Nueva regulación europea sobre datos personales (GDPR)
Es posible que en los últimos días hayas recibido decenas de emails con “avisos importantes”, “revisión de políticas” o “actualizaciones de privacidad”.
También puede ser que al acceder a una página web hayas visto un aviso en la parte superior de la pantalla informándote de que van a comenzar a aplicar un nuevo uso de tus datos.
¿A qué se deben tantas advertencias? La respuesta está en cuatro letras: GDPR.
Son las siglas del General Data Protection Regulation, que en español se traduce como Reglamento General de Protección de Datos y que entró en vigor el 25 de mayo de 2018.
Esta nueva normativa puesta en marcha por la Unión Europea (UE) consiste en un amplio conjunto de reglas centradas en la protección de la privacidad personal y el intercambio de datos entre fronteras.
Pero no solo afecta a Europa: cualquier empresa que maneje datos personales de alguno de los 500 millones de ciudadanos europeos, estén o no radicadas en la UE, está obligada a seguir esta regulación. Google, Twitter, Facebook, Spotify, Apple, Amazon o Microsoft son algunas de ellas, además de numerosas tiendas online, bancos y firmas de todo el mundo.
Esta nueva normativa sustituye a la de cada país miembro de la UE, actualizando normas que no se revisaban desde 1995, cuando el uso de Internet todavía no estaba tan extendido como ahora.
Con ello, se busca mejorar y garantizar el acceso y control de los ciudadanos sobre sus datos personales, haciendo hincapié en la transparencia del uso que se le dará a los datos almacenados.
¿Por qué ahora?
La reciente polémica de Facebook por la filtración de Cambridge Analytica, junto a las crecientes preocupaciones en torno a la privacidad en todo el mundo, han incrementado la presión sobre las empresas y los organismos reguladores para tomar medidas que defiendan y garanticen los derechos de los usuarios frente a los intereses empresariales.
Aunque la ley entró en vigor en abril de 2016, ahora comenzó a aplicarse de manera obligatoria. Por eso es que pudiste recibir emails en estos días: las empresas tienen la obligación de notificar a sus suscriptores europeos de los cambios en sus condiciones de uso, en conformidad con la nueva legislación europea. Si no lo hacen, se enfrentan a multas millonarias.
Por este motivo, desde tu empresa deberás asegurarte sobre todo de que contás con el consentimiento “libre, específico, informado e inequívoco” de tus suscriptores para el uso de sus datos personales.
Consentimiento explícito
Para cumplir con la nueva reglamentación, los suscriptores deberán brindar sus datos mediante formularios opt-in y tu empresa deberá asegurarse de obtener el consentimiento inequívoco de los mismos. La idea es que ese consentimiento sea recabado mediante una declaración, es decir, una “clara acción afirmativa”, según el reglamento, acompañada de un check-box adicional para cada uso que se le dé a la información, lo que permitirá saber que el suscriptor está de acuerdo. También es posible a través de una firma electrónica.
Por ejemplo: se debe recibir autorización por cada tipo de comunicación con un opt-in check-box individual para cada temática
La suscripción automática (opt-out) o las casillas premarcadas en los formularios (opt-in pasivos) están prohibidas. Las listas deben obtenerse mediante formularios OPT-IN con un consentimiento explícito.
Por lo tanto, si tus listas actuales no cumplen con las normas del GDRP, en adelante deberás obtener el consentimiento mediante un formulario opt-in explícito.
Esa acción es necesaria para lo siguiente:
Tratamiento de “datos personales sensibles”: origen racial, opiniones políticas, datos biométricos, orientación sexual, tu foto, correo electrónico, detalles bancarios, información médica…
Decisiones automatizadas y elaboración de perfiles: suelen usarse para fines comerciales, como la publicidad personalizada.
Transferencias internacionales: deberás informarle a tu suscriptor sobre los riesgos que asume al hacerlo.
¿En qué otros aspectos se traduce la nueva normativa?
El GDPR busca fortalecer los derechos de las personas, dándoles más control sobre cómo las empresas utilizan sus datos personales. Uno de los efectos del nuevo reglamento europeo es que a partir de ahora los usuarios podrán exigir conocer de forma clara y explícita qué información tiene tu empresa sobre ellos. La nueva normativa también incluye el derecho de los clientes a acceder y a rectificar los registros de datos personales cuando son inexactos o incompletos.
El derecho a la eliminación, también conocido como el “derecho al olvido”, significa que los suscriptores podrán solicitarle a tu empresa que borre todos o alguno de sus datos si así lo desean. Esto se puede hacer simplemente porque alguien ya no es un cliente de una empresa.
También permite que los usuarios estén más informados cuando haya un hackeo o reciban lo que tu empresa recolecta sobre ellos para tener un manejo más directo de sus propios datos o poder trasladarlos a otra entidad más fácilmente (“derecho a la portabilidad”).
Cabe aclarar que la nueva regulación no limita la cantidad de información que una empresa puede disponer sobre los usuarios, siempre y cuando se obtenga con su consentimiento explícito.
Proteger a las personas y a su intimidad
El GDPR puede entenderse como una reacción ante el crecimiento exponencial de los datos y tiene como objetivo proteger a las personas, y su intimidad, como prioridad.
Otros elementos clave en la nueva legislación son:
La supuesta “aplicabilidad extraterritorial” del GDPR significa que los datos deberán ser almacenados o accesibles desde la UE.
El concepto de “privacidad por diseño” deberá ser incluido dentro de los servicios desde el principio, con un consentimiento explícito y una mayor claridad acerca del uso de los datos.
Multas más altas por incumplimiento: quienes estén en violación del GDPR podrán recibir multas de hasta el 4% de la facturación global anual o 20 millones de euros (lo que sea mayor).
Un nuevo paradigma
El GDPR representa una evolución en la historia europea de protección de datos. Sustituye a la Directiva de Protección de Datos (DPD) implementada en 1995, cuando Internet todavía estaba dando sus primeros pasos. Otros países, como Suecia y el Reino Unido, más tarde siguieron su ejemplo con sus propios sistemas completos de reglas sobre datos. Uno de los objetivos del nuevo reglamento es, justamente, armonizar los distintos enfoques.
El cambio de la DPD al GDPR constituye un reconocimiento de lo mucho que ha cambiado Internet, y confirma que el antiguo sistema de regulación ya no es apropiado para la era digital. Desde que el uso de Internet se hizo más común, hace aproximadamente 25 años, la cantidad de datos intercambiados ha aumentado exponencialmente. Basta recordar que actualmente casi el 40% de la población mundial (3,9 mil millones de personas) cuentan con acceso a Internet, lo que representa un mercado en crecimiento con un vasto tesoro de información.
El reglamento cuenta con 119 páginas y lo podés consultar acá: https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX:32016R0679
¿A quién afecta este reglamento?
A todas aquellas empresas con o sin ánimo de lucro, sean residentes o no de Europa que recopilen o procesen datos personales de ciudadanos europeos, sin importar el país en el que tenga sede su empresa.
Nuestro objetivo es proporcionarte los conocimientos y herramientas necesarios para ajustarte a esta nueva reglamentación. En función de tu actividad y del tipo de datos personales que almacenes, las implicancias del GDPR para tu negocio pueden variar, por lo que te recomendamos consultar a un asesor legal experto en el tema.
Si tenés alguna pregunta sobre esta actualización o querés conocer modelos y plantillas para tus formularios, podés contactar a nuestro equipo soporte@myperfit.com que con gusto te vamos a ayudar.
