El Reglamento Básico Europeo de Protección de Datos hace responsables a dos tipos de actores: el responsable del tratamiento de datos y el encargado del tratamiento.

Para recordar: El responsable del tratamiento determina los fines y los medios de tratamiento aplicados a los datos personales.

Posteriormente, podrás designar a uno o más encargados del tratamiento para que actúen en determinadas fases del mismo, de acuerdo con los fines, en su nombre y bajo sus instrucciones. La RGPD también permite que los encargados sean considerados responsables.

Ejemplo:

¿Eres el encargado de Marketing, Gerente de Comunicaciones, Representante de Ventas, Gerente de Operaciones, Administrador de TI, Asistente Legal, Especialista en e-Commerce o el encargado de recursos humanos?

En caso afirmativo, seguramente desempeñas un papel en la finalidad y los medios de tratamiento aplicados a los datos personales en tu empresa. Sin embargo, es tu empresa, la entidad legal, y no tú como persona física la responsable del tratamiento. A menos que se demuestre que, personalmente, has actuado de forma independiente en la determinación de las finalidades y medios particulares del tratamiento de datos.

Trámites preliminares

A partir del 25 de mayo de 2018, se tendrán en cuenta dos principios fundamentales: la privacidad por diseño y la privacidad por defecto y la responsabilidad.

Protección de datos por defecto y por diseño

La protección de datos por diseño o por defecto es la necesidad de integrar sistemáticamente las medidas necesarias para garantizar la protección de los datos personales al crear un nuevo producto o servicio. Cualquier actor, en cualquier etapa del proceso de creación de un producto o servicio, debe cumplir con este principio.

Principio de responsabilidad

A esto se añade el principio de responsabilidad. Los responsables del tratamiento de datos personales y los subcontratistas también deben implementar procesos que garanticen la protección de los datos personales, y ser capaces de demostrar en todo momento su conformidad con la normativa europea (en otras palabras: Poder controlar y confirmar permanentemente la eficacia de estos procesos mediante documentación y medidas internas).

El alcance es el siguiente: Se aplica a los responsables y encargados del tratamiento establecidos en la Unión Europea (UE) y a los establecidos fuera de la UE que efectúan tratamientos destinados a suministrar bienes y servicios a personas de la UE o a controlar su conducta dentro de la UE.

Los derechos y obligaciones dispuestos por el reglamento europeo incluyen:

La portabilidad de los datos

La transferibilidad de datos: tu cliente podrá solicitarte que le envíes todos sus datos en un soporte legible para darlos a tu competidor si decide cambiar de proveedor.

Notificación de violación de datos:

en caso de violación de datos (fallas, acceso no autorizado, etc), el responsable tiene la obligación de informar en las siguientes 72 horas a la autoridad de protección de datos o incluso a las personas cuyos datos fueron violados si el riesgo de violación a los derechos y libertades de estas personas es elevado.

La posesión de un registro de tratamiento de datos

Bajo condiciones, pero recomendada.

El nombramiento de un Director de Protección de Datos (DPD)

(bajo condiciones) que garantice la protección de datos personales.

El análisis del impacto

Antes de la puesta en marcha del nuevo tratamiento, se deben realizar análisis de impacto en caso de un alto riesgo de incumplimiento a la protección de datos personales. Es aconsejable para un tratamiento ya implementado que presenta un alto riesgo.

En caso de incumplimiento al reglamento europeo de protección de datos personales, se ha definido una nueva escala de sanciones. La multa puede alcanzar el 4% de la facturación global del infractor con un límite de 20 millones de euros, se cobrará la cantidad más elevada.

No es sólo el mensaje (naturaleza, significado) que envías lo que tendrá que cambiar para cumplir con los requisitos de la RGPD, sino también la forma en que tratas los datos personales de tus contactos. Debes ser transparente informándoles antes del tratamiento de los datos. En el caso de que la justificación legal se base en el consentimiento, debes poder otorgar pruebas válidas de que se ha dado el consentimiento.

Los datos personales son una información que puede utilizarse para identificar directa o indirectamente a una persona física. Una dirección de email como "apellido.nombre@nombrededominio.com" identifica directamente a una persona, mientras que un número de cliente identifica a una persona indirectamente.

