El 25 de mayo de 2018 las actualizaciones de las normas de protección de datos que afectan a los estados miembros de la Unión Europea entran en vigor. Esto siginifica que todos aquellos que residan en la UE, o tengan previsto almacenar algún tipo de información personal de ciudadanos de la UE (a cambio de productos, servicios o acciones) deben adaptarse a los nuevos términos y regulaciones de privacidad digital.

¿Qué es el RGPD (GDPR de sus siglas en inglés)?

RGPD son las siglas de “Reglamento General de Protección de Datos personales” de los usuarios, y es el nuevo reglamento que regula el tratamiento de datos personales a escala europea.

¿A qué afecta el RGPD y qué datos abarca?

El RGPD se aplica a todo tipo de tratamiento de datos personales. Y por tratamiento de datos se entiende cualquier operación o conjunto de operaciones aplicadas a información o a conjuntos de datos personales y realizadas por medios automatizados o no automatizados.

Según las reglamentaciones europeas, a los datos personales pertenece cualquier información relacionada con una persona física (persona natural) identificada o identificable. Esto puede ser literalmente todo: una pieza de datos o una cantidad de datos que se combinan para crear un registro de una persona. En la UE, los datos personales también incluyen una “subcategoría” de datos personales confidenciales, lo que se refiere a:

  • Origen racial o étnico
  • Opiniones políticas
  • Creencias religiosas o filosóficas
  • Membresía sindical
  • Datos de salud
  • Vida sexual u orientación sexual, etc.

Los datos personales confidenciales deben protegerse mejor que los datos personales regulares. La divulgación de los datos personales confidenciales suele tener consecuencias más graves.

En el RGPD se utiliza un significado ampliado del término “datos personales”, que incluye:

  • Datos genéticos
  • Datos biométricos (como reconocimiento facial o inicios de sesión con huella digital)
  • Datos de localización
  • Datos seudonimizados
  • Identificadores en línea (IP,cookies, IDs de cuentas de usuarios, IDs de dispositivos móviles,…).

Por otro lado, hay que tener en cuenta que el RGPD se aplicará cuando:

  • El establecimiento del responsable o del encargado del tratamiento de datos está en la Unión Europea.
  • El establecimiento del responsable o del encargado del tratamiento de datos no está en la Unión Europea, pero los interesados residen en la Unión.

En otras palabras, tanto si tu empresa está establecida en la Unión Europea como si no, el reglamento se aplica a la gran mayoría de las empresas.

¿Qué tengo que hacer para adaptarme a las exigencias del RGPD?

A continucación vamos a exponer una lista de fases que debes revisar y tener en cuenta para tratar de adaptarte al nuevo reglamento. Ten en cuenta que lo que vamos a exponer a continuación debes tomarlo como una orinetación y no como un procedimiento. Nuestro objetivo es la concienciación sobre la nueva norma y la orientación sobre su adecuación:

1.- REVISAR LOS TEXTOS LEGALES

Asegurate de contar con unas políticas de privacidad adecuadas, donde aparezcan reflejados claramente, al menos, quién es el responsable de los datos que se obtienen a través de tu plataforma, cuál es la finalidad de dichos datos, donde se van a alojar esos datos, que derechos tienen los usuarios para con sus datos personales una vez facilitados (Acceso, rectificación, supresión y portabilidad) y los procedimientos para ejercer dichos derechos.

2.- ESTABLECER UN CONTRATO CON LOS POSIBLES ENCARGADOS DEL TRATAMIENTO DE LOS DATOS

En cuanto a la posesión de datos personales, el RGPD de la UE define dos partes principales: responsables del tratamiento y encargados del tratamiento.

  • Un responsable es la persona u organización que decide qué datos se recopilan y cómo se usan. El que solicita los datos.
  • Como un encargado del tratamiento, una persona o una entidad procesa los datos en nombre del responsable. Por ejemplo un autorespondedor que aloja y opera con los datos que ha solicitado el repsonsable.

