¿Conoces cómo le impacta la nueva ley de protección de datos a tu empresa?

La nueva normativa sobre protección de datos ha entrado en vigor el pasado 25 de mayo de 2018 y afecta a todos los ciudadanos europeos. Las empresas que posean datos de dichos ciudadanos europeos han de cumplir con esta normativa, desde empresas pequeñas y medianas hasta empresas de gran tamaño como Amazon, Apple, Google y otras. ¿Cómo afecta esto de la protección de datos a las empresas o a los negocios? ¿tienes todos los requisitos para cumplir con la normativa?

La ley de protección de datos (LOPD) se referencia también por sus siglas en inglés (General Data Protection Regulation) y por sus siglas en español RGPD (Reglamento General de Protección de Datos). Aunque esta normativa entró en vigor en 2016, han sido dos años los que han tenido las empresas para adaptarse a ella, cuyo cumplimiento es ya de carácter obligatorio. ¿El objetivo de esta normativa? Proteger los datos de las personas, permitir a los ciudadanos conocer quién tiene sus datos, cuales tienen y cómo se utilizan, y a actuar sobre los mismos de forma más sencilla y efectiva.

La normativa protege los datos de carácter personal, entendidos como cualquier información relativa a una persona física identificada o identificable. Hay muchos datos que lo permiten ya sean de la propia persona, como de su empleo, su patrimonio, su educación, ideología, salud, características personales, físicas o hábitos de vida.

Algunos de estos datos son:

• Datos sobre la propia persona: nombre y apellidos, dirección, número de teléfono, dirección de correo electrónico o email, fecha y lugar de nacimiento, edad, DNI o documento nacional de identidad, pasaporte, firma, estado civil, nacionalidad, dirección IP, imagen o foto de la persona, etc.
• Datos sobre su empleo: Puesto profesional, dirección de su puesto de trabajo, email de trabajo, teléfono profesional, etc.
• Datos sobre su solvencia patrimonial: datos de información fiscal, datos bancarios, datos de deudas, créditos, hipotecas, etc.
• Datos sobre su ideología: afiliación sindical, religión, afiliación política, sociedades u organizaciones a las que pertenece, etc.
• Datos sobre su educación: Títulos, certificados, formación recibida, etc.
• Datos sobre su salud: enfermedades, tratamientos, de salud, historial médico clínico, información psicológica o psiquiátrica, vida sexual, etc.
• Características físicas: color de piel, etnia o raza, señales particulares, etc.

Esta normativa exige el consentimiento explícito del usuario para que las empresas puedan utilizar sus datos personales. Hasta ahora, el consentimiento no era explícito, sino tácito y por defecto al informar nuestros datos aparecía una casilla con el check marcado indicando la cesión de nuestros datos personales. Bien, esto ya no es posible. Ahora es el usuario el que debe marcarla en caso de estar de acuerdo para dar su consentimiento. Además, los menores de 16 años necesitan ya permiso paterno.

¿Qué pasa con las empresas que obtuvieron datos personales antes de que entrase en vigor la nueva normativa? Pues que tienen que renovar el consentimiento y solicitarlo de nuevo de modo que sea inequívoco, claro y distinguible de otros asuntos, acompañado de unas cláusulas de privacidad expresadas en un lenguaje claro y comprensible.

Es esta la causa de que hayamos recibido tantos y tantos correos electrónicos solicitando consentimiento de muchas empresas y webs que tenían nuestros datos, aunque en algunos casos ni siquiera recordáramos el momento en el que los habíamos dado.

¡Atención! La ubicación de la empresa no importa en estos casos, ya que deben tener el consentimiento de todos los usuarios que sean ciudadanos que residen en la Unión Europea, independientemente de que la empresa se ubique en Europa o no. De este modo, si tu empresa ofrece bienes o servicios a ciudadanos europeos, deberás cumplir con la normativa, independientemente de que tu actividad implique pago por parte del usuario, sea una actividad en la nube o incluso un buscador o red social.

Las empresas deben ser capaces de asegurar los derechos que las personas tienen sobre sus datos. Para ello es necesario que los almacenen de forma adecuada para que puedan ser rápidamente accesibles, y de este modo que permita responder a la nueva normativa, donde se requiere que se puedan modificar, borrar, crear y mostrar sin restricciones.

La nueva normativa trae consigo una serie de derechos que merece la pena entender y que vamos a ver en detalle, ya que nos interesan tanto desde el punto de vista de usuario como de empresa. Además, también viene acompañada de una serie de derechos para los ciudadanos europeos.

