Novedades y cambios del RGPD

Ya se ha escrito mucho de los cambios que implica el nuevo reglamento; artículos muy completos, algunos muy alarmistas, otros tranquilizadores, pero en general el cambio más significativo de la norma es el sentido que se le ha dado, con la reglamentación anterior (todavía vigente) se nos decía lo que teníamos que hacer, así que se daban situaciones en las que el cumplimiento era imposible.

Si soy un bloguero que vende un libro digital desde una habitación en la casa de  sus padres no se me pueden exigir las mismas condiciones que a una empresa editorial con una plantilla de personal a su disposición, un edificio sede y una nave industrial. Simplemente me estás diciendo que me retire, ahora si es cierto que los dos tenemos que cumplir los mismos compromisos, entre los que está el respeto a la privacidad de nuestros visitantes y la protección de los datos que nos confían.

Confiar: Depositar en alguien, sin más seguridad que la buena fe y la opinión que de él se tiene, la hacienda, el secreto o cualquier otra cosa.
Diccionario RAE

 

Digo confían porque no nos dan sus datos, estos siempre seguirán siendo de su titular, sino un voto de confianza con la seguridad de que los custodiaremos adecuadamente.

Las novedades:

La nueva ley se basa en el principio de responsabilidad proactiva (Accountability), tenemos que implementar medidas destinadas a garantizar el cumplimiento y demostrar que lo hemos hecho efectivamente. Ahora somos nosotros los que decidimos exactamente que implementamos y como lo hacemos, por su puesto que tenemos que seguir unas directrices.

La mayor novedad y se podría decir también que la más desconocida o “misteriosa” es la figura del Delegado de Protección de Datos (DPO por las siglas en inglés). Es obligatorio para determinados casos, pero a la gran mayoría no nos afecta. Si tienes un blog o una web corporativa de una empresa privada que no procese perfiles o maneje datos sensibles o grandes volúmenes de datos no tienes obligación de contratarlo, pero siempre puedes hacerlo de forma voluntaria.

El registro de ficheros de datos deja de ser obligatorio, se elimina el documento de seguridad que teníamos empolvado en un armario y pasa a ser sustituido por un registro de actividades de tratamiento a cargo de los responsables y encargados del tratamiento. ¿Es obligatorio? pues depende del las características de la empresa y los tipos de datos que manejes, si es una empresa de menos de 250 empleados, no procesas datos sensibles o biométricos no estás obligado.

Los consentimientos deben ser explícitos y bien informados, ya no basta con poner “mejorar tu experiencia de usuario”, tienes que, por seguir con la frase, decirme como va a “mejorar mi experiencia de usuario” y darme la opción de decidir si realmente quiero mejorarla o no. No tutelamos los derechos de los usuarios, tenemos que decirle cuales son y que ellos decidan.

  • Hay que informar a los usuarios más y mejor, y poder demostrarlo.
  • Se añaden nuevos derechos y se amplían los existentes.
  • Se hace obligatorio autorizar los tratamientos específicamente para lo que son.

La responsabilidad

Ahora no nos dicen lo que tenemos que hacer para garantizar la seguridad de esos datos, nos dicen que tenemos que tomar la iniciativa y todas las medidas que estén a nuestro alcance para mantener esa seguridad. Nos hacemos responsables de la custodia y si hay algún problema nos responsabilizamos de asumirlo.

Tenemos la obligación de decirle a nuestros visitantes, usuarios o clientes si vamos a tomar apuntes de ellos y lo que hicieron en nuestra página (cookies), o si le preguntamos algo el por qué y para qué queremos saberlo (datos personales) y ellos tienen el derecho de decirnos que no quieren dárnoslos.

También tenemos la obligación de asumir las consecuencias cuando nuestro sistema falla y se ven comprometidos los datos, no solo con los reguladores sino con los usuarios que, al fin de cuentas, son los dueños de esos datos y los primeros perjudicados, nos han dado un voto de confianza y hemos fallado, que menos que reconocerlo y avisarles.  Pues ahora es por ley, una vez detectada una incidencia de seguridad tenemos valorarla y comunicárselo a los usuarios afectados.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

  Acepto la Política de Privacidad

INFORMACIÓN BÁSICA DE PROTECCIÓN DE DATOS

  • RESPONSABLE: José Luis Losada
  • FINALIDAD: Gestión de comentarios y valoraciones
  • LEGITIMACIÓN: Tu consentimiento
  • DESTINATARIOS: se almacenarán en los servidores de SiteGround y no se comunicarán a terceros salvo por obligación legal.
  • TUS DERECHOS: Acceso, rectificación, supresión y portabilidad.
Amplía la información en nuestra Política de Privacidad.