Desde el viernes 25 de mayo, todas las empresas y organizaciones, públicas o privadas, tendrán que aplicar el nuevo Reglamento General de Protección de Datos (RGPD), ya que no existe ningún periodo transitorio o de gracia adicional. Esta norma europea, que unifica las diferentes leyes nacionales que había hasta el momento, mantiene parte de la normativa que estaba en vigor, pero contiene obligaciones que no existían hasta la fecha. También se aplicará una nueva Ley de Protección de Datos, cuya reforma está en tramitación, que especificará y complementará ciertas partes del RGPD, pero sin modificarlo.

En esta serie de artículos, basados en el publicado por EXPANSIÓN, se detallan las 20 claves del Reglamento y del nuevo escenario, elaboración que ha contado con contenidos de Apuntes & Consejos de Indicator y de RSM Spain

En esta tercera entrega de la serie trataremos:

  • Derechos del ciudadano
  • Spam
  • Divulgación de fotos y videos
  • Empleados
  • Clientes
  • Cookies
  • Reclamaciones
  • Páginas Web

1. Derechos del ciudadano

El RGPD contiene los tradicionales derechos de acceso, rectificación, cancelación y oposición, conocidos de forma conjunta bajo el acrónimo ARCO, a los que se suman los de limitación del tratamiento, portabilidad de datos o al olvido. La empresa, como responsable del tratamiento, debe facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las formas para ejercerlos deben ser visibles, accesibles y sencillos. Se exige, además, que sea posible la presentación de solicitudes por medios electrónicos.

2. ‘Spam’

Las empresas no pueden enviar correos electrónicos de forma indiscriminada, ya que lo prohíbe la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico.  Deben evitar que sus envíos puedan ser calificados como spam (correo electrónico no deseado). Los destinatarios de la publicidad deben haber consentido previamente el envío. Por tanto, asegúrese de que en todos los formularios de su empresa donde se recogen datos de posibles clientes se menciona que éstos le autorizan expresamente a enviarles publicidad.  No obstante, si el destinatario de la publicidad ya es cliente de su empresa y usted le envía información sobre productos o servicios similares de su propia empresa a los que él le adquirió anteriormente, no será necesario disponer de esta autorización previa para poder enviarle publicidad. No olvide que el propio email debe infor- mar al destinatario de la posibilidad de revocar el consentimiento otorgado inicialmente para el envío de la publicidad, e incluir una dirección electrónica a la que dirigirse para solicitar dicha revocación.

 3. Divulgación de vídeos y fotos

La protección de los datos persona- les va mucho más allá de proteger una dirección de email o un número de teléfono. El contenido, por ejemplo, de un móvil también se considera información personal. Por eso, la legislación penaliza el acceso a estos dispositivos sin permiso, con el agravante de quienes además publican fotos o vídeos sin la autorización del interesado. En esta misma categoría se incluye la divulgación de datos disponibles de forma restringida, como puedan ser, por ejemplo, el historial médico de una persona. 

4. Empleados

Los empleados tienen los mismos derechos que cualquier otro interesado, pero vienen condicionados por las características de propias de la relación laboral. Cuando se tratan da- tos personales cuyo uso está justificado, por ser necesarios para el mantenimiento de la relación laboral (ej.  nombre y edad), no es necesario recabar el consentimiento de los trabajadores. Por el contrario, aquellos datos que pueden considerarse no necesarios para la prestación de servicios (ej. cuenta de correo electrónico personal) requerirán recabar el consentimiento de los trabajadores.  En todo caso, los trabajadores deberían recibir información específica sobre el tipo de datos personales que están siendo tratados por la empresa, así como la finalidad de su tratamiento y la base legal para el mismo, así como las transferencias de datos a terceros que puedan producirse. Se tiene que proporcionar información sobre los derechos que asisten a los trabajadores, junto con los datos de contacto de la empresa y de quienes hayan sido designados para responder las cuestiones planteadas por los trabajadores (si la empresa tuviera un delegado de Protección de Datos, se pondrían sus datos). 

