Jose María Baños
El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) entró en vigor el 25 de mayo de 2016, y será de obligado cumplimiento el 25 de mayo de 2018.
Esta norma nace con la vocación de garantizar en la UE la aplicación de los derechos y libertades de las personas físicas en relación con el tratamiento de datos de carácter personal para que se lleve a cabo de forma homogénea en todos los estados miembros.
Desde Letslaw, abogados especializados en protección de datos y nuevas tecnologías, nos gustaría explicarte las principales claves que introduce el RGPD, que deberán tener en cuenta todas las empresas que traten datos personales, las cuales deben estar adaptadas a esta nueva normativa en el momento de su aplicación.
Claves del nuevo Reglamento General de Protección de Datos (RGPD) en eCommerce
Entre las principales claves que trae el RGPD y que todo eCommerce debe tener en cuenta se encuentran las siguientes:
1. Ámbito de aplicación más amplio
El RGPD será de obligado cumplimiento para todas las empresas de la UE que realicen un tratamiento de datos de ciudadanos europeos. Asimismo, será aplicable a aquellas empresas establecidas fuera de la Unión Europea que tratan datos de ciudadanos europeos en relación con una oferta de productos o servicios ofrecidos a los mismos, o con el análisis de sus comportamientos dentro de la UE.
El 47% de las empresas creen que no podrá cumplir la nueva normativa de protección de datos (GDPR)
2. Deber de información
Las empresas deberán informar a los interesados específicamente acerca de las características de las transferencias internacionales, sobre el periodo de conservación de los datos, facilitar los datos de contacto del Delegado de Protección de Datos (en caso de que la empresa haya designado a uno) e informar sobre la base legal del tratamiento y sobre el derecho que asiste a los interesados para dirigir sus reclamaciones a las autoridades de protección de datos si consideran que sus datos se están tratando de forma desproporcionada.
3. Tratamiento de datos de menores
Respecto al consentimiento de los menores de edad, será licito prestarlo sin tutores cuando éstos tengan 16 años, aunque el RGPD deja abierta la posibilidad a cada esta miembro de establecer otros límites inferiores siempre que no sean inferiores a los 13 años.
4. Nuevos derechos para los interesados
El RGPD mantiene los derechos de Acceso, Rectificación, Cancelación y Oposición (Derechos ARCO) y además contempla nuevos derechos:
- Derecho de limitación del tratamiento: Con este derecho los interesados pueden solicitar que no se apliquen a sus datos personales las operaciones de tratamiento que en cada caso correspondan.
- Derecho al olvido: No es un derecho separado de los derechos ARCO, sino la consecuencia del ejercicio de los derechos de cancelación u oposición en el entorno online, que dará lugar al borrado de los datos personales.
- Derecho a la portabilidad de los datos: Este derecho supone que el interesado puede solicitar la recuperación de sus datos al responsable de tratamiento para su posterior transmisión a otra entidad.
5. Cambios relativos al consentimiento de los interesados para el tratamiento de datos personales
El RGPD establece que el consentimiento de los interesados al tratamiento de sus datos personales debe ser libre, informado, específico e inequívoco.
Se entenderá que el consentimiento es inequívoco cuando el interesado realice una acción afirmativa para consentir el tratamiento de sus datos personales (por ejemplo, haciendo click en una casilla que no esté marcada por defecto).
El consentimiento, además de inequívoco, ha de ser explícito en el caso de tratamiento de:
- Datos sensibles
- Adopción de decisiones automatizadas
- Transferencias internacionales
Por todo ello, aquellos consentimientos que se den por omisión o sean tácitos, serán contrarios a esta nueva normativa.
6. Restricción de las transferencias internacionales de datos
La transferencia de datos a un país fuera de la UE está limitada a aquellos países que ofrezcan una protección de datos adecuada.
7. Obligación de notificación de las brechas de seguridad
Se exige que las empresas en un plazo máximo de 72 horas a la Agencia Española de Protección de Datos cualquier violación de seguridad que suponga un riesgo para los derechos y libertades de los interesados.
8. Evaluaciones de impacto sobre protección de datos
Los responsables del tratamiento deberán realizar una Evaluación de impacto sobre la Protección de Datos antes de iniciar los tratamientos que puedan suponer un alto riesgo para los derechos y libertades de los interesados.
En concreto será obligatoria en la evaluación sistemática y exhaustiva de aspectos personales, como la elaboración de perfiles y sobre cuya base se toman decisiones y en el tratamiento a gran escala de las categorías especiales de datos.
9. Nueva figura del Delegado de Protección de Datos (DPO)
La nueva figura del Delegado de Protección de Datos (DPO) será obligatoria para aquellas empresas que realicen tratamientos que requieran una observación habitual y sistemática de los interesados a gran escala o cuando se lleve a cabo un tratamiento a gran escala de datos sensibles.
El DPO podrá pertenecer a la propia empresa o ser externo y deberá ser designado atendiendo a sus cualidades profesionales y conocimientos y práctica en materia de protección de datos.
10. Mayores multas
El RGPD aplica un régimen sancionador mucho más estricto, aumentando de forma considerable las sanciones. En concreto, el importe de las sanciones podrá llegar a alcanzar los 20 millones de euros o el 4% del volumen de negocios total anual del ejercicio financiero anterior.
Mantente informado de las noticias más relevantes en nuestro canal de Telegram