El Reglamento Europeo de Protección de Datos (RGPD) es una norma directamente aplicable que regula la protección de los datos de los ciudadanos que vivan en la Unión Europea. En este artículo queremos explicarte todos los conceptos importantes a tener en cuenta para implantar el RGPD en tu empresa.


En STEL Order queremos darte unas pautas para cumplimentar de forma segura el RGPD y mostrarte como lo hemos implantado en nuestra empresa.

 

ÍNDICE

1- ¿Cuándo entra en vigor el RGPD?

2- ¿Qué cambios trae El Nuevo Reglamento diferentes a la antigua LOPD?

3- ¿Qué documentos o textos legales necesitas para el nuevo Reglamento de Protección de Datos?

4- ¿Cómo se clasifican los datos personales según la Ley?

5- ¿Qué grados de consentimientos de tratamientos de datos existen?

6- ¿Cómo aplicar el nuevo Reglamento General de Protección de datos?

7- ¿Cómo incluir la información por capas o niveles en mi web?

 

1- ¿Cuándo entra en vigor el RGPD?

 

El 25 de Mayo de 2018 entra en vigor el nuevo Reglamento europeo de protección de datos para todas aquellas empresas que traten datos personales para llevar a cabo su actividad empresarial en cualquier zona de la Unión Europea.


El Objetivo de este reglamento es garantizar al ciudadano que la utilización de sus datos personales por parte de las empresas son basados en el principio de responsabilidad proactiva.


En STEL Order puedes estar tranquilo con el tratamiento de tus datos, ya que la forma en que tratamos tus datos no ha cambiado. Sólo hemos tenido que ampliar la información de nuestros textos legales.

 

2- ¿Qué cambios trae El Nuevo Reglamento diferentes a la antigua LOPD?

 

Desaparece la obligación de notificar ficheros a la Agencia de Protección de Datos, pero sí se debe elaborar un registro de actividades de tratamiento de los datos personales.


Se prohíbe el consentimiento tácito, como por ejemplo las casillas pre-marcadas en las páginas web. Anteriormente, si la empresa informaba al titular mediante su aviso de privacidad y dicha persona no se oponía a ello, la empresa tenía derecho al tratamiento de sus datos personales. Ahora, es el titular el que tiene que indicar un consentimiento expreso, marcando las casillas para dar su consentimiento de forma inequívoca, específica y consciente del tratamiento de sus datos personales.


A los derechos ARCO (derechos de acceso, rectificación, cancelación y oposición) se incluyen el derecho de limitación (el usuario puede solicitar que se limite el uso de sus datos personales para determinados propósitos específicos, eligiendo para qué finalidad puede utilizar la empresa sus datos personales), el derecho de portabilidad (el usuario puede transferir sus datos personales de una empresa a otra, y
el derecho de olvido o supresión (derecho a no aparecer en los resultados de búsqueda en Internet).


En algunos casos, las empresas deberán tener un DPD, y comunicarlo a la Autoridad de Control. ¿Qué es un DPD? : Es una persona física o jurídica con conocimiento en Derecho. Podrá ser interno o externo a la empresa que actuará de forma independiente para supervisar el cumplimiento del reglamento.


La empresa tendrá que establecer un protocolo específico para las “brechas de seguridad”, un concepto nuevo que define a la violación de la seguridad de los datos personales, cuando constituya un riesgo para los derechos de las personas físicas. Y tendrá que notificar esa brecha de seguridad ante la Autoridad de Control dentro de las primeras 72 horas desde su detención.


La Empresa realizará análisis de riesgos sobre los datos tratados y evaluaciones de cómo tratarlos. Se deberá identificar los riesgos, implementar soluciones, describir los flujos de información y definir la finalidad para la cual han sido recabados dichos datos personales.


Aumento de las sanciones cuando se incumpla la normativa.

 

3- ¿Qué textos legales necesitas para el nuevo Reglamento de Protección de Datos?

 

1- Contratos con los encargados de tratamiento: El encargado del tratamiento es una persona física o jurídica, servicio, organismo o autoridad pública que presta un servicio de responsabilidad de los datos personales.

 

2- Compromisos de confidencialidad de los trabajadores: El trabajador se compromete a no revelar a terceras personas ninguna información que hubiera tenido por la empresa.

 

3- Revisión de los consentimientos obtenidos hasta ahora y regularizarlos.

 

4- Documentos de seguridad.

