Cómo afecta la nueva Ley de Protección de Datos 2018

El 25 de mayo de 2018 entra en vigor con carácter obligatorio el nuevo reglamento europeo que afecta a Ley de Protección de Datos o LOPD (por Ley Orgánica de Protección de Datos) aunque la versión definitiva de dicha ley aún se está tramitando en el parlamento español.

A quien afecta la nueva ley: a todas las entidades que traten datos de carácter personal y se encuentren dentro de la Unión Europea. Es decir, si estás en Europa y dispones de un sitio web en el que ofreces suscripción a un boletín y por lo tanto recabas el nombre y el email de tus suscriptores, te afecta. Si tienes clientes, empleados y proveedores… entonces ya ni lo dudes, te afecta directamente.

La mayor parte de clientes y alumnos me hacen preguntas al respecto, así que aquí he preparado un breve resumen de los 7 puntos más importantes que debes saber sobre la nueva ley.

Cuáles son las nuevas obligaciones de la Ley de Protección de Datos

1. Rendición de cuentas: debes notificar a la Agencia Española de Protección de Datos, antes de 72 horas cualquier brecha de seguridad que afecte a los datos personales. Y si los datos son de carácter sensible (orientación sexual, salud, religión, etc.) también debes notificarlo a los usuarios afectados. Pero ya no hace falta inscribir los ficheros en el sitio web de la Agencia.

2. Responsabilidad proactiva: debes prevenir cualquier tipo de incidencia que pueda conllevar una brecha en la seguridad de tus datos. Por ejemplo, las máquinas en las que están los datos deben tener login y password, deben tener el sistema operativo actualizado, deben disponer de antivirus, etc. Si tienes más de 250 empleados hay que llevar un registro de actividades de tratamiento (mi consejo es que si este es tu caso, te pongas en manos de un especialista).

3. El Delegado de Protección de Datos: si tienes datos sensibles (mi consejo es que no los tengas) necesitas a un responsable de seguridad en tu empresa que será el encargado o encargada de supervisar el cumplimiento de la normativa. Esto ya era así con el antiguo reglamento, pero ahora le han puesto el nombre de “Delegado de Protección de Datos”.

4. El Derecho al Olvido: tus usuarios pueden solicitar que borres sus datos. Y deberás borrarlos obligatoriamente. Esto ya era así antes… pero ¿has intentado alguna vez que no te llamen a casa empresas de telemárqueting? Ahora se les va a caer el pelo si no te borran cuando se lo indiques, las nuevas multas van en función de la facturación anual. Por lo que a ti respecta, en tu web los usuarios deben poder darse de alta, de baja y modificar sus datos. Si utilizas una suscripción tipo Mailchimp ya se hace de forma automática desde los emails, no te preocupes. Asegúrate de que lo ofreces en todos los emails y en el pie de página de tu sitio web.

5. Derecho a la Portabilidad: ¡esta es nueva y es una buena idea! Los usuarios que hayan proporcionado sus datos a alguien que los trata digitalmente pueden pedir recobrar estos datos en un formato que permita su traslado… ¡será práctico al cambiar de médico!

6. Cambios en la obtención del consentimiento: el reglamento indica que el consentimiento debe ser libre, informado, específico e inequívoco. Aquí es cuando empiezan los problemas… porque en la Agencia de Protección de Datos indican que en todos los formularios de captación de datos hay que poner una parrafada de 150 palabras. Y debes poder demostrar que los usuarios te han cedido los datos libremente e inequívocamente. No te preocupes, en el menú de administración de los programas de gestión de emails tipo Mailchimp te indican la fuente de los datos y la fecha en la que se incorporaron y por lo tanto, tienes un registro y una prueba de su suscripción. Además, como los usuarios deben confirmar su email (doble opt-in) no hay posibilidad de que se suscriban sin darse cuenta. Esto está pensado para los que compran datos personales. Sobre las coockies, la normativa sigue igual, necesitas el consentimiento del usuario la no acción no puede ser considerada una aceptación.

7. Tratamiento de datos por parte de terceros: si utilizas una gestoría para pagar nóminas o bien una empresa de márqueting realiza tu boletín, necesitas un certificado por parte de esta empresa en el que te indique que cumple la normativa. Antes necesitabas un contrato… un certificado es más fácil de obtener.

Para facilitar el trabajo y tener toda la documentación en regla, la Agencia Española de Protección de Datos ha creado un sitio web que te genera automáticamente toda la documentación que necesitas (incluye los párrafos de los formularios, los certificados para tu gestoría, etc.). La verdad es que la herramienta está muy bien. Este es el enlace: Facilita RGPD. Te recomiendo que lo utilices.

Como puedes ver no es tan drama como lo pintan, asegúrate de que cumples con los requisitos, guárdate la documentación de la Agencia por si alguna vez la necesitas y sigue trabajando como siempre.

He citado Mailchimp porqué es el programa de envío de boletín que yo utilizo y el que enseño en clase de emailmarketing, pero la mayor parte de programas funcionan igual, así que comprueba qué hace el tuyo, para más tranquilidad.

Espero que este artículo te haya sido de utilidad.

Especialista en estrategia en Marketing Digital. Impartiendo conferencias, formación y consultoría desde hace más de 20 años.