El 27 de abril de 2016 a nivel europeo se decidieron los términos para la regulación sobre la protección de datos de personas físicas y su tratamiento en Internet.
Te puedes estar preguntando “¿En qué me afecta esto?” Bueno, déjame decirte que esta regulación abarca la protección y circulación de la información en Internet. Si tienes una página Web que colecta datos de sus usuarios, necesitas estar al día con esta regulación, a no ser que quieras tener probabilidades de ganar una sanción de la que ya hablaremos más adelante.
¿Por qué legislar al respecto?
Sencillo, todos tenemos derecho a la protección y privacidad de nuestra información personal, pero sobre todo, esta regulación nace de la necesidad de limitar el libre tratamiento que se le daba a los datos personales en Internet.
A los usuarios de este medio (Internet), como tú y como yo, les daba miedo – aún les da – dejar su información personal en página Web, tiendas virtuales, Blogs, redes sociales u otra plataforma, porque dicha información podía ser usada con fines varios. De más está decir que muchos de esos datos se han usado con fines ilícitos, lo que ha puesto en riesgo la confianza en Internet como centro de convivencia y negocios.
La idea de la regulación es que, a la persona se le solicite el permiso para usar esos datos y que se le garantice que solo van a ser usados para fines previamente establecidos y por un tiempo limitado.
De hecho, con esta nueva regulación, las medidas de protección de datos se han mejorado mucho, al punto que puede parecer mucho más complejo satisfacer los requisitos.
Más adelante veremos qué se ha incluido en esta regulación y cómo puede afectar a tu negocio en Internet y la página Web.
¿Tengo que cumplir con ella?
Si tienes una página Web que capta datos de los usuarios, sí debes cumplir con esta regulación para ganar la confianza con tu página web.
Aquí la cuestión es la siguiente: ¿Qué empresa no capta información personal de sus clientes? Actualmente, sobre todo para el marketing por Internet, se capta información personal de los usuarios, por ejemplo, para crear perfiles y planificar estrategias de remarketing, o para personalizar la experiencia según los gustos y preferencias de cada usuario.
Este nuevo reglamento ha ampliado, entre otras cosas, la definición de datos personales, por lo que cada vez son más las páginas que necesitan ajustarse a esta nueva normativa.
¿En qué casos no debes cumplir con esto? Cuando no captes ningún dato personal de los que se mencionan en la regulación, pero ya te digo, que se han incluido muchos datos nuevos como “personales”.
¿Qué novedades presenta esta regulación?
Ahora veamos un poco de las novedades que presenta la regulación, sobre todo lo más importante. Si quieres conocer en detalle cada artículo de la regulación, no olvides visitar este enlace.
Mayor área aplicación de la regulación
Anteriormente, el área de aplicación de la regulación quedaba limitada por los países de la Unión Europea. Es decir, cualquier captación de datos fuera de este entorno no debía cumplir con ninguna regulación más allá de lo que dispusiera las regulaciones del país de origen de la página Web o empresa, si es que existían tales regulaciones.
En palabras sencillas, antes, si yo tenía una página Web en China y vendía productos a usuarios en España, no tenía que acogerme a esta regulación, es decir, podía tratar los datos como quisiera. Esto ha cambiado, ahora se presenta como una obligación que se cumpla con esta regulación en el caso de que el usuario esté dentro de la Unión Europea.
Se amplía la definición de datos personales
Cuando se define “datos personales” pueden quedar huecos que permiten algunas empresas evitar el cumplimiento de esta regulación, es por eso que ha extendido lo que se entiende por datos personales.
Ahora, cualquier dato que tomes de un usuario, bien sea su nombre, su DNI, su condición física, étnica, sexo, edad y condición mental o económica, etc. es considerada como dato personal y por tanto su tratamiento debe satisfacer la regulación propuesta.
Quizá incluso se me haya pasado algún tipo de dato que se considere como personal, pero lo que quiero ejemplificar es que el rango de datos es mucho mayor. De hecho, existen limitaciones en el uso de estos datos, más allá de que tengas el consentimiento para su tratamiento.
Por ejemplo, datos del grupo étnico, racial, preferencia religiosa o cualquier otro que pueda llevar a algún tipo de discriminación no pueden ser captados o tratados.
Obtener consentimiento del usuario se hace más complejo
Antes de esta regulación, la omisión, o el silencio, era aceptada como consentimiento para en tratamiento de los datos. Por ejemplo, si una página te alertaba que se iban a tomar los datos para procesarlos y hacías caso omiso a esta alerta, estabas dando autorización indirecta para su uso; ahora esto no es suficiente.