  •  Cuando recogen datos. - Cuando es el propio empleado de una compañía el que recoge datos de carácter personal, no es suficiente con exhibir el documento para lograr el consentimiento. Es el caso, por ejemplo, del recepcionista de un hotel. Además de solicitar al cliente que marque la casilla de autorización para tratar los datos personales, este empleado debe avisar de algunos aspectos básicos, como cuál es la finalidad de recopilar esa información. Además, si el empleado percibe cualquier tipo de brecha de seguridad, debe alertar a su superior inmediato. Hay departamentos que se consideran de riesgo por la información que manejan, como el área de márketing y comercial, en el que habrá que revisar todos los procesos, incluido cómo se fija el bonus (que no impliquen, por ejemplo, compartir datos personales). 

5. Clientes

Como en el caso del resto de usuarios, será necesario que las empresas detallen explícitamente y con un lenguaje comprensible los datos e in- formación personal requerida a sus clientes y sólo se podrá tratar los da- tos en caso de que tengan un interés legítimo. El deber de informar a los afectados sobre el uso y las finalidades del tratamiento de datos se incrementa (ver apartado 8). Se permite el envío de mensajes publicitarios o comerciales por correo electrónico a aquellos usuarios que previamente lo hubieran solicitado o autorizado de forma expresa. También se admite el envío de comunicaciones comerciales a aquellos usuarios con los que exista una relación contractual previa, en cuyo caso el proveedor podrá enviar publicidad sobre pro- ductos o servicios similares a los contratados por el cliente. 

6. ‘Cookies’

Si la empresa dispone de una página web, es probable que utilice cookies, que son unos pequeños ficheros que almacenan información del usuario que accede a la web (como, por ejemplo, información sobre los hábitos de navegación de ese usuario para después enviarle publicidad personalizada). Pues bien, la ley obliga a informar a los usuarios y obtener su consentimiento para utilizar o instalar cookies, y prevé sanciones importantes en caso de incumplimiento. No deberá cumplir esa obligación la web que sólo utilice cookies técnicas, que sirven para que la web se cargue correctamente, o cookies necesarias para prestar un servicio solicitado por el usuario (como el carrito de la compra virtual). 

7. Reclamaciones

 Si un interesado ejercita alguno de los derechos del apartado 13, el organismo está obligado a contestarle en el plazo de un mes, aunque no tenga datos suyos. Y en caso de no dar curso a su solicitud, deberá informarle de la posibilidad de presentar una reclamación ante la AEPD y de ejercitar acciones judiciales. El RGPD otorga el derecho a toda persona que haya sufrido daños y perjuicios (materiales o inmateriales) como consecuencia de una infracción del Reglamento a reclamar una indemnización ante los tribunales sin perjuicio de su derecho a presentar una denuncia ante la AEPD. 

8. Páginas web

Si se tiene una página web meramente informativa, que se utiliza como escaparate virtual de los productos o servicios que ofrece una empresa, pero con la que no capta datos personales, el RGPD no resultará de aplicación. Ahora bien, la cosa cambia –y deberá tenerse en cuenta esta norma necesariamente– si la página web incluye un campo en el que solicita la dirección electrónica de los usuarios del sitio (para enviarles un boletín de noticias, catálogos, etc.). También queda concernida si incluye un formulario de contacto que los usuarios tienen que completar para, por ejemplo, enviar consultas. A su vez, en el caso de que permita la compraventa en línea de sus productos o servicios, para lo cual los usuarios tienen que facilitar sus datos personales. En to- dos estos casos, se estará obteniendo datos personales de los usuarios de la página web, por lo que es necesario que se inserte un aviso legal para dar cumplimiento al deber de información y consentimiento. Es necesario que los usuarios acepten expresamente dicho aviso

 

Fuente: Diario Expansión

Autor: Mercedes Serraller