¿De qué se trata? 

El reglamento europeo es la nueva norma a nivel europeo encargada de regular el tratamiento de datos personales, de los ciudadanos por parte de empresas y de autoridades u organismos públicos, y también su libre circulación. 

Se debe tener en cuenta que el concepto de datos personales encierra todo aquello con lo que se pueda identificar directa o indirectamente a una persona natural. Dependiendo del grado de información que se obtenga se clasificarán en datos personales o en datos sensibles.

Este nuevo reglamento sustituye a la antigua Directiva de 1995 año en el que “redes sociales” o “big data” eran conceptos aún muy lejanos. 

¿Cuándo empezó a regir?

Este Reglamento Europeo entró en vigor en el mes de mayo de 2016 pero obtuvo un carácter obligatorio el 25 de mayo del 2018.

¿A quiénes les aplica? 

El Reglamento Europeo se aplica a aquellas empresas que se encuentran dentro de la Unión Europea o aquellas que comercialicen sus productos o servicios en este territorio. Por otro lado, la aplicación de este Reglamento a las personas naturales NO se limita a que sean ciudadanos de la Unión Europea sino a aquellas personas que se encuentren en la UE de manera temporal.

Puntos clave del Reglamento Europeo

Consentimiento debe ser “inequívoco”: Uno de los puntos clave de este nuevo Reglamento Europeo recae sobre el consentimiento que se trata de la manifestación mediante una clara acción afirmativa. El Reglamento Europeo contempla dos escenarios:

Explícito: 

  1. Tratamiento de datos sensibles
  2. Decisiones automatizadas
  3. Transferencia de datos de carácter internacional.

Implícito:Se presenta en los casos en los que se puede deducir de una acción del interesado (cuando se continúa navegando en la web)

  • Claridad en la información: Se entiende que tanto los términos y condiciones como la política de privacidad deben cumplir con los estándares de: claridad, transparencia. Inteligible y de fácil acceso con un lenguaje claro y sencillo. Es claro que deben eliminarse los párrafos de letras pequeñas que remiten a textos legales.
  • Información sobre la base legal del tratamiento: Toda política de privacidad y términos y condiciones debe ir acompañado de una normatividad que permita llevar a cabo la recolección de datos.
  • Conocimiento de la información recolectada: El Reglamento señala específicamente que los usuarios deberán tener derecho de tener a la mano los datos que la empresa recolecta cuando sea solicitado.Una buena opción es permitir una copia electrónica de tal información.
  • Derecho al olvido: Se trata del derecho que tienen los usuarios de cancelar u oponerse a la recolección de los datos cuando considere que ya se cumplió el objeto por el cual se obtuvieron, no se están protegiendo de manera lícita o se esta haciendo un uso indebido de esto. 

En los casos en los que el encargado o responsable del manejo de datos haya hecho públicos los datos, deberá tomar medidas técnicas para informar a otros responsables de la solicitud del usuario de suprimir tal información de sus bases de datos.

  • Limitación del tratamiento: La limitación de tratamiento de datos supone que a petición del interesado o usuario NO se aplicarán a sus datos personales las operaciones de tratamiento que se tienen. Los casos en los que se pueden presentar son los siguientes:
  1. Proceso del derecho de rectificación u oposición 
  2. Tratamiento ilícito pero el interesado o usuario se opone
  3. No se consideran necesarios los datos para el tratamiento, pero el interesado o usuario los requiere.

La finalidad de este principio o derecho se trata de que se elimine la práctica habitual consistente en borrar los datos cuando se ejercitan otros derechos como por ejemplo: el derecho de acceso.

  • Portabilidad: La portabilidad es una forma avanzada del derecho de acceