Uno de los aspectos más complicados a la hora de abordar un proyecto online es sin duda la parte legal. Es muy difícil, sin el asesoramiento adecuado, cumplir con todas las obligaciones legislativas que son inherentes a todo proyecto digital. Ser legales, no es fácil. El impacto que las diferentes normativas tienen sobre un negocio puede, en ocasiones, determinar la viabilidad del mismo.

Además, el incumplimiento de normas, que a priori nos pueden parecer nimias, como por ejemplo, no incluir el archiconocido aviso de cookies, puede acarrear multas muy elevadas.  Este fue el caso de la empresa Lolabits, que con sede en Chipre, fue sancionada por la Agencia de Española de Protección de Datos con una multa de 5.000 euros, por no recabar el consentimiento del afectado en el uso de cookies. Y estamos ante una sanción de las consideradas leves.

Es importante contar con un buen asesoramiento legal a la hora de emprender cualquier proyecto online, ya que son múltiples las leyes que deberemos de cumplir, locales, nacionales e internacionales y que pueden variar dependiendo de la naturaleza del negocio. No obstante, hay que tener presente que no todos los despachos de abogados sirven para asesorar en materia de nuevas tecnologías. Tenemos que contratar letrados especializados y que cuenten con experiencia.

El nuevo Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos, conocido por sus siglas en español RGPD o en inglés GDPR (General Data Protection Regulation), son una serie de normas establecidas por la Unión Europea y encaminadas a reforzar las políticas nacionales de protección de datos, como ocurría en el caso de España, con la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD). Tiene como fin el aumentar y homogeneizar la regulación entre estados de la unión en esta materia.

Este reglamente tiene una repercusión tan importante que merece la pena centrarnos en su contenido de forma especial.

Pero, ¿qué es un dato de carácter personal?

Un dato de carácter personal se compone de cualquier información relacionada con las personas físicas identificadas o identificables. Es decir, cuya identidad pueda determinarse con un dato (el nombre, el DNI, el email…) o con uno o varios elementos propios de la identidad genética, física, económica, social, cultura, fisiológica o psíquica del individuo. También contempla datos de salud, financieros, biométricos, afiliación sindical, convicciones religiosas, opiniones políticas, sexuales o biométricos si sirven para identificar de manera unívoca.

Esto afecta a toda las organizaciones que recopilen datos, no solo a las empresas. El Tribunal de Justicia de la Unión Europea decretó que los Testigo de Jehová, pese a ser una organización religiosa, tiene que cumplir la norma igualmente, con las mismas obligaciones, de informar y solicitar consentimiento, que el resto de entidades, a la hora de ir recabando datos puerta a puerta.

Las novedades de la RGPD vs LOPD

Muchas empresas ya habían implementado, o al menos conocían, la normativa española a la que obligaba la LOPD, pero como suele pasar con estas Leyes posteriores, tendremos que tener en cuenta algunas novedades. Estas son sólo algunas de las novedades que la RGPD impone frente a la anterior norma.

  • El consentimiento. Es una de los aspectos más importantes. Anteriormente se podía permitir el consentimiento tácito. Se entiende en este caso, que si el usuario no se opone, está, por defecto, aceptando las cláusulas que se le presentan. Por el contrario, a partir de la implantación de la RGPD el usuario debe aceptar de forma explícita y la entidad tiene que ser capaz de demostrar este hecho.
  • Los derechos de los usuarios se ven incrementados. Si antes una persona contaba con su derecho de acceso, el de rectificación, el de oposición y cancelación (denominados ARCO), ahora además se le añaden otros como el de la portabilidad de datos.
  • Antes existía un responsable de seguridad, ahora esta figura se denomina Data Protection Officer (DPO). En algunos casos es obligatorio, aunque recomendable contar con un DPO en todos los casos. Su formación tiene que ser amplia en protección de datos y también disponer de nociones de Derecho.
  • Si las multas antes oscilaban entre 900€ y 60.000€, dependiendo de la gravedad, ahora, y por si no fueran suficientes, se han incrementado, pudiendo llegar las sanciones hasta 20.000.000€ o el 4% del volumen de negocio total anual global.
  • La LOPD obligaba a realizar un registro de los ficheros de datos de carácter personal, indicando su finalidad y su propietario. Eso se ha cambiado por un registro interno con el que deben contar las entidades.
  • Otra novedad es la obligación de notificar a la autoridad de control cualquier brecha de seguridad que se produzca en los sistemas antes de 72 horas y en algunos casos también a los usuarios.
  • El nivel de datos personales sensibles que en la LOPD lo formaban, entre otros, los datos sanitarios, sobre creencias religiosas o de origen étnicos, se ven incrementados con los datos biométricos y los genéticos.
  • La LOPD no obligaba a realizar un Privacy Impact Assessments (PIAs) mientras que la nueva normativa si. Este procedimiento es obligatorio para aquellas organizaciones que procesen datos considerados de alto riesgo para los derechos y libertades de las personas.
  • La GDPR hace especial hincapié en el lenguaje transparente a la hora de explicar como se va a usar y procesar la información por parte de las organizaciones. Cuanto más clara, sencilla y directa sea la comunicación con los clientes, mejor.
  • Todos los formularios que recojan datos, por ejemplo las webs o las apps, tienen que tener las cajas necesarias para que el usuario pueda decidir que permisos concede y cuales no. Se tiene que evitar pedir permisos innecesario y también evitar agrupaciones obligatorias. Es decir, si tenemos un formulario que envía un curriculum al departamento de recursos humanos no tiene sentido pedirle autorización para enviar publicidad de nuestros productos y aún menos que para enviar el formulario tenga obligatoriamente que aceptar esta condición.

