Blog Ciberseguridad

Los nuevos derechos del RGPD

Desde hace unas semanas no paran de mandarnos emails donde las empresas nos piden actualizar las políticas de privacidad, diciendo que quieren mejorar la transparencia para que entendamos mejor qué datos personales recopilan de nosotros, cómo se procesan y saber qué control tienen de los mismos.

La razón es que el nuevo Reglamento Europeo de Protección de Datos (RGPD) será de obligado cumplimiento a partir del próximo 25 de mayo. Las empresas ya no podrán hacer lo que quieran con los datos, como por ejemplo venderlos a terceros. La nueva normativa restringe mucho el uso que se hace de ellos.

Para empezar, se limita la finalidad de nuestros datos y sólo podrán ser recogidos y tratados para el objetivo para el cual se recabaron, es decir, no se recopilarán datos porque sí, y se tratarán aquellos mínimos y necesarios.

Además, las organizaciones no podrán usar datos recopilados sobre sus clientes sin consentimiento tácito y “libre, informado, especifico e inequívoco”. Ósea ya no vale el consentimiento por omisión y todos los datos antiguos que no se hayan obtenidos de esta forma ya no podrán ser usados a partir del próximo día 25.

Así que las empresas se verán obligadas a adaptar sus procesos y protocolos internos a la nueva normativa, que persigue que nuestros datos personales se procesen a un nivel de protección muy superior al que había actualmente.

También se introducen nuevos derechos: de limitación de tratamiento, portabilidad y supresión (éste último también llamado “derecho al olvido”), que se unen a los que ya existían por la anterior Ley Orgánica de Protección de Datos (LOPD 15/1999) conocidos como derechos ARCO: Acceso, Rectificación, Cancelación y Oposición.

  • Limitación en el tratamiento: que cuando se deba pedir consentimiento al ciudadano para tratar sus datos éste deba darlo de forma inequívoca, excluyendo el consentimiento tácito.
  • Portabilidad: que una persona que haya proporcionado sus datos a un proveedor de servicios podrá solicitar la recuperación y traslado de esos datos a otra plataforma.
  • Supresión: que sustituye y amplía el actual derecho de cancelación, es decir, el derecho a la supresión “sin dilación” de los datos personales.

Como explica la Agencia Española de Protección de Datos, la normativa europea otorga a los ciudadanos una mayor protección. “Actualiza y refuerza los derechos de los ciudadanos sobre su información personal, cambia la forma en que las organizaciones gestionan la protección de datos, debiendo adoptar medidas conscientes, diligentes y proactivas”, explica la institución.

RESPONSABILIDAD Y GRAVES MULTAS POR NO PROTEGERLOS

Las empresas se convierten en protagonistas con la nueva normativa europea. No son sujetos pasivos, a partir de ahora recae sobre ellas el principio de responsabilidad proactiva, es decir, además de hacer cumplir con la obligación de hacer valer esos derechos también tienen la obligación de acreditar que estas medidas se cumplen.

De modo que será cada organización la que determine cuáles son los niveles de riesgo en los que incurre y las medidas que, en su opinión, debe adoptar para garantizar que la información de cualquier persona está correctamente custodiada y es utilizada de forma correcta.

A pesar de los dos años de tiempo que ha dado la Unión Europea como periodo de adaptación al RGPD y de las altas multas que contemplan, de hasta 20 millones de euros, todavía hay empresas que no se han puesto las pilas o que creen que el nuevo reglamento no va con ellas.

Hay que recordar que cuando hablamos de “datos” se refiere a cualquier información que pueda servir de forma directa o indirectamente para identificar a una persona: foto, email, detalles bancarios, dirección postal, datos en redes sociales, información médica o IP alojada en sus ordenadores o dispositivos…. Y, en general, todas las empresas almacenan y tratan dichos datos.

El RGPD trae muchos nuevos cambios con respecto a la anterior normativa. “Las empresas deberán adaptarse según su naturaleza y el tratamiento de datos que realicen, ni todas son iguales ni todas necesitan las mismas medidas para ajustarse al nuevo reglamento”, explican desde Wellness Telecom, empresa especializada en digitalización.

Desde luego, pocas organizaciones están exentas de actualizarse y tomar medidas. Ante la duda, lo mejor es optar por un profesional externo para saber cuales son las más adecuadas y eficaces.