¿Estás preparado para cumplir con la nueva GDRP? 16/04/2018

En nuevo reglamente de protección de datos entra en vigor en mayo

El próximo 25 de mayo entrará en vigor definitivamente el Reglamento Europeo de Protección de Datos (GDPR). Decimos, “definitivamente” porque aunque ya estaba vigente desde hace dos años no será hasta este día cuando sea obligat

orio cumplirlo. Por tanto, y si aún no lo has hecho, es el momento de preparar tu negocio para los nuevos requisitos de protección de datos.

¿Qué diferencias hay entre el GDRP y la antigua LOPD?

Entre la antigua normativa de protección de datos y la nueva existen algunas diferencias que debes tener en cuenta y subsanar antes de que comiencen las sanciones.

1.- Territorio de aplicación

La GDPR se aplica incluso fuera de las fronteras de la Unión Europea siempre que los productos o servicios que se ofrezcan pertenezcan al territorio continental. Esta es una de las medidas más destacadas de la nueva ley, aunque su control no será sencillo.

2.- Consentimiento del usuario

Aunque la antigua LOPD ya obligaba a solicitar el consentimiento del uso de sus datos al usuario, la nueva normativa deja claramente especificado que sólo podrán solicitarse los datos que sean exclusivamente necesarios para prestar el servicio/producto, evitando así pedir más información de la necesario bajo el mismo consentimiento. Además, el nuevo consentimiento tiene que ser activo y verificable. Es decir, no es posible darlo por hecho ni tampoco validarlo si no se realiza algún tipo de registro para posteriores comprobaciones.

la gdpr lucha por mantener la seguridad de los usuarios en internet3.- Avisos de seguridad

La nueva ley incluye tres nuevos aspectos a tener en cuenta referidos a la información y al modo de presentarla. Son los siguientes:

- Se debe especificar la base legal del tratamiento de datos.

- El tiempo de retención que se aplique a esos datos debe mostrarse al consumidor.

- La información obligatoria que se tiene que proporcionar al usuario debe ser clara y concisa, buscando siempre que sea comprensible.

4.- Derecho al olvido

Con esta nueva ley los usuarios se podrán acoger al derecho al olvido. El consumidor podrá solicitar la eliminación de sus datos en determinadas circunstancias: si se han obtenido de forma ilícita, si ya no son necesarios o si retira de forma adecuada su consentimiento.

5.- Derecho a la portabilidad

Otra importante novedad de la AGPD es el derecho a la portabilidad. Su función es garantizar que las empresas que gestionen los datos de una determinada estén obligadas a enviarlos en los formatos correctos.

6.- Registro de datos obligatorio

Con la entrada en vigor de la LOPD 2018, todas las empresas que trabajen con datos de personas deberán tener un registro con todos ellos de forma obligatoria.

7.- Estudios de riesgo

La nueva normativa establece que cuando se vaya a realizar un cambio importante, ya sea el almacenaje, el soporte o cualquier otro aspecto similar, debe hacerse previamente un estudio de riesgos de viabilidad para evitar que los datos puedan ser expuestos y tomar las medidas necesarias para evitarlo.

8.- Delegado de Protección de Datos

Todas las empresas que se dediquen al tratamiento masivo de datos o que utilicen bases de datos de organismos públicos tendrán que tener obligatoriamente un Delegado de Protección de Datos. Su misión será supervisar todas las acciones respecto a este tema para que se ajusten a la normativa vigente.

¿Qué sanciones me pueden imponer si incumplo la normativa?

Las sanciones por incumplir la nueva ley de datos son muy altas. Pueden suponer entre el 2% y el 4% del volumen de negocio, pudiendo alcanzar incluso cifras de entre 10 y 20 millones de euros.

¿Cómo adapto mi ecommerce a la nueva normativa de Protección de Datos?

Cuando un cliente indica su dirección de correo electrónico, se registra en tu tienda o simplemente te facilita su IP está aportando sus “datos personales”. Por tanto, si tienes una tienda online estás obligado a cumplir la GDPR.

Lo primero que debes hacer cuando un nuevo cliente acceda a tu tienda mediante un formulario de registro es notificar a la Agencia Española de Protección de Datos (AGDP) todos los ficheros que recogen la información y cualquier alteración de los mismos.

solo se pueden solicitar los datos necesarios

Para guardar los datos de terceros, las tiendas online deberán contar con su consentimiento específico, como hemos indicado en el punto dos del apartado anterior, además los datos deberán poder ser modificados y los permisos revocados.

En cuanto a la seguridad, los ficheros que contienen datos personales tienen que estar protegidos de posibles ataques de hackers, y el acceso a la información solo estará permitido a personas autorizadas.

Con este fin, el hosting de la tienda debe cumplir con todas las exigencias legales en materia de seguridad, siendo los más fiables los que se encuentre en territorio europeo. Si se opta por un hosting americano, es obligatorio que esté dentro de la lista “Safe Harbour”

También deberás valorar si tu tienda necesita designar un Delegado de Protección de Datos, evaluar si es necesario actualizar las políticas de privacidad de tu tienda y, si usas aplicaciones externas, comprobar que éstas cumplen la normativa.

En cuanto a tus clientes, asegúrate de que estás cumpliendo con todos los derechos que hemos descrito antes y que cuentas son su consentimiento para procesar sus datos.

Y por último, recuerda que la normativa exige realizar estudios de riesgo antes de realizar cualquier modificación que pueda poner el peligro los derechos y las libertades de los clientes.

Fuentes:

http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php

https://www.eugdpr.org

COMENTARIOS

No hay comentarios por ahora.

Añade un comentario