Qué es el RGPD


A solo un mes de un cambio legislativo que cambiará la forma en la que nos relacionamos con la información de los demás, pero ¿qué es el RGPD? ¿Por qué debería importante?

Ya sabemos que internet es una especie de jungla infinita de información personal. Los que trabajamos en entornos digitales, sabemos que la materia prima de nuestro trabajo son los datos personales.

Todos nos esmeramos por llegar a más personas, atraerlas a nuestra marca, fidelizarlos, convertirlos en suscriptores, en clientes y luego en embajadores. Todo este proceso implica recabar, procesar, desmenuzar y gestionar muchísima información personal, sin saber muchas veces qué derechos debemos respetar y cuáles son las reglas de juego a la hora de tratar esa información personal.

El RGPD, o reglamento europeo de protección de datos, son las reglas de juego que debes conocer y respetar para poder gestionar información personal de otros.

¿Por qué una nueva regulación ahora?

El RGPD es un reglamento que armoniza las regulaciones de todos los estados miembros de la unión europea y se impone sobre las regulaciones legales de cada país, en nuestro caso, la LOPD.

Desde luego, hacía falta una armonización legal europea que permitiera un comercio digital integrado y seguro para que todos los que operamos en entornos digitales contemos con un marco legal único y común para todos.

Y esto, por supuesto, nos obliga a una transición.

¿Qué cambia respecto a la LOPD?

El RGPD plantea nuevos desafíos que cualquier profesional o empresa puede transformar en oportunidades si concibe su acatamiento desde el punto de vista estratégico de negocio, en lugar de poner el foco en el cumplimiento normativo por temor a las sanciones, como ocurrió (y ocurre) con la actual LOPD.

El principal cambio es el enfoque: El RGPD propone un cambio de enfoque sustancial en la manera de abordar la protección de datos:  este cambio de enfoque se origina en el mayor autogobierno que otorga el RGPD a las personas sobre su propia información personal y esto implica un cambio muy importante en la forma de informar y recabar el consentimiento que se impone a los responsables, para poder procesar datos y en más derechos que atender, como:

  • El derecho a que se informe adecuadamente y prestar consentimiento o no con lo informado antes de requerir cualquier tipo de dato personal.
  • El derecho a la transparencia informativa, esto implica ofrecer a usuarios y clientes, información completa y clara sobre el uso de su propia información personal, desechando fórmulas legales farragosas e incomprensibles para el ciudadano medio.
  • Garantizar un acceso fácil de todos los que te aportan sus datos personales a la información que les concierne.
  • El derecho al olvido y al de oponerse incluso al uso de datos personales a efectos de establecimiento de perfiles.
  • El derecho a limitar el uso de nuestra información personal a determinadas finalidades.
  • El derecho a la portabilidad de los datos de un prestador de servicios a otro.

También se exige a las empresas y profesionales una implicación más proactiva y comprometida con la seguridad para que puedan ofrecer una respuesta eficaz a las nuevas amenazas que plantean los entornos digitales.

La carga de la prueba será un factor decisivo en el nuevo reglamento:  ya no basta con hacerlo bien o hacer que cumplimos, hay que ser capaz de demostrarlo. Todas las acciones deben ser verificables y esto también marca un antes y un después de la gestión de la información. Toda acción debe ser verificable, ya no basta con que hayas declarado unos ficheros y tengas un documento de seguridad, el órgano controlador te exigirá evidencias de cumplimiento que todo profesional o empresa deberá poder aportar, como medidas de seguridad implantadas, consentimientos acreditables, mecanismos informativos claros, accesibles y completos al servicio de nuestros clientes o suscriptores, etc.

A modo esquemático, estos serían los principales cambios.

¿Por qué debería importarme?

Si tratas datos personales, debes saber gestionar también la confianza de las personas que te confían esa información.

No puedes tratar datos personales de otros si no conoces las reglas de juego y los derechos que debes respetar, es como tener un restaurante y que tu cocinero no tenga un certificado de manipulador de alimentos, eso es impensable, ¿verdad?  lo mismo ocurre con los datos, si tratas datos, debes saber hacerlo conforme a la regulación que los protege.

Al mismo tiempo, la gestión de la confianza en un potente factor diferenciador, de tu capacidad de proyectar mayor confianza sobre tu competencia depende en gran parte, tu diferenciación.

Eres un buen gestor de confianza cuando consigues aportar certezas y reducir la incertidumbre de sus clientes o potenciales clientes.

¿Cómo se consigue esto?

