El Reglamento General de Protección de Datos (RGPD) de la UE entró en vigencia el 24 de mayo de 2016. Después de un período de transición de dos años, el mismo comenzará a aplicarse efectivamente el próximo 25 de mayo de 2018 para todas las empresas que comercialicen productos dentro de la Unión Europea, incluso si dichas empresas tiene residencia legal fuera de la UE. Este periodo de dos años tiene como objetivo permitir que los Estados de la Unión Europea, las Instituciones y también las empresas y organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.
El Reglamento sigue el enfoque de la Directiva de protección de datos, pero, basándose en 20 años de legislación de protección de datos de la UE y jurisprudencia relevante, que aclara y moderniza las normas en este ámbito. La protección de datos en la UE ha sido un mosaico compuesto por una amplia gama de distintas regulaciones que difieren de un país a otro dentro de la Unión. El objetivo del RGPD es armonizar el procesamiento de datos personales por parte de las organizaciones y crear así igualdad de oportunidades para la competencia dentro de la UE.
El Reglamento también se aplica a firmas fuera de la UE siempre que su procesamiento de datos afecte a las personas que viven en la Unión Europea.
La creación de igualdad de oportunidades entre las empresas que operan en la UE es la principal ventaja de la nueva regulación. Sin embargo, también se debe mencionar que el RGPD no nivela todas las diferencias nacionales ya que el reglamento contiene cláusulas de apertura, que permiten que aspectos específicos de la protección de datos sean resueltos por separado por cada país. En este sentido el RGPD es tanto un reglamento como una directiva.
-Cambios más significativos del Reglamento General de Protección de Datos:
Según el RGPD, el procesamiento de datos requiere consentimiento. Esto se otorga si la persona involucrada presta su consentimiento y está directamente de acuerdo con el procesamiento de datos, el procesamiento de datos está indicado para el cumplimiento de contratos u obligaciones legales o si existe un interés legítimo en el procesamiento de datos. En términos más exactos, esto significa que los datos disponibles públicamente se pueden usar con fines de marketing cuando se adquieren nuevos clientes. Este interés legítimo implica que la recopilación de datos es necesaria para las actividades de comercialización planificadas y que no entra en conflicto con los intereses legítimos de los interesados. En teoría, por lo tanto, no se pueden recopilar y procesar todos los datos a menos que estén vinculados a un propósito específico.
Esto lleva a un aspecto importante del RGPD: la limitación de propósito. Los datos procesados solo pueden procesarse para el propósito original. Esto significa que una solicitud por correo electrónico con respecto a una oferta no otorga el derecho de utilizar esta dirección de correo electrónico para otros fines de marketing, como por ejemplo boletines informativos.
Las regulaciones introducidas por el RGPD incluyen muchas que fortalecen los derechos de las personas que viven en la UE. Aquí dos elementos centrales son el derecho de acceso y el derecho a la cancelación de datos, también llamado “derecho al olvido”. Las personas afectadas pueden solicitar una copia de sus datos guardados por la empresa que les concierna. Los datos se deben proporcionar al solicitante en un formato de archivo estándar previa solicitud. Si no existe un motivo legal para el procesamiento posterior de los datos, estos deben eliminarse a petición del interesado. Esto también se aplica a los datos que son de dominio público.
También existen obligaciones para las empresas con respecto al cumplimiento de las normas de transparencia de la información impuestas por el RGPD. En la práctica, esto significa que todos los textos legales (consentimiento, términos de uso, etc.) deben actualizarse. Además de los datos de contacto de los responsables (incluido el responsable de la protección de datos, por ejemplo), debe proporcionarse una gran cantidad de información:
Propósito y base legal del procesamiento de datos
Destinatarios de la transferencia de datos (si se transmiten a terceros)
Periodo de almacenamiento
Información sobre los derechos de acceso, rectificación, cancelación, restricción de procesamiento, portabilidad de datos y derecho a objetar
Fuente de los datos (si los datos no fueron recopilados directamente)
Indicación de si el interesado está obligado legal o contractualmente a proporcionar datos
Información sobre si los datos se utilizan para realizar perfiles
El RGPD también implica nueva documentación y requisitos de informes. Las medidas organizativas y técnicas para la seguridad de los datos deben tomarse y documentarse de forma adecuada. Si hay filtraciones de datos, se deben informar a la autoridad de supervisión y a los interesados en un plazo de 72 horas.
En general, se puede decir que el GDPR ofrece a las empresas nuevos derechos y obligaciones. En cualquier caso deben implementarse para mayo de 2018 y evitar así posibles sanciones.
Más información:
http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php
Photo by : Darpa. Source: Wikimedia commons
by