Qué es el RGPD

El Reglamento general de protección de datos (RGPD) es un reglamento aplicable a toda la UE que regula como empresas y organizaciones gestionan los datos personales. Es la legislación más importante en materia de protección de datos, con implicaciones relevantes para cualquier organización que opere en la Unión Europea.

Se trata de una legislación que quiere garantizar a las personas el control sobre cómo se utilizan sus datos, protegiendo los "derechos y libertades fundamentales de las personas físicas", estableciendo requisitos sobre procedimientos de tratamiento de datos, transparencia, documentación y consentimiento del usuario.

Toda organización, como responsable del tratamiento de datos, debe llevar un registro y super-visar las actividades de tratamiento de datos personales. También en cuanto a los datos persona-les gestionados por terceros (los encargados del tratamiento).

Los encargados del tratamiento pueden ser desde proveedores de software como servicio (software-as-a-service) hasta servicios integrados de terceros, que rastrean y perfilan las visitas del sitio web de la organización.

Tanto los responsables como los encargados del tratamiento deben tener presente la tipología de datos que están tratando, la finalidad del tratamiento y en qué países y terceros se transmiten los datos: cuando se envían datos personales a organizaciones o jurisdicciones fuera del alcance del RGPD (UE) o que el RGPD no considere "adecuadas", se informará específicamente al usuario sobre esto y sobre los riesgos que conlleva.

El Consentimiento Explícito

No está permitido el tratamiento de datos personales sensibles sin el consentimiento explícito del usuario. El consentimiento debe ser otorgado libremente en base a información clara y específica tanto de los tipos de datos que se gestionarán como de su propósito, y siempre antes de que se realice cualquier tratamiento. La obtención del consentimiento deberá poder acreditarse.

Veamos algún ejemplo: el desplazamiento o la navegación continuada en un sitio web no constituyen un consentimiento válido; no se permite que los banners de galletas tengan casillas de selección previamente marcadas.

Los usuarios, además, tienen el "derecho de portabilidad de los datos", el "derecho de acceso a los datos" junto con el "derecho al olvido" y pueden retirar su consentimiento y ejercer estos derechos cuando quieran. Los responsable del tratamiento debe facilitarlo y suprimir los datos personales cuando ya no son necesarios para la finalidad para la que se recogieron.

Las brechas de datos se notificarán a las autoridades de protección de datos y a las personas afectadas en un plazo de 72 horas.

Además, las organizaciones con más de 250 empleados y las empresas que tratan datos personales sensibles a gran escala tienen la obligación de contar con un delegado de protección de datos (DPD), que será el encargado de tomar medidas las medidas necesarias para garantizar el cumplimiento del RGPD a toda la organización.

Qué son los datos personales

El RGPD define los datos personales como "cualquier información relacionada con una persona física identificada o identificable (" sujeto de datos "); una persona física identificable es aquella que se puede identificar, directa o indirectamente, en particular por referencia a un identificador como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esta persona física. "

Los identificadores en línea, como las direcciones IP, se consideran datos personales, a menos que sean anónimos.

Cuando los datos personales bajo seudónimo son identificables mediante identificación inversa, también están sujetos al RGPD.

Qué se debe hacer para cumplir con el RGPD

Preparar la empresa.

Informar y formar a todos los miembros de la organización de los requisitos del RGPD, seguridad cibernética, y privacidad. Asignar un responsable de protección de datos (en caso de empresas de más de 250 empleados).

Auditoria de datos.

Conocer dónde están los datos, quién tiene acceso y en qué dispositivos. Identificar donde se hace el tratamiento de los datos personales, incluidos los tratamientos de terceros. Documentar los motivos del tratamiento y mantener actualizadas las políticas de privacidad.

Socios.

Asegurarse de que los servicios de terceros integrados en su sitio web o proveedores de software, también cumplan el RGPD o estén bajo una jurisdicción de datos no penalizada oficialmente. Revisar y mapear sus flujos de datos internacionales.

Obtención del consentimiento.

Implementar métodos para buscar, obtener y registrar el consentimiento. Ofrecer opciones para que el usuario pueda revocar o modificar el consentimiento.

Responder a los derechos de datos.

Implementar procedimientos que permitan responder a los derechos del usuario: acceso, rectificación y eliminación de datos.

Preparar un protocolo de actuación en caso de violación de la seguridad de los datos.

Definir procedimientos para detectar, investigar e informar sobre violaciones de la seguridad de los datos personales para cumplir el plazo de notificación de 72 horas.

Cómo afecta el RGPD a un sitio web

Si vuestro sitio web dirige los servicios a personas de la UE y vosotros (o los servicios integrados de terceros) tratáis cualquier tipo de datos personales, es necesario que obtengáis el consentimiento previo del visitante, que debe estar informado de la extensión y la finalidad del procesa-miento de datos en un lenguaje comprensible, antes de procesar cualquier dato personal.

Esta información debe estar siempre disponible para el visitante en vuestro sitio web. También se ha de facilitar la manera de cambiar o retirar el consentimiento.

Se debe poder acreditar el consentimiento mediante su registro. También es necesario documentar el seguimiento de los datos personales, su transmisión, y a qué países.

Consulte la infografía de la UE Protección de datos: mejores reglas para pequeñas empresas.

Cómo implementar el RGPD en un sitio web

En Drauta podemos dotar a tu web de todas las herramientas necesarias para dar cumplimiento al RGPD:

• Actualizar los textos legales (facilitados por el cliente o sus asesores) que deben aparecer en el footer, formularios, boletines ... 
• Dotar a los formularios de las herramientas de de obtención de consentimiento explícito.
• Implementar el registro de actividades del tratamiento (RAT) y su análisis.
• Registro de los consentimientos.
• Diseñar e implementar mecanismos para que los usuarios puedan ejercer sus derechos de forma sencilla.
• Garantizar medidas de seguridad.

Una parte importante de la información que debe contener un sitio web en relación al RGPD hace referencia a las cookies. El usuario debe consentir la utilización de las cookies, así como tener acceso a la información completa y la forma de administrarlas (como desactivar o borrar-las).

Las cookies son archivos que se guardan los equipos informáticos de los visitantes de una web, que dan información de las actividades y preferencias de los usuarios, y que a menudo permiten identificarlo. Por lo tanto, su utilización está estrechamente ligada a la aplicación del RGPD, normativa que la política de cookies debe cumplir también.

Desde Drauta podemos desarrollar módulos a medida de las características de los datos que recoge tu web, del tipo y finalidad de las cookies necesarias, que doten a tu sitio web de aquellas funcionalidades que son necesarias para que el tratamiento de los datos sea conforme al reglamento europeo.

¿Te ayudamos? Contacta con nosotros sin compromiso.