Hubo determinados aspectos, como el del consentimiento explícito, que supuso un auténtico quebradero de cabeza para infinidad de compañías. El resultado fue una recepción masiva de correos en una misma semana, solicitando a los usuarios su consentimiento de forma expresa para seguir tratando sus datos. Aquí se juntaron la falta de previsión y el desconocimiento. Fue dos años antes cuando se presentó la norma, que tendría vigor a partir del 25 de mayo de 2018. Durante este plazo la gran mayoría de empresas no hicieron nada, dejándolo todo para última hora.

A inicios de dicho mes se calculó que el 87% de los afectados no estaban familiarizados con la norma. El resultado fue la saturación de los usuarios con correos requiriendo permisos, casi siempre con la finalidad del envío de comunicaciones comerciales. Como era de esperar, la mayoría de los casos terminaban en la basura.

Además de el hecho de no anticiparse, hubo que añadir el desconocimiento de la norma y el miedo a las sanciones. Lo que hizo que las compañías solicitaran permiso de nuevo a los usuarios. Esto no era necesario para todos los casos. Si el consentimiento se había recabado de forma tácita si era necesario volver a solicitarlo. Pero muchas empresas que habían obtenido dicha autorización de forma expresa y ya estaban cumpliendo con la RGPD, con lo que era innecesario volver a solicitarlo. El caso es que estos correos pidiendo nuevamente el permiso acababan también en la basura. Con lo que acabaron perdiendo un consentimiento que ya tenían previamente y que podían usar legalmente.

Tal fue el desconcierto inicial, que muchas páginas de países ajenos a la Unión Europea decidieron bloquear su tráfico a los usuarios comunitarios para evitar problemas. Este fue el caso de medios como Los Angeles Times,  Chicago Tribune, New York Daily News o The Baltimor Sun. Al acceder a sus páginas sólo se podian leer mensajes como el siguiente: “Por desgracia, actualmente nuestra página web no está disponible en la mayoría de los países europeos. Estamos trabajando para evaluar opciones que nos permitan garantizar nuestra oferta completa de productos digitales para el mercado europeo. Seguimos en la búsqueda de soluciones técnicas adecuadas para que nuestro prestigioso periodismo siga llegando a todos los lectores“.

Un aspecto muy importante para cumplir esta normativa es la de formar a los empleados. De nada sirve tener un protocolo corporativo que cubra la GDPR si en el día a día los empleados no son conscientes de los riesgos de la toma de datos de forma contraria a la norma. Por ejemplo, apuntando datos personales en un papel. Concienciar y hacer participes de la responsabilidad corporativa de los trabajadores en la gestión de los datos de carácter personal es vital para evitar futuras sanciones.

¿Qué principios se tienen que cumplir con la RGPD?

  • Principio de limitación de la finalidad. Los datos que recogemos se tienen que usar para unos fines determinados, explícitos y legítimos, sin poder darle un uso diferente. Cuando obtenemos el permiso tenemos que dejar clara la finalidad.
  • Principio de minimización de datos. No se pueden pedir datos por pedir y por si acaso en el futuro nos hacen falta. Los datos que se soliciten tienen que ser exclusivamente los necesarios para una finalidad.
  • Principio de exactitud. Los datos tienen que ser correctos, contando con los procedimientos necesarios para hacer actualizaciones de los mismos, en caso de ser necesario, de la forma más rápida.
  • Principio del plazo de conservación. El tiempo durante el que se almacenan los datos tiene que ser únicamente el necesario. Se tiene que informar al usuario de cuál es el plazo y se tiene que destruir una vez pasado.
  • Principio de integridad y seguridad. Se tiene que garantizar la seguridad de los datos. Impidiendo cualquier uso ilícito o no adecuado de los mismo. Además evitando su perdida o destrucción de forma accidental. Se tienen que establecer los procedimientos necesarios para estar protegidos ante cualquier amenaza, exterior o interna.
  • Principio de responsabilidad proactiva. Se tiene que cumplir este principio y poder demostrarse. Se tienen que implementar medidas, indicadas en la RGPD, que garanticen el cumplimiento de esta norma.