Dejando evidencias claras de tu compromiso y responsabilidad con la información que les estás requiriendo, por ejemplo:

  • Siendo transparente a la hora de informar.
  • Siendo respetuoso al requerir permiso siempre antes de tratar la información.
  • Demostrando seriedad y responsabilidad a la gestionar la información de otros con medidas de seguridad claras en todos tus procedimientos y en las herramientas que utilizas.
  • Poniendo a disposición de tus clientes mecanismos sencillos para que estos puedan ejercitar sus derechos.

En párrafo corto ¿Qué debería hacer para cumplir con el RGDP?

  1. Diagnóstico inicial de todos los focos de entrada/tratamiento de datos personales que recabas en tu actividad, la organización, la gestión y almacenamiento de la información y las medidas de seguridad actuales.
  2. Registro de actividades del tratamiento (RAT): Crear un Registro, por escrito, de cada Actividad de Tratamiento de datos personales realizada bajo tu responsabilidad. Este registro deberá tener un formato electrónico, tal y como el RGPD en su apartado 30.3 señala. En este registro deberás describir qué datos se recogen y de quién, con qué fin se tratan, a quién se comunican y si se transfieren a terceros países, qué medidas técnicas y organizativas se aplicarán, y cuándo se suprimirán.
  3. Aplicar medidas de seguridad técnicas y organizativas: que garanticen el cumplimiento normativo de la nueva LOPD y el RGPD. Estas medidas deben garantizar un nivel de seguridad adecuado para asegurar la confidencialidad, integridad, disponibilidad y resiliencia de los servicios y sistemas de información.
  4. Responder al deber de información y consentimiento: Debes realizar una revisión general de las cláusulas informativas y de los mecanismos para recabar el consentimiento para el tratamiento de datos, en base a los medios y canales que utilices. También debes revisar los consentimientos de los tratamientos obtenidos con anterioridad a la aplicación del RGPD, ya que, a diferencia de la LOPD, no se admiten formas de consentimiento tácito o por omisión.
  5. Adecuar tu página web: Textos del aviso Legal, Política de Privacidad y política de Cookies, todos los sistemas de captura de información y de los mecanismos (doble opt-in) para legitimar el consentimiento en la recogida de datos, el deber de información o que acrediten la identidad del usuario si fuese necesario.
  6. Regularizar las relaciones con colaboradores: Adecuación de las cláusulas a incorporar en los contratos de servicios en donde se recojan las obligaciones de los colaboradores en la materia de manera de protección de datos. También deberás requerir garantías de cumplimiento del RGPD (principio de diligencia debida en la selección de encargados del tratamiento).
  7. Atender a los Derechos de los interesados o afectados: Generar mecanismos destinados a atender los derechos de las personas relacionas con tu actividad y establecer los procedimientos de gestión y de respuesta para cada uno de ellos.
  8. Generar un protocolo para Incidencias y brechas de seguridad: tendrás que disponer de un procedimiento de notificación de las quiebras de seguridad que puedan producirse. Notificación que podrá estar dirigida tanto a tus Clientes, como a las Autoridades de protección de datos o a los interesados/afectados.

Y la pregunta del millón ¿Cómo puedo cumplir con estos requisitos?

En LEXblogger, hemos desarrollado [eafl id=”3183″ name=”Lex Blogger precios” text=”la solución”]  que le permitirá a profesionales y PYMES   cumplir con todas y cada una de estas exigencias y realizar una puesta a punto legal al RGPD de forma ágil, sencilla y económica, sin perder rigor, sin renunciar a la personalización.

Se trata de un software de gestión que permite generar toda la documentación, procedimientos y mecanismos informativos que necesita cualquier profesional o empresa para adecuarse al RGPD:  registro de tratamientos, modelos de ejercicio de derecho, contratos de encargo de tratamiento, contratos de confidencialidad, modelo de notificación de brechas, textos legales para la web, todos adecuados al RGPD.

Hasta aquí el artículo de Marina.

A continuación iré recopilando más información sobre el RGPD o GDPR con el fin de aclararte lo máximo este asunto.

Así, te dejo un vídeo de Sage que creo que puede ayudar de forma más visual a entender qué es el RGPD.

YouTube video

Marina Brocca

Marina Brocca

Consultora RGPD LEXblogger
Ilustración de Aprender WordPress gratis en mi canal de youtube

Aprende gratis en mi canal de Youtube

En 2024 he vuelto a Youtube para liberar todo mi conocimiento de estos años formando diseñadores web.
Únete al canal
Inicia sesión

Sólo los socios del club de expertos pueden utilizar esta funcionalidad.