Reglamento General de Protección

Guía básica de adaptación de las páginas web a la RGPD

El próximo 25 de mayo entra en vigor la nueva normativa sobre protección de datos. Resulta obvio que estas modificaciones afectan a las páginas web y tiendas online y a sus contenidos y que por lo tanto, es importante adaptarlas para evitar sanciones y multas.

Aquí te proponemos una guía básica para poder actualizar tu página web a la nueva norma vigente y evitar quebraderos de cabeza.

¿Qué es la RGPD?

Las siglas RGPD corresponden a Reglamento de Protección de Datos y más específicamente, el Reglamento de Protección de Datos que entrarán en vigor en todos los estados miembro de la Unión Europea el próximo 25 de mayo.

Su objetivo es que todos los estados miembro de la unión se rijan por el mismo marco legal en materias de protección de datos y para ello, todos los estados deberán arrimar el hombro en la labor de uniformización que llevan a cabo los organismos de la UE.

Esta nueva normativa que se aplicará por transposición a todas las páginas web que recolectan, almacenan y hagan uso de datos personales de residentes en la UE, afecta directamente al contenido y a la forma de las páginas web; las cuales deben actualizarse dentro de los parámetros de la nueva ley.

8 puntos importantes del nuevo RGPD

Cómo conseguir el consentimiento de los interesados

Cualquier tratamiento de datos tiene que apoyarse en una base que lo haga legítimo. Esta base puede ser de varios tipos:

  • Consentimiento
  • Relación de contrato
  • Intereses vitales del interesado o de otras terceras personas
  • Obligación legal para el responsable
  • Interés público o ejercicio de poderes públicos
  • Intereses legítimos prevalentes (tanto del responsable como de terceros a los que se comunican los datos)

En este aspecto, el nuevo RGPD no tiene ninguna novedad.

El consentimiento ha de ser «inequívoco»

Por definición, «el consentimiento inequívoco es aquel que se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa». 

En los siguientes supuestos el consentimiento, además de inequívoco, ha de ser explícito:

  • Tratamiento de datos especialmente sensibles.
  • Toma de decisiones automatizadas.
  • Trasferencias bancarias internacionales.

Desde la entrada en vigor del RGPD no se admiten formas de consentimiento implicito o por omisión, ya que se basan en la inacción del usuario.

Para obtener el consentimiento tenemos que tener en cuenta los siguientes puntos:

  • El mensaje debe ser fácilmente comprensible, para los individuos que están facilitando sus datos, con lenguaje claro y sencillo.
  • Debe de ser una declaración u otra acción afirmativa clara. No se puede dar por supuesto ni usar casillas ya pre marcadas en una Web.
  • Debe contener una lista exhaustiva con la información que debe proporcionarse a los interesados:
    • Responsable: identidad del Responsable del Tratamiento y sus datos de contacto.
    • Finalidad: descripción de los fines del tratamiento de la información.
    • Legitimación: base jurídica del tratamiento indicando la obligación o no de facilitar datos y las consecuencias de no hacerlo.
    • Destinatarios: previsión o no de cesiones y/o de transferencias a terceros países.
    • Derechos: explicación de cómo pueden ejercer los derechos.
    • Procedencia: fuente de los datos, sobre todo cuando sean procedentes del interesado.

Derechos de los interesados. Se amplían con dos nuevos derechos

Procedimiento para el ejercicio de los derechos de los interesados.

Nuevos derechos, además de los derechos ARCO

  1. Acceso
  2. Rectificación
  3. Supresión
  4. Limtación
  5. Portabilidad
  6. Oposición

Responsables del Fichero y Encargados del Tratamiento de los datos

El RGPD aporta 3 novedades en la relación entre responsables y encargados:

  1. Obligaciones específicas para los encargados.
  2. Los responsables eligen encargados que ofrezcan las garantías suficientes.
  3. Contenido del contrato de encargo, regulándose el contenido mínimo que debe tener.

Aparece la figura del Delegado de protección de datos

Esta figura es uno de los elementos claves del RGPD y un garante para el cumplimiento de la normativa en protección de datos en las organizaciones. Es conocida popularmente como DPO (en inglés, Data Protection Officer).

Debe Cumplir con las siguientes funciones:

  • Informar y asesorar al Responsable o al Encargado y a los empleados del RGPD.
  • Supervisar el cumplimiento del RGPD.
  • Ofrecer el asesoramiento que se le solicite acerca de la evaluación de impacto y supervisar su aplicación.
  • Cooperar con la autoridad de control.
  • Actuar como punto de contacto.