 

4- ¿Cómo se clasifican los datos personales según la Ley?

 

La empresa debe garantizar para qué finalidad fueron recabados los datos que obtuvo de forma lícita y legítimamente. Además de cumplir con los deberes de secreto y seguridad e informar al usuario de la recogida de éstos.

El tratamiento de los datos personales que recaba una empresa, depende del nivel de sensibilización que tengan. Podemos clasificarlos en tres grandes bloques:

 

  • Datos Seudonimizados o información no directa: No permiten la identificación directa de los usuarios.
  • Datos de Carácter personal no sensible: Información de identificación directa, nombre, apellido, número de teléfono, etc.
  • Datos Sensibles: Se prohíbe dicho tratamiento excepto casos especiales. Hacen incidencia especial en la intimidad, libertades públicas y los derechos fundamentales de la persona. Es cualquier dato que revele: origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos con el objetivo de identificar de manera exclusiva a un individuo y orientación sexual.

 

5- ¿Qué grados de consentimientos de tratamientos de datos existen?

 

  • Libre: El consentimiento deberá haber sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.
  • Específico:  Referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del responsable del tratamiento.
  • Informado: El usuario conoce con anterioridad el tratamiento la existencia del mismo y las finalidades para las que el mismo se produce.
  • Inequívoco: Debe existir una acción que implique la existencia del consentimiento.

 

6- ¿Cómo aplicar el nuevo Reglamento General de Protección de datos?

 

Para aplicar el EGPD en tu empresa, lo primero que tienes que saber es el nivel de sensibilidad de los datos que recoges. Según el tipo de datos, tendrás que modificar o crear textos legales de una forma o de otra. Y por último, tendrás que incluir en tu web toda la información exigida por el artículo 5 del RGPD sobre el derecho de información en la recogida de datos, mediante los principios de licitud, lealtad y transparencia que exige el RGPD.

 

7- ¿Cómo incluir la información por capas o niveles en mi web?

 

Para mostrar la información exigida por el RGPD crearemos diferentes niveles de información, para que el usuario entienda mejor la utilización de sus datos personales. Tendremos un primer nivel con información básica resumida. Este apartado tiene que ser fácilmente localizable, y pondremos como título “Información básica sobre protección de datos”,  la mejor forma de presentar este apartado es en forma de tabla. 

 

La Agencia Española de Protección de Datos nos deja este ejemplo de cómo hacerlo:

 

Información básica sobre Protección de Datos
ResponsableEdiciones Warren&Brandeis, S:A:

+INFO

FinalidadGestionar el envío de información y prospección comercial.

+INFO

Legitimación

Consentimiento del interesado.

+INFO

DestinatariosOtras empresas del grupo Warren&Brandeis, Encargados de Tratamiento fuera de la UE, acogido a “Privacy Shield”.

+INFO

DerechosAcceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional.

+INFO

Información adicionalPuede consultar la información adicional y detallada sobre Protección de Dtanos en nuestra web:

http://www.warrenbrandeis.com

 


En STEL Order también hemos implantando la información por capas, puedes verlo en nuestra política de privacidad.

 

Una vez que tenemos la primera capa de información, tenemos que complementarla con un segundo nivel “Información Adicional”, donde se presentarán detalladamente el resto de las informaciones.

 

Este apartado tiene que contemplar toda la información con todos los detalles de la información resumida de la primera capa, además de añadir la información adicional obligatoria por el RGPD que no hemos incluido en la primera capa. Podemos separar la información por epígrafes (responsabilidad, finalidad, legitimación, destinatarios, derechos e información adicional) y en cada uno se debe incluir toda aquella información aplicable a cada epígrafe dependiendo de la complejidad de sus circunstancias particulares.

 

Se recomienda utilizar “preguntas y respuestas”, como por ejemplo ¿Quién es el Responsable del tratamiento de sus datos? ¿Con qué finalidad tratamos sus datos personales? ¿Cuál es la legitimación para el tratamiento de sus datos? ¿ A qué destinatarios se comunicarán sus datos? ¿Cuáles son sus derechos cuando nos facilita sus datos? ¿Cómo hemos obtenido sus datos?

 

Tanto la fase uno como la dos, la información tiene que estar bien estructurada, concisa y se debe evitar citas legales complicadas y confusas para obtener un texto comprensible para los usuarios.

 

Referencias y Recursos:

 

Crea tu cuenta de STEL Order


Pruébalo GRATIS ahora