Por otra parte, una dirección de email genérica por sí misma no identifica a una persona (a menos que tenga información adicional). Las direcciones de email como "contacto@nombredelaempresa.com" son coordenadas de una persona jurídica y no se consideran "datos personales" en el marco de la RGPD.

La reglas aplicables en temas de comunicación electrónica no son cuestionadas por la RGPD.

Hay que señalar que el proyecto de reglamento europeo sobre la privacidad electrónica, que sigue siendo objeto de debate, aborda temas que combinan la comunicación digital y el consentimiento del usuario. Este tema seguirá desarrollándose en los próximos meses.

Cuando hablamos de datos personales, tendemos a pensar en el consentimiento de las personas cuyos datos estamos procesando. Hoy en día, Internet está lleno de información sobre el concepto de consentimiento y cómo ha evolucionado a lo largo de los años hasta llegar a la definición actual establecida por la RGPD...

El texto europeo recuerda que el consentimiento es una de las bases jurídicas sobre las cuales se puede sustentar el tratamiento de datos. Pero no es la única base pra el tratamiento de datos (ej: ejecución de un contrato), y en este mismo sentido, es erróneo afirmar que la RGPD va a convertir al consentimiento en un tema obligatorio y será la regla a seguir.

Sin embargo, la RGPD refuerza las condiciones que se aplican cuando es necesario un tratamiento de datos basado en el consentimiento (por ejemplo, en el caso de la prospección comercial en el B2C) o cuando se decide justificar el tratamiento de datos mediante el consentimiento. Debe obtenerse un consentimiento válido de conformidad con la RGPD:

Declaración o acta positiva clara e inequívoca de la persona

Los cuadros marcados por defecto, los consentimientos pasivos o implícitos deben ser eliminados definitivamente.

El consentimiento debe ser resaltado

Informar a la persona con palabras fáciles sobre el uso de sus datos, la persona debe ser consciente del consentimiento dado y de su alcance. Evite el uso de la negación.

El consentimiento debe ser libre y específico

El consentimiento debe ser libre y específico: El consentimiento debe tener un propósito específico (por ejemplo, para enviar ofertas comerciales). Y el consentimiento no debe ser forzado (es decir, no puede estar asociado a descuentos, regalos o servicios). También es necesario distinguir entre el consentimiento para el tratamiento de los datos y el consentimiento para las condiciones de uso.

El derecho de suprimir su consentimiento en cualquier momento

Debes informar a la persona que tiene el derecho a retirar su consentimiento en cualquier momento, indicando que es tan simple retirar el consentimiento como darlo.

Conservar la prueba del consentimiento obtenido

Conserva la prueba del consentimiento (la responsabilidad de la prueba recae sobre ti): la persona que consentimiento dió, en qué momento y a quién. Se debe implementar un seguimiento de las acciones de consentimiento: el consentimiento, sus propósitos y los consentimientos anulados.

Hacer que el retiro del consentimiento sea fácil

Hacer que el retiro del consentimiento sea fácil para la persona (parámetros modificables en su cuenta cliente, por ejemplo).

Por otro lado, el derecho de ser informado sobre el tratamiento de datos se ve reforzado por el reglamento europeo.Los usuarios deben ser claramente informados del uso de sus datos, de los receptores, de la duración de la conservación de los datos, de la posibilidad de rectificar, eliminar o limitar sus datos, o hasta la posibilidad de oponerse al tratamiento.

El responsable del tratamiento de datos debe utilizar únicamente proveedores que demuestren las garantías suficientes en la puesta en marcha de medidas técnicas y organizacionales apropiadas para la protección de datos, de tal manera que el tratamiento responda a las exigencias de la RGPD.

Como cliente de una solución de email marketing, debes asumir la responsabilidad del tratamiento que utiliza el proveedor para el envío de newsletters o campañas de email a tu nombre, desde tu cuenta y bajo tus instrucciones. Por lo tanto, es tu responsabilidad asegurarte de que esta solución de email marketing implemente los medios necesarios para garantizar la protección de los datos personales.