¿Qué derechos tienen los usuarios?

Los usuarios deben poder ejercer sus derechos de forma gratuita. En el caso de recibir solicitudes infundadas o repetitivas el responsable podrá cobrar una cantidad o negarse a responder. Las respuestas deben de proporcionarse en un plazo inferior a un mes. Solo en el caso de un número amplio de solicitudes o que estas sean muy complejas se podrá prorrogar dos meses más este plazo.

Siempre tenemos que informar cuales son los medios para que las personas ejerciten sus derechos. Si la empresa no procesa una petición, tiene que informar, como muy tarde en un mes, del motivo de su no actuación a la Autoridad de Control pertinente. El usuario puede reclamar su derecho personalmente o usando un representante legal o un voluntario.

El derecho de acceso

Este primer derecho permite al usuario solicitar si la organización está tratando o no datos personales del sujeto. En caso de ser así esta es alguna de la información que se puede solicitar:

  • Copia de los datos personales de los que dispone la empresa.
  • La finalidad del tratamiento de los mismos.
  • La categoría en la que se enmarcan dichos datos.
  • A quien se comunican los datos, especialmente en el caso de ser facilitados a terceros o a empresas del grupo.
  • Si es posible, el plazo de conservación. Si no es posible, los criterios usados para determinar dicho plazo.
  • En caso de no haber sido obtenidos directamente de la persona afectada, el origen de los datos.
  • Si se toman decisiones automatizadas con dichos datos, como la elaborción de perfiles. En dichos casos informar de la lógica aplicada y de la repercusión de dicho tratamiento.
  • Si se transfieren datos personales a un tercer pais o a una organización internacional, se tiene que informar de las garantias que se ofrecen en dicha transferencia.

El derecho de rectificación

Se podrán modificar los datos, sin dilación indebida, en caso de ser inexactos. Puediendo completarse aquellos datos personales que no lo estén.

El derecho de oposición

Por el cual el usuario se opone a que el responsable trate los datos personales en los siguientes casos:

Cuando la finalidad sea una misión de interés público o interés legítimo, incluida la elaboración de perfiles. Salvo que se acredite motivos imperiosos que prevalezcan sobre los intereses, derechos y libertades del interesado, o para la formulación, el ejercicio o la defensa de reclamaciones.

Cuando lo que se pretenda sea elaborar perfiles o acciones de mercadotecnia directa

Una vez que la persona ejercita este derecho, ya no se podrán tratar los datos personales para tal fin.

El derecho de supresión (Derecho al olvido)

Se podrá suprimir los datos cuando ya no sean necesarios para la finalidad para la que fueron tratadas o se les haya dado un uso diferente.

Si se retira el consentimiento para su uso, siempre que no haya otra causa que legitime su mantenimiento.

Si se tiene que cumplir con una obligación legal establecida en el Derecho de la Unión o de los Estados miembros.

Existe una relación con el llamado derecho al olvido. Con lo que la obligación que impone este derecho a los responsables de tratamiento que hayan hecho públicos datos personales esteń obligado a notificar a los responsables terceros del tratamiento que estén utilizando tales datos personales que supriman todo vínculo a ellos, además de las copias de tales datos.

Este derecho al olvido tiene como principal objetivo la eliminación de datos de los motores de búsqueda, como Google o Bing. Es habitual en casos de personas que han tenido investigaciones judiciales y de las cuales no quieren dejar rastro en el ciber espacio.

Este derecho no es ilimitado ya que existen diferentes casos en los que no será posible eliminar los datos. Por ejemplo, por imperativo legal, para el ejercicio de la liberta de información y de expresión, para fines de investigación cientifica o histórica o por interés público.

El derecho al olvido permite su ejercicio directamente ante los buscadores y no necesariamente ante la fuente original de la información.

El derecho a la limitación del tratamiento de tus datos

Se trata de un nuevo derecho, el cual plantea dos escenarios.

El primero, solicita al responsable la suspensión del tratamiento de los datos. Esto ocurre bien cuando se impugna la exactitud de los datos, durante un plazo que permita al responsable del tratamiento su comprobación o bien cuando se oponga al tratamiento de datos realizado en base al interés legítimo o misión de interés público, mientras se comprueba que motivación prevalece sobre la otra.

El segundo escenario es cuando se requiere que los datos sean conservados. Es el caso del tratamiento ilícito de datos y oponiendote a la supresión de los datos, se solicita la limitación. También cuando el responsable no requiera los datos para su finalidad estipulada pero el interesado lo requiera para el ejercicio o la defensa de reclamaciones.

