El próximo 25 de mayo entrará en vigor la nueva Ley de Protección de Datos, también llamada GDPR (Global Data Protection Regulation).
¿EN QUE CONSISTE LA GDPR?
La principal función de esta nueva normativa es la protección de los datos personales y regular la forma en la que las compañías trabajan con ellos. Supone un mayor compromiso de las empresas con la protección de datos, además de dar a las personas un mayor control sobre su propia información personal.
Gracias a ella se amplía la información que debe darse a los interesados sobre el tratamiento y los derechos que poseen de sus datos personales, y se imponen duras sanciones ante las posibles violaciones en la seguridad de protección de datos (que se deben notificar en un plazo máximo de 72 horas a la Agencia Española de Protección de Datos).
¿CÓMO AFECTA LA NUEVA LEY DE PROTECCIÓN DE DATOS A MI WEB?
La nueva Ley de Protección de Datos se aplicará a todas aquellas empresas de la UE que traten con datos personales, y también a aquellas empresas de fuera de la UE pero que por su actividad tratan con datos personales de ciudadanos de la UE.
En resumidas cuentas, si tu sitio web dispone de alguna herramienta que recoge datos personales de tus visitantes (un blog, un formulario de contacto o uno de suscripción etc) presta atención porque esto TE AFECTA.
A continuación vamos a enumerar una lista con las nuevas características y obligaciones que introducirá la nueva GDPR:
I. EL CONSENTIMIENTO
Se exige que el consentimiento de la política de datos sea libre e informado. Es decir, el visitante debe dar su consentimiento a la hora de facilitar sus datos y se le debe dar la opción de aceptar o no la política, poniendo de forma clara cómo van a ser utilizados sus datos.
Por otra parte, el consentimiento debe ser verificable. Esto quiere decir que las empresas que recopilen datos personales puedan probar que el consentimiento fue concedido.
II. ACCESIBILIDAD Y DATOS RESTRINGIDOS
La nueva Ley de Protección de Datos impedirá que las entidades cobren a los usuarios por tener acceso a sus propios datos.
También limitará la obtención de datos por parte de empresas externas, haciendo que no sea posible solicitar más datos que los estrictamente necesarios.
III. DERECHO AL OLVIDO
Esta nueva medida establece que los datos obsoletos de los clientes se borren con el paso del tiempo.
Además le otorga el derecho a los visitantes de solicitar que se borren sus datos personales cuando éstos ya no sean necesarios o se hayan obtenido de forma ilegal.
IV. DERECHO A LA PORTABILIDAD
Las personas tienen el derecho de mover, copiar o transferir sus datos a otra empresa.
Los usuarios también podrán solicitar una copia de sus datos personales guardados por las empresas.
V. AMPLIACIÓN DE LA INFORMACIÓN
Las empresas estarán obligadas a ofrecer información mas extensa a los interesados sobre el tratamiento y los derechos que poseen de sus datos personales.
VI. REGISTRO DE DATOS
Cuando la entidad cuente con más de 250 empleados o se traten datos sensibles será obligatorio llevar un registro interno de todos los tratamientos de datos personales que se llevan a cabo.
Cuando la empresa tenga menos de 250 empleados estará obligada a llevar el registro cuando los datos con los que trabaje sean:
- Especiales (relacionados con la salud, origen étnico, religión…)
- Condenas e infracciones penales
- Pongan en riesgo los derechos y libertades
VII. EVALUACIÓN DE IMPACTO
La Evaluación de Impacto en la Protección de Datos consiste en un análisis que nos permitirá conocer y tomar las medidas necesarias para reducir los riesgos y se encargará de controlar el impacto que pueden tener dichas iniciativas en la privacidad de los usuarios.
No es algo obligatorio para todas las empresas, pero la nueva regulación establece que SÍ lo será cuando exista:
- Alto riesgo: Cuando el tratamiento de datos entrañe un alto riesgo para los derechos y libertades de las personas.
- Evaluación sistemática: Cuando se evalúe aspectos personales de personas físicas sistemáticamente (como en la elaboración de perfiles).
- Tratamiento a gran escala de datos protegidos: Tratamiento de datos que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas etc y de datos personales relativos a condenas e infracciones penales.
- Tecnologías invasivas: Cuando existan tecnologías invasivas a la privacidad como videovigilancia, geolocalización, grabación con drones etc.
Las entidades que estarán obligadas a realizar este tipo de análisis son: farmacéuticas, hospitales y clínicas, empresas de seguridad privada y videovigilancia, comercializadoras de energía, colegios, y empresas que realizan E-commerce (tiendas online).
VIII. DELEGADO DE PROTECCION DE DATOS
El Delegado de Protección de Datos es una nueva figura que se crea gracias a esta nueva normativa. Servirá de enlace entre la empresa y la Agencia Española de Protección de Datos y se encargará de la planificación y gestión de las medidas de seguridad.
Solo será obligatorio en aquellos casos que así se indique en la Ley Orgánica de Protección de Datos.
¿CÓMO PUEDO ADAPTAR MI SITIO WEB?
Para que tu página web esté adaptada y cumpla con la nueva normativa tendrás que cumplir los siguientes puntos:
- Tener claro qué datos de tus usuarios necesitas recopilar.
- Modificar los formularios de contacto y suscripción de tu sitio web, añadiendo un checkbox para que tus usuarios acepten la política de privacidad, y acompañarlo de un texto que explique dicha política.
- Revisar las listas de la herramienta de email marketing que uses para asegurarte que tienen guardado la doble aceptación del usuario (por defecto la mayoría de estas herramientas como mailchimp incluye la confirmación de la gente que se suscribe a nuestras newsletters)
- Añadir textos en los formularios de contacto indicando que tu sitio cumple la normativa y los datos del usuario estarán protegidos.
Para más información o si deseas que nos encarguemos de adaptar tu sitio web a la nueva normativa, ponte en contacto con nosotros a través de [email protected]