Protección de datos desde el diseño y por defecto

El Responsable del Tratamiento aplicará medidas técnicas y organizativas apropiadas para cumplir con el RGPD tanto:

  • A la hora de elegir los medios y aplicaciones que utilizará en el tratamiento de los datos
  • Como en el momento propio del tratamiento de los datos.

El manejo de la información debe ser preciso, claro y seguro en todo momento.

Se debe garantizar que:

  • Se solicitan y tratan los mínimos datos personales.
  • Se limitan al máximo posible los tratamientos.
  • Se conservan los datos el mínimo tiempo posible.

Registro de actividades y tratamiento

Responsables y encargados deberán mantener un registro de operaciones de tratamiento en el que se contenga como mínimo la siguiente información:

  • Nombre y datos de contacto del responsable o corresponsable y del Delegado de Protección de Datos si existiese.
  • Finalidades del tratamiento.
  • Descripción de categorías de interesados y categorías de datos personales tratados.
  • Transferencias internacionales de datos.

Obligación de comunicación de las violaciones de seguridad

Cuando se produzca una violación de la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.

La notificación ha de incluir un contenido mínimo:

  • La naturaleza de la violación.
  • Categorías de datos y de interesados afectados.
  • Medidas adoptadas por el responsable para solventar la quiebra
  • Las medidas aplicadas para paliar los posibles efectos negativos sobre los interesados.

Sanciones

Dependiendo del artículo del RGPD que se vulnere y siempre sin prejuicio del derecho de indemnización que el Interesado pudiera reclamar judicialmente, las sanciones impuestas pueden ascender de los 10 millones de euros (o el 2% como máximo del volumen de negocio total anual global) hasta los 20 millones de euros (o el 4% como máximo del volumen de negocio total anual global).

Pasos a seguir a la hora de actualizar tu web

Las pautas a seguir a la hora de adaptar tu web a la RGPD son las siguientes:

  1. Utiliza la herramienta RGPD facilitada por la administración para registrar el tratamiento de datos. La Agencia Española de Protección de Datos sabrá que lo haces con el fin de adaptarte a los nuevos procedimientos.
  2. Otorga tu consentimiento de manera expresa para poder ceder tus datos personales. Deberás hacerlo a través de un acto afirmativo claro y no de manera tácita (como podías hacerlo cuando operaba la LOPD).
  3. Presta información de manera gradual y por capas a los usuarios que visiten tu página con el fin de tomar decisiones de manera posterior y resultante. Debes prestarles información clara e inequívoca.
  4. Se requiere un mayor cuidado a la hora de escoger proveedores. Esto significa que deben seleccionarse los proveedores dependiendo de su nivel de adaptación a la nueva normativa o a la Privacy Shield (en caso de residir en los Estados Unidos).
  5. Debes tener en cuenta los nuevos derechos que aparecen con la transposición del nuevo Reglamento de Protección de Datos. Estos derechos son el derecho al olvido, el derecho a la portabilidad y el derecho a la limitación del tratamiento.
  6. Teniendo en cuenta estos nuevos derechos, revisa todos tus contenidos y asegúrate de que facilitas este tipo de información, de que las identidades y datos personales no están expuestos sin ningún tipo de consentimiento expreso y de que los datos que proporcionan tiene una base y una justificación jurídica.
  7. Refuerza el consentimiento e incluye opciones para evidenciar que es expreso, inequívoco, verificable y específico.

Beneficios de tener la web actualizada con la normativa RGPD

Los beneficios principales que aportará la adaptación a tu negocio o a tu web son los dos siguientes:

  1. Te permitirá eludir multas y sanciones por incumplimiento de la normativa. Tener una web ilegal no es agradable para nadie y actualizando la tuya regularizarás tu situación y prescindirás de potenciales problemas o litigios. Esto os aportará a ti a tu web una tranquilidad y una estabilidad que a través de otras herramientas no conseguirías.
  2. Tendrás una web más respetuosa con los usuarios y con sus derechos. Esto mejora la imagen de cualquier empresa y hace que los clientes y usuarios confíen en tu web y en el contenido que publicas. Además, cuando los consentimientos y los derechos se expresan de manera clara e inequívoca, no cabe lugar a dudas a la hora de utilizar los datos de los usuarios y esto hace que no exista pretexto por el cuál no puedas valerte de ellos.

Fuente: Agencia Española de Protección de Datos