Ante los organismos reguladores, toda empresa debe presentar el consentimiento expreso de los usuarios para el tratamiento de los datos, de otra manera no podrás captarlo ni procesarlos.
En el caso de que el usuario sea menor de edad, no podrás procesar datos sin el consentimiento de sus padres si la edad del usuario es inferior a los 16 años.
En ese caso, debes idear un procedimiento tal que puedas corroborar que el consentimiento lo están dando los padres y no el mismo menor de edad.
Como te decía, obtener el consentimiento es mucho más complejo, de hecho, en la autorización debes especificar el uso de los datos y el tiempo en que los vas a usar.
También debes comprometerte a eliminar la información personal una vez que se ha culminado el periodo para el cual se te ha dado autorización de tratamiento, aunque sí puedes transformar los datos de tal manera que no puedas asociarlo con una persona en particular.
Designación de un oficial para la protección de datos
En organizaciones muy grandes, donde los datos pueden ser muchos, se deberá designar a un protector de datos que se encargará de velar de que, quien capte y manipule los datos, no los use para fines distintos a los estipulados en la autorización.
Este oficial para la protección tiene responsabilidades claves para el buen funcionamiento de la regulación.
Obligación de reportar algún problema de la protección de datos
Al momento de ocurrir algún uso indebido de los datos o cuando se aprecie riesgo potencial a la protección de los datos que han sido captados, el oficial de protección debe alertar a los involucrados.
El procedimiento es el siguiente (de manera muy general):
- El oficial se da cuenta del riesgo potencial y le avisa a quien trata los datos. Quien trata los datos debe realizar acciones inmediatas para eliminar la amenaza a la seguridad de la información.
- Si después del aviso, el riesgo persiste, o no se toman medidas, el oficial debe alertar a las autoridades de control, que no son más que los organismos designados para el cumplimiento de la regulación.
- En el caso de que el riesgo sea muy elevado o que ya se haya cometido algún mal uso de los datos, se deberá informar al interesado, o usuario, es decir, el dueño de la información.
Nuevos derechos para los usuarios
En esta regulación se mencionan varios derechos que tienen los interesados (usuarios) sobre el tratamiento de datos.
Uno de los derechos más comunes es el derecho a modificar información. De éste no diré mucho porque se entiende de qué va, simplemente, si existe algún dato equivocado, el usuario puede solicitar que se corrija para su correcto procesamiento.
Otro derecho que tiene el usuario, es el derecho a conocer para qué serán usados sus datos.
Un derecho nuevo es el derecho al olvido de los datos. Es decir, un usuario puede solicitar, en cualquier momento, que sus datos ya no sean tratados y la empresa deberá tomar las acciones para eliminarlos de su sistema sin demoras.
El usuario también tiene derecho a delimitar para qué se usan sus datos. Por ejemplo, un usuario puede solicitar que no se usen sus datos para crear perfiles de compradores y que eso se use luego para marketing.
El usuario, según la regulación, puede oponerse a que sus datos sean usado de cualquier manera, no solo limitar su uso, sino que no se usen de para ninguna acción. Nota la diferencia, una cosa es que soliciten que se olviden los datos o que se usen solo para tales fines y otra distinta que no se colecten, se traten o se usen en lo absoluto.
Toda solicitud por parte del usuario debe ir seguida de la notificación del sitio Web o empresa. Es decir, el usuario debe recibir respuesta de que su solicitud ha sido procesada.
Nuevas sanciones
De acuerdo con esta nueva regulación, las sanciones por mal uso de la información o por el incumplimiento de alguna normativa puede ascender a los 20 millones de Euros, evidentemente, va a depender de la gravedad de la falta.
Para finalizar
Nunca está de más que leas la regulación y determines qué tanto afecta a tu empresa. Es importante que hagas los ajustes necesarios para que tu sitio Web esté al día con la nueva regulación, pues la ignorancia no exime la culpa. Es decir, si tú no sabías que necesitabas permiso expreso de tus usuarios para la captación de datos y aun así lo hacías, estás incumpliendo con la regulación y eso conlleva una sanción.
Como te habrás dado cuenta, incluso si solicitas información para que tus usuarios se suscriban a tu Blog o a tu sistema de compra, debes cumplir con esta regulación, pues estás solicitando datos personales como el nombre, el correo electrónico y otros, con los que puedes identificar fácilmente a una persona.
Seguramente también estés interesado en el RGPD, el Reglamento General de Protección de Datos de la Unión Europea en vigor desde 2016.
¿Tienes dudas? Es normal; son muchos datos. Desde Xplora te ayudamos a cumplir todas las normativas desde tu Web :-)
Dejar un comentario