El encargado del tratamiento, textualmente según el RGPD:

  • tratará los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a las transferencias de datos personales a un tercer país o una organización internacional, salvo que esté obligado a ello en virtud del Derecho de la Unión o de los Estados miembros que se aplique al encargado; en tal caso, el encargado informará al responsable de esa exigencia legal previa al tratamiento, salvo que tal Derecho lo prohíba por razones importantes de interés público;
  • garantizará que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad o estén sujetas a una obligación de confidencialidad de naturaleza estatutaria;
  • asistirá al responsable, teniendo en cuenta la naturaleza del tratamiento, a través de medidas técnicas y organizativas apropiadas, siempre que sea posible, para que este pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados;
  • a elección del responsable, suprimirá o devolverá todos los datos personales una vez finalice la prestación de los servicios de tratamiento, y suprimirá las copias existentes a menos que se requiera la conservación de los datos personales en virtud del Derecho de la Unión o de los Estados miembros;
  • pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

Es algo fundamental en la adecuación de tu negocio online, asegurarte de que todas las empresas o profesionales con los que colaboras y sean consideradas como “encargados de tratamiento” cumplan también con el RGPD.

El RGPD exige diligencia en la contratación de colaboraciones, por tanto, es importante que analices tus relaciones con todos aquellos con quien compartas datos de clientes, suscriptores, empleados, como los proveedores informáticos, moderadores freelance, gestoría, etc.

Deberás tener firmados contratos específicos con las nuevas disposiciones del RGPD.

3.- REVISAR LOS FORMULARIOS EN LOS QUE SOLICITES INFORMACIÓN PERSONAL

Estos formularios pueden ser desde el formulario de registro de usuario, el formulario de compra, el formulario de contacto, formulario de edición del perfil, o cualquier otro formulario en el que solicites información considerada como personal.

En todos y cada uno de ellos debes contar con un elemento que garantice la voluntariedad y el consentimiento consiciente y expreso del usuario al facilitar los datos que se solicitan en dicho formulario.

Esto normalmente se consigue añadiendo un checkbox (IMPORTANTE: no puede estar marcado de manera predeterminada) en el que se exprese la aceptación y consentimiento de nuestras pólíticas de privacidad.

El RGPD habla de 2 capas de información, algo parecido a lo que se viene haciendo con las políticas de cookies (un aviso inicial que notifica del uso de cookies con un enlace a mas información [página de *Políticas de Cookies*]),

La primera capa se corresponde con un texto bajo el formulario en cuestión en el que se detalle brevemente lo que comentamos antes: quién es el responsable de los datos que se obtienen a través de tu plataforma, cuál es la finalidad de dichos datos, donde se van a alojar esos datos, que derechos tienen los usuarios para con sus datos personales una vez facilitados (Acceso, rectificación, supresión y portabilidad) y los procedimientos para ejercer dichos derechos.

Un ejemplo para un formulario de contacto:

Mi Empresa S.L. te informa que los datos de carácter personal que nos proporcionas serán tratados por Mi Empresa S.L. como responsable de esta web. La finalidad es para resolver tu dudas o inquietudes, sin ninguna finalidad comercial. Tu legitimación se realiza a través de tu consentimiento. Debes saber que los datos que nos facilitas estarán ubicados en la dirección de correo electrónico info@miempresa.com. Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@miempresa.com así como el derecho a presentar una reclamación ante una autoridad de control. Para más información consulte nuestra Política de Privacidad.

La segunda capa ya sería la representada por la propia página de Políticas de Privacidad, donde ya se explicarína en mas detalle estas mismas y el resto de aspectos relacionados con este tema.

► IMPORTANTE: Debes disponer de pruebas de la obtención y de la revocación del consentimiento de tus clientes así como del ejercicio efectivo de sus derechos.

Si utilizas un autorespondedor para almacenar la información de tus usuarios deberás preguntar al servicio técnico de tu servicio donde o como almacenar estas pruebas.

Si trabajas con PrestaShop en la versión 1.7 solo tienes que instalar el módulo “Official GDPR Compliance by PrestaShop (1.7)” que puedes encontrar directamente en la pestaña “Selección” de la sección de módulos de tu PrestaShop buscando el término “RGPD“.

Si trabajas con PrestaShop 1.6, también existe un módulo oficial desarrollado por PrestaShop pero este no es gratuito y deberás adquirirlo aquí.

Por último comentar que la Agencia Española de Protección de Datos ha preparado una herramienta que nos va a ayudar en el tránsito de la LOPD a la RGPD a todos aquellos que solo solicitamos información personal básica. Puedes acceder a ella haciendo clic en el banner siguiente:

(*) Nota final

Estas recomendaciones te ayudarán a adaptar tu negocio online al nuevo reglamento. Seguirlas no garantiza en ningún caso que los sitios web se ajusten a las nuevas obligaciones que impone el RGPD. Además, es tu responsabilidad tomar todas las acciones necesarias para asegurarte de que cumples el reglamento.