¿Conoces las obligaciones de la LOPD y el RGPD?
Si tienes una página web, un blog, una tienda online o suscriptores a una newsletter, seguro que has tenido que ponerte al día con la LOPD y el RGPD para actualizar tu política de privacidad y cookies. Pero, ¿sabes si está adaptada a la nueva normativa europea? ¿Conoces las consecuencias de no implementarla? Te lo contamos a continuación.
Obligaciones de la nueva Ley de Protección de Datos (LOPD) y el Reglamento 2016/679 General de Protección de Datos (RGPD)
Para ajustar el Reglamento 2016/679 de 25 de mayo de 2018, al marco jurídico nacional, las Cortes Generales aprobaron a finales de año la Ley Orgánica 5/2018, de 5 de diciembre, de Protección de Datos y garantía de los derechos digitales.
Entre las principales novedades, destacamos las siguientes que afectan directamente a los usuarios.
- Los usuarios tienen derecho a conocer el registro de actividades de tratamiento de datos personales de las organizaciones públicas.
- Los usuarios tienen derecho a ser informados del tratamiento de sus datos personales y de las vías para acceder, rectificar, suprimir, limitar el tratamiento, así como a la portabilidad y oposición.
- Los órganos y organismos públicos podrán verificar la exactitud de los datos personales sin necesidad de solicitar el consentimiento del interesado.
- Sin una base legitimadora previa, el usuario debe manifestar voluntariamente, de forma libre, específica, informada e inequívoca, que acepta el tratamiento de sus datos personales, ya sea mediante una declaración o una clara acción afirmativa. Se excluye el consentimiento tácito o por omisión.
- Las personas vinculadas a un fallecido por razones familiares pueden solicitar el acceso, rectificación o supresión de los datos personales de la persona fallecida, salvo que ésta lo hubiese prohibido expresamente en vida o así lo establezca una ley.
- Los usuarios pueden registrarse en las “Listas Robinson” para evitar la publicidad no deseada a través de los canales posta, telefónico o electrónico.
- Cualquier persona puede solicitar que se supriman los datos que él mismo ha publicado en las redes sociales y otros servicios de las plataformas sociales. Incluso, solicitar la supresión de los datos que le conciernan y hayan sido facilitados a terceros (nunca cuando se han compartido en el ejercicio de actividades personales o domésticas).
¿Y qué cambios afectan directamente a las entidades públicas y privadas?
- Las organizaciones públicas deberán explicitar quién trata los datos personales, con qué finalidad y bajo qué base jurídica legitima ese tratamiento.
- Las empresas deben facilitar a los usuarios una vía de acceso para ejercer sus derechos sobre los datos personales.
- No es necesario que el particular consienta el tratamiento de sus actos personales si existe otra base jurídica que legitime el tratamiento.
- El Delegado de Protección de Datos Personales será la figura responsable de las empresas de atender a los ciudadanos. Éste comunicará a los usuarios la decisión adoptada antes de un plazo máximo de 2 meses.
- Los trabajadores tienen derecho a la intimidad en el lugar de trabajo frente al uso de dispositivos de videovigilancia y de grabación de sonidos, así como frente al uso de los dispositivos digitales y sistemas de geolocalización, de los que deberán ser informados de manera expresa, clara e inequívoca.
Régimen sancionador del RGPD
La Agencia de Protección de Datos en España, en adelante la AEPD, será la responsable de imponer multas e indemnizaciones a las personas jurídicas y físicas que incumplan los requisitos definidos por la Unión Europea para proteger los datos privados de los usuarios.
Según el artículo 83.2 del RGPD, “las multas administrativas se impondrán, en función de las circunstancias de cada caso individual, a título adicional o sustitutivo de las medidas contempladas en el artículo 58, apartado 2, letras a) a h) y j).”. Es decir, la AEPD dispondrá de todos los poderes correctivos para advertir, ordenar, sancionar e imponer las medidas que considere necesarias para proteger la privacidad de los datos de los usuarios.
El rango de multa puede llegar hasta un máximo de 20 millones de euros o un 4% de la facturación global anual de tu empresa, sobre todo, cuando las vulneraciones estén relacionadas con los principios básicos del tratamiento, los derechos de las personas interesadas o las transferencias internacionales de los datos personales destinadas a terceros.
Básicos para saber si tienes adaptada tu espacio digital
- Tener un aviso legal visible donde los usuarios puedan leer los términos y condiciones generales de navegación.
- Explicar en la política de privacidad los datos personales que se recopilan y cómo se utilizan.
- Qué y cómo se utilizan las cookies en la web, blog y/o tienda online.
- Incluir en los emails un mensaje de protección de datos.
- Solicitar la autorización del consentimiento por parte de los usuarios.
- Incluir la solicitud de consentimiento en los formularios.
- Tener un espacio u archivo donde se almacenen los consentimientos de las personas.
- Adaptar el espacio de comentarios al RGPD.
Si tienes alguna duda sobre las obligaciones de la LOPD aprobada el pasado mes de diciembre de 2018, consúltanos sin compromiso y te asesoraremos.