El derecho a la portabilidad de tus datos

Se trata nuevamente de una incorporación al listado de derechos de los que gozan las personas. Cuando el tratamiento se realice por medios automatizados, se podrán solicitar los datos personales en un formato de uso común, estructurado, de lectura mecánica e interoperable. La finalidad es poder enviarlo a otro responsable del tratamiento.

El derecho a no ser objeto de decisiones individualizadas

Este derecho quiere evitar las situaciones en las que una organización puede tomar decisiones exclusivamente por el tratamiento de los datos. A esto tenemos que sumar la elaboración de perfiles, que produzca efectos jurídicos sobre la persona.

Este último punto hace referencia a cualquier forma de tratamiento de tus datos que analice aspectos personales, como por ejemplo datos referidos con preferencias o intereses personales, la salud, el rendimiento laboral o la situación económica.

También existen excepciones en la aplicación de este derecho. Por ejemplo, si es requerido para celebrar o ejecutar un contrato entre la persona y el responsable. También cuando exista un consentimiento prestado previamente.

Pero incluso en estos casos, la persona afectada siempre puede solicitar la intervención humana, expresar su punto de vista e impugnar la decisión.

El interés legítimo, ¿qué es?

Antes he mencionado el interés legítimo. Este es un termino que ha motivado infinidad de discusiones sobre su alcance. Pero para hacernos una idea del concepto este sería aquella finalidad que es obliga, por ejemplo, para llevar a cabo un contrato. Si yo quiero hacer una venta online de un producto físico, necesito que el cliente facilite sus datos de envío. Sino los proporciona o pide su supresión no se puede realizar el envío y por tanto no se puede ejecutar el contrato.

Por ejemplo, ¿puedo publicar fotografías en las redes sociales de clientes o empleados?

Según un expediente de la Agencia de Protección de Datosse deduce que la imagen de una persona (en este caso su fotografía) ha de ser considerada como dato de carácter personal y su tratamiento sometido a la citada Ley Orgánica, por lo que, con carácter general, no será posible su utilización o cesión si el interesado“. Esto quiere decir que cualquier derecho que una persona tenga sus datos personales se hace extensible a sus fotografías. ¿En qué se traduce esto?

Primero, que no podemos publicar fotografías de nadie (clientes, empleados, etc.) sin su consentimiento expreso en ningún sitio, ni en nuestra web ni en nuestras redes sociales. Un caso habitual es el de discotecas que comparten en Facebook fotografías de sus clientes divirtiéndose o en un photocall. Esto, cumpliendo la norma, no se puede hacer sin un documento que acredite que todos los participantes que salen en la fotografía han autorizado dicha publicación.

Pero el problema es mucho mayor. Imaginemos que un cliente ejerce su derecho de acceso. Tendremos que informarle de todas las redes sociales en que sale su fotografía, con lo que tendremos que tener identificada a la persona en cada una de las imágenes que aparece. Y si no informamos, y el sabe que está publicado en una red, algo facil al ser un medio publico, nos puede denunciar, gratuita y cómodamente desde la web de la Agencia de Protección de Datos, simplemente adjuntando una prueba evidente del incumplimiento de la obligación de acceso. Esto casi seguro que terminará con una sanción.

Pero además, si nos ha dado su permiso ¿lo puede revocar? Por supuesto, es otro derecho que tiene todo ciudadano en lo relativo a sus datos personales, con lo que puede solicitar cuando quiera que lo borremos. Tocará entonces buscar entre todas nuestras publicaciones, hasta dar con la del sujeto y proceder a su eliminación. Si hemos compartido la foto en diferentes redes, tendremos que hacer esta misma acción en todas las redes pertinentes.

¿Y grabar en video?

Los vídeos son similares a la fotografía, nuevamente son datos personales. Pero tienen su propio tratamiento y sus limitaciones. No es lo mismo un vídeo promocional que una grabación de seguridad. Pero estas también tiene unas líneas rojas que no pueden cruzar. Ejemplo es la sanción que se impuso a El Corte Inglés de Las Palmas de Gran Canaria por enfocar sus cámaras de seguridad hacia la calle, como recogen medios nacionales. La Sección Primera de la Sala de lo Contencioso-Administrativo confirman la sanción de 40.001 euros impuesta por la Agencia Española de Protección de Datos rechazando los argumentos de la compañía, que alegaba motivos de seguridad. La empresa instaló las cámaras pese a que “conocía las limitaciones existentes para la grabación de imágenes en vías publicas y, a pesar de ello, no adoptó las precauciones precisas para evitar que se produjera captando espacios públicos“, con lo que según la Sala de lo Contencioso-Administrativo se comentieron excesos y un tratamiento innecesario.

A continuación puedes leer el siguiente artículo de la trilogía Leyes II: Más legislación en España

Deja un comentario