El pasado 25 de mayo entró en aplicación el nuevo Reglamento General de Protección de Datos (679/2016), reglamento de alcance europeo que deroga la Ley de Protección de Datos Personal (LOPD). Desde entonces, buena parte de los ciudadanos nos hemos visto desbordados con correos electrónicos y mensajes sms solicitando aceptación de consentimiento para conservar nuestros datos. La nueva normativa sugiere una protección de datos más uniforme, además de una protección por igual de los derechos fundamentales de las personas en todo el continente europeo. Aun así, ¿qué ganamos y/o perdemos con este Reglamento? ¿Por qué hemos esperado tanto a tomar medidas al respecto, cuando en países como Alemania y Francia ya están trabajando en la uniformización de la protección de datos desde hace un año? Patricia Julià, abogada con más de 18 años de experiencia en el mundo de la empresa y propietaria de la asesoría Seinprodat, se encargó de resolver las dudas de los profesionales de la belleza presentes en la charla del pasado 14 de mayo, conducida por la periodista Anna León.
De entrada, la nueva ley es muy similar a la que había, aunque ha evolucionado en ámbitos vinculados a las redes sociales, blogs y foros en opinión de Julià. "Esta ley se empezó a trabajar en el Parlamento Europeo en el año 2012. Voy a ser muy positiva con esta normativa porque me parece muy lógica: la anterior no lo era. Además, es positiva porque apuesta por la uniformidad, incluso en todo lo que hace referencia a sanciones económicas. Una vez nos adaptemos, debemos estar atentos a todo lo que tenga relación con blogs y redes sociales, donde habrán muchos cambios", avanzó.
Entre los cambios significativos, Julià destacó: no es necesario inscribir los ficheros en la Agencia Española de Protección de Datos, no existe un nivel de datos (bajo, medio y alto) y tampoco se debe hacer un documento de seguridad. En la actualidad, únicamente hay datos identificativos en general y de categoría especial, básicamente sobre el estado de salud de una persona. "En algún momento podéis recabar datos de categoría especial relacionados con vuestros clientes. Por ejemplo, cuando les preguntáis si tienen alguna alergia a determinados productos o tintes. Mi consejo en estos casos es que no conservéis esta información, sino guardar únicamente lo que no se le puede aplicar a esa persona. De esta manera, ya no tenemos la información de esa alergia, sino que ya tenemos en cuenta los productos que no se le pueden poner", recomendó.
Además, el nuevo Reglamento contempla la figura del Delegado de Protección de Datos, básico para compañías que tratan un gran volumen de datos y aquellas que poseen datos sensibles (de salud. Alergias, intolerancias, etc.). Todas estas compañías deben contratar una persona responsable de llevar a cabo un control de los tratamientos que realiza la empresa, velando por la seguridad de los datos y el buen uso de los mismos.
La empresa, responsable del tratamiento de los datos
El nuevo Reglamento Europeo introduce el principio de Responsabilidad Proactiva o Accountability que consiste en cada persona es responsable y por lo tanto cumple con la normativa. Pero no solo eso: además, lo debe demostrar en su día a día. "Antes habían ficheros de datos, niveles de seguridad y más vigilancia y trabas administrativas. Esto ahora ha desaparecido", aseguró. Por lo tanto, desaparecen las auditorías bianuales y ahora se habla de la responsabilidad proactiva. La empresa debe cumplir con la normativa de Protección de Datos de manera continua y actualizada y probar este cumplimiento delante de la autoridad competente.
La nueva normativa sugiere una protección de datos más uniforme, además de una protección por igual de los derechos fundamentales de las personas en todo el continente europeo.Como responsable de los datos, la empresa tiene la obligación de adoptar las medidas técnicas y organizativas de seguridad necesarias para garantizar la integridad, disponibilidad y confidencialidad de los datos.
