¿Qué es GDPR?: La nueva ley europea de protección de datos
GDPR es una normativa que regulará la protección de datos de los europeos a partir del 25 de mayo de 2018. Este reglamento pretende fortalecer los derechos de privacidad de las personas. Introduce, como novedad, el derecho a la portabilidad de los datos personales, que significa que los clientes pueden elegir libremente compartir con cualquier empresa los datos personales que hayan recabado otras marcas con las que están vinculados.
GDPR es un reglamento que sustituye a la anterior Directiva de protección de datos de 1995 y que obligará a modificar la actual LOPD (Ley orgánica de protección de datos española), y que busca mejorar la seguridad y protección de los datos de los consumidores. Para ello, impone nuevos requisitos para las compañías que operan en Europa en todos los sectores.
El consentimiento para el tratamiento de los datos adquiere una importancia crucial con esta regulación. A partir de este momento, será imprescindible para la portabilidad de los datos. También será necesario en determinadas ocasiones para procesar datos personales.
¿Qué cambia GDPR?
Esta normativa amplía el alcance de la legislación europea sobre protección de datos, abarcando empresas no europeas que ofrezcan bienes y servicios a residentes en Europa.
Además, las firmas pasan a ser totalmente responsables de la gestión de datos personales: la protección será una parte fundamental del diseño de todos los procesos de datos y están obligadas a configurar sus servicios con la máxima seguridad por defecto.
Asimismo, las multas para las empresas por infracciones en la protección de datos se incrementan notablemente, y pueden llegar a cifras considerables (hasta un 4% de la facturación global anual de la compañía en cuestión).
De hecho, aquellas empresas en las que el tratamiento de datos forme parte fundamental de su negocio principal están obligadas a incorporar la figura del Delegado de Protección de Datos (DPO).
Las tres claves de GDPR
- Consentimiento
Para el tratamiento de cierto tipo de datos será necesario obtener el consentimiento del afectado, que deberá ser específico, informado, inequívoco y, en algunos casos, explícito.
El consentimiento no será necesario cuando el tratamiento de los datos por parte de la empresa obedezca a un interés legítimo. Por ejemplo, actividades de marketing directo, para la mejora de actividad, o la prevención de fraude.
- Transferencia de datos y derecho al olvido
GDPR, como novedad, establece el derecho a la portabilidad y el derecho al olvido. De esta forma, un consumidor puede pedir a una empresa que le entregue todos los datos personales de los que esta compañía dispone sobre él/ella.
Estos datos deben transmitirse en un formato estructurado, de uso común y legible por máquina, directamente a las otras empresas (a petición del consumidor) cuando sea técnicamente factible. En cuanto al derecho al olvido, es el derecho del titular de un dato personal a borrarlo, eliminarlo o bloquearlo.
- Seguridad y trazabilidad
Para determinados procesos de datos, deben crearse mecanismos de certificación definidos por ley, dirigidos a disminuir el riesgo legal e incrementar la confianza de los clientes.
¿Qué significa que se trate de un reglamento?
Los reglamentos son actos legislativos vinculantes, es decir, deben aplicarse íntegramente sin que sea necesaria su transposición a la regulación nacional. Estas normativas pasan a tener rango de ley en todos los estados miembros en el momento de su entrada en vigor (en algunos casos con periodos de transición).