significa?
Hasta ahora encontrábamos en muchas empresas los mismos formularios y cláusulas legales.
Una actitud proactiva es difícilmente compatible con el corta y pega, lo lógico es tener cláusulas y formularios que representen a tu negocio.
44-Transparencia, si, ¿pero cómo tiene que ser la información que se facilite al usuario?
Si tus cláusulas y formularios están llenos de palabras técnicas y relatos interminables con infinidad de posibilidades no estas cumpliendo con el RGPD.
La base es información clara y fácil de entender.
45-¿Cada formulario tiene que ser distinto?
¿Un formulario de contacto es igual que uno de suscripción a una web? Evidentemente no.
Por tanto ahora ya no puedes ser genérico tienes que ser específico y por tanto cada formulario tiene que ser distinto.
46-¿Puedo hacer como antes un formulario farragoso y que así me autoricen?
Claro que no, así no cumples con la ley.
Pero no solamente se trata de cumplir la ley también se trata de que tengas éxito en tu trabajo.
Ahora te toca utilizar la creatividad en la captación de datos, para ello tienes que conectar con tu cliente y explicarle todo sobre el tratamiento de sus datos.
47-¡Me exigen responsabilidad proactiva! ¿Qué quieren decir?
Es sencillo ahora tienes que tomar la iniciativa en la defensa de la privacidad de tus clientes.
No solo tienes que tomar la iniciativa sino que además tendrás que probar que la has tomado.
RGPD, LOPD, información y avisos a los usuarios.
48-¿Tengo que avisar a los clientes antes de facilitar los datos?
Si, la nueva norma te obliga a informar de absolutamente todo lo que afecta al tratamiento de los datos de las personas que te lo han facilitado.
49-¿Tengo que informar sobre quien es el responsable de la gestión de los datos?
Si, tienes que facilitar la identidad del responsable de la gestión de los datos, también tienes que identificar al delegado de protección de datos para aquellas empresas que lo tengan.
50-¿Tengo que avisar sobre los servicios profesionales que contrato y gestionan mi base de datos?
Claramente sí, esto es algo que no hace casi nadie pero que es obligatorio.
Por ejemplos encargas a terceros para alojar tu web, para hacer marketing etc. y les facilitas tu lista de contactos.
Tienes que informar sobre la identidad de los destinatarios de los datos, o en su caso las categorías de destinatarios.
51-¿Tengo que avisar que estoy tratando los datos?
Si pero primero tienes que informar que se están recogiendo.
Por tanto se tiene que informar que los datos se están recogiendo, tratando y consultando.
52-¿Tengo que avisar sobre la finalidad de la recogida de datos?
Sí, tienes que informar para que estas recabando esos datos personales.
También tienes que comunicar en que legislación te estas apoyando para recoger los mismos.
53-¿Tengo que avisar por cuanto tiempo conservaré los datos?
Cuidado porque esta exigencia es nueva, la respuesta es sí, tienes que informar cuanto tiempo vas a conservar los datos.
En caso de no poder dar un plazo concreto tienes que comunicar en que criterios te vas a basar para determinar el plazo.
54-¿Tengo que avisar de que utilizo un software que automáticamente trata los datos?
Si, tienes que comunicar todos los extremos, si tienes robots o software que toma decisiones automáticamente por ejemplo para elaborar perfiles para hacer segmentación de tus seguidores.
55-¿Tengo que avisar a los clientes que se ha producido una brecha en la seguridad de los datos?
No solo tienes que avisar, tienes que tener previsto un procedimiento para comunicar a los usuarios o clientes cuando la seguridad de sus datos se ponga en peligro o hayan sido “dañados”.
AEPD y LOPD
56- ¿Es obligatorio inscribir los ficheros en la AEPD la Agencia Española de Protección de Datos?
El RGPD elimina la obligación de tener que inscribir los ficheros, pero impone que tengas que llevar un registro de operaciones de tratamiento.
57-¿Por qué se elimina la obligación de inscribir los ficheros en la Agencia Estatal de Protección de Datos AEPD?
Con la ley anterior era obligatorio pero, se consideró que dicha obligación no fue lo ideal para mejorar la protección de los datos personales.
Responsables y encargados deberán mantener un registro de operaciones de tratamiento en el que se contenga la información que establece el RGPD.
LOPD – RGPD conclusión.
No se trata de un tema fácil y mucho menos entretenido pero es un paso ineludible.
Hay que adaptarse a la ley nos guste o no. El legislador lo tiene claro, hasta ahora las nuevas tecnologías se han movido en una jungla digital.
La regulación era predecible y lógica de ahí la dureza de las sanciones al que no cumpla el Reglamento.
Existe una preocupación generalizada entre los profesionales por la protección de los datos, es por tanto un aliciente para ponernos manos a la obra y que nuestros clientes y seguidores nos vean como garantes de un derecho fundamental del siglo XXI.
¡Comparte!
Acerina Almeida Castro
Eres un As,en estos temas, gracias a ti,estoy con Abogados global jurídica x morosidad,pero mis datos los tienen empresa de Pocobro y están dando vueltas x ahí,y no se que hacer.saludos José Alberto
Gracias. Si estás en manos de profesionales seguro que te ayudarán a resolver el problema.