Este es uno de los derechos más nombrados en todas las noticias, y es que ya ha habido varias sentencias que han obligado a algunas empresas a eliminar los datos de ciertos clientes y mantener su privacidad en la red. A partir de ahora una persona puede pedir que se eliminen sus datos personales, aplicado a los buscadores de internet.

El Tribunal de Justicia de la UE ya ha indicado que, si un usuario de internet lo desea, puede solicitar el borrado de sus datos personales, retirando su consentimiento al uso de sus datos. Sin embargo, no en todos los casos es posible, pues prevalece el derecho a la libertad de expresión e información, así como el interés público.

Un usuario puede solicitar a una empresa qué datos personales suyos poseen y cual es la finalidad de su uso, es decir, que información personal tienen y para que la usan. De ese modo, una persona puede solicitar a la empresa de forma gratuita una copia de sus datos de carácter personal en formato electrónico. La empresa está obligada a suministrar esta información (con una copia de los datos o con un acceso en remoto al fichero, por ejemplo) en un plazo máximo de un mes desde que se presenta a solicitud de dichos datos.

Este nuevo derecho permite a las personas poder recuperar los datos personales de su proveedor actual y cederlos a otro proveedor nuevo al que quiere cambiar y del que desea comenzar a recibir sus servicios. Por ejemplo, en el caso de cambiar de operador telefónico o de proveedor de servicios de internet, o de servicios digitales, entre otros. De este modo el cliente puede ceder sus datos directamente a la nueva compañía, sin tener tantos problemas de libertad en la portabilidad de un servicio. Y la nueva compañía puede comenzar con el tratamiento de los datos de ese cliente.

Si algo sucede con nuestros datos, el usuario ha de ser notificado e informado. Si una empresa sufre un robo de datos, un ataque ransomware, un ataque de un hacker o si simplemente pierde datos por error, entonces la compañía puede que vea como se ve comprometida la integridad y la seguridad de los datos personales de sus clientes. En estos casos, la ley establece que debe informar a las autoridades sobre esta brecha de seguridad que se ha producido, en un plazo no mayor de 72 horas. Además, debe tomar medidas en el asunto para solucionar ese incidente y proteger a sus clientes comunicándose de forma directa con ellos en los casos en los que les afecte directamente.

Una empresa que no quiera verse envuelta en una situación así no solo debe contar con una buena protección contra ransomware, sino con un buen protocolo de seguridad que permita tanto restaurar la información como saber actuar ante estas problemáticas y desagradables situaciones. Para ello es necesario que previamente la compañía se haya preocupado de hacer copias de seguridad para poder restaurar los datos en el menor tiempo posible y recuperar la normalidad cuando antes.

Si el cliente lo desea, puede contactar con la compañía o con la web que posee sus datos para actualizar sus datos, dar más información o corregir alguna errata.

Además, tiene pleno derecho a elegir el uso concreto para el que cede sus datos y dejar claro para cuales se no, es decir, en qué casos se opone. Por ejemplo, puede que quiera permitir que se usen para estudios estadísticos, pero no para recibir publicidad.

Algunas compañías crean perfiles de usuarios de forma automatizada para evaluar ciertos aspectos particulares y personales con fines de marketing, o para realizar predicciones o generar decisiones con efectos jurídicos negativos para las personas. En este aspecto la ley es muy clara y prohíbe el cruce de datos que genere estas decisiones. Hay que tener en cuenta que se prohíben las decisiones, no el tratamiento de los datos. Así como las decisiones basadas de forma única en este cruce de datos automatizado. Este derecho trae mucha controversia, especialmente con el auge del Big Data, por lo que hay que informarse al detalle, ley en mano con todos sus apartados, en el caso de que una empresa desee utilizar estos perfiles creados de forma automática.

El nuevo reglamento europeo de protección de datos afecta a las empresas, que han de tener una mejor gestión de los datos de carácter personal de sus clientes, así como ser capaces de responder a cada uno de los puntos que la nueva normativa ofrece. Las soluciones de protección y gestión de datos para organizaciones y empresas son fundamentales hoy en día para hacer frente a la LOPD.

Esta nueva ley viene para aportar claridad y protección para todos, eliminar o reducir los hechos fraudulentos en internet y dejar el control en el dueño de los datos, es decir, el ciudadano.

Toda empresa que no quiera recibir multas ni sanciones por incumplimiento de la LOPD ó GDPR debe adaptarse a estos cambios en la normativa. Pero esto no debe ser una lastra para las empresas, pues supone la oportunidad de distinguirse de su competencia aumentando la confianza y fidelidad de los clientes en lo que se conoce como las tres C: Confianza, Cumplimiento y Competitividad. Ha llegado el momento de que las empresas protejan mejor su seguridad y sus sistemas, servidores y datos.