Dos grandes pilares: el consentimiento y el derecho a la información
La nueva normativa se asienta en dos pilares. El primero, el derecho a la información que consiste en explicarle a nuestro cliente cómo vamos a utilizar sus datos. "Es necesario que nos identifiquemos, ya que el destinatario debe saber quien recoge sus datos. Y se le debe dejar claro con qué finalidad recopilamos esa información. Por ejemplo, prestar un servicio (facturas, albaranes, etc.), enviarle información comercial y/o promocional (newsletters, bonos descuento, etc.) y subir fotografías suyas a nuestras redes sociales, por citar unos ejemplos", detalló Julià. El segundo pilar se refiere a la obligación de disponer del consentimiento del cliente para cada tratamiento que hagamos de sus datos, sea cual sea la finalidad del mismo. "Podemos contar hasta con tres consentimientos de esa persona o incluir todos los consentimientos en un solo documento. Es suficiente incluir varias casillas que nos autoricen a usar los datos con finalidades distintas", sugirió.
En un principio, estos procedimientos pueden parecer complicados de adoptar, pero en realidad no es así. Una vez asimilada la normativa, todos seremos más conscientes de que nuestros datos se tratan de forma correcta y, en el fondo, esto le gusta a la mayoría de los usuarios, en opinión de la experta. El consentimiento puede ser un documento por escrito o también vía correo electrónico, solicitando la autorización de la persona que lo reciba. Julià nos da algunas pautas al respecto: "Cuando contactemos con clientes potenciales o actuales, es obligatorio enviar un e-mail de presentación, preguntándoles si quieren recibir nuestra información y si les podemos incorporar a nuestra base de datos. Si no podemos demostrar que tenemos ese consentimiento, no debemos conservar esos datos. El motivo: no contamos con la autorización pertinente".
Consentimiento expreso para el tratamiento de datos en redes sociales
El derecho a la protección de datos es fundamental y prevalece sobre el de propiedad y creación artística. Es preciso indicar dónde se va a publicar una imagen (en web, blog o redes sociales), ya que el impacto no es el mismo. "Debemos especificar y obtener un consentimiento expreso para subir una fotografía o un vídeo a las redes sociales, dada la expansión de las mismas", sugirió.
El nuevo Reglamento Europeo introduce el principio de Responsabilidad Proactiva o Accountability que consiste en cada persona es responsable y por lo tanto cumple con la normativa.La página web debe constar de un aviso legal, una política de privacidad y otra de cookies. En cuanto a venta on-line, a través del portal, la normativa exige unas buenas condiciones de venta y uso.
Puntos mínimos para cumplir con la normativa
- Adaptación de las cláusulas informatives sobre el tratamiento de datos a la nueva normativa.
- Obtención del consentimiento por escrito que autorice a tratar los datos de una persona.
- Elaboración del Documento de Registro de Actividades de Tratamiento, donde se reflejan las medidas de seguridad, tanto técnicas como organizativas, y los flujos de tratamiento de datos, etc.
- Regularización de contratos con terceros que accedan y/o traten datos de la entidad. Ahora deberán proporcionar garantías y certificar que cumplen con la normativa. Si no existe la certeza de que cumplan, la entidad puede ser la responsable de ceder datos a una persona jurídica que no cumple con la Protección de Datos.
- Se debe informar a los afectados sobre la finalidad de sus datos y sus derechos de acceso, rectificación, oposición y cancelación, supresión y portabilidad.
- En el caso de que la empresa disponga de página web, esta debe incluir una política de privacidad, aviso legal, cláusulas a formularios de solicitud de información, altas a boletines informativos, etc.
- Obtener la autorización y el consentimiento expreso de clientes y otros para colgar información o imágenes en las redes sociales. Sin consentimiento no se puede hacer.
Toda esta documentación tiene carácter obligatorio sin excepción y se deberá presentar debidamente confeccionada en caso de requerimiento o inspección de la Agencia Española de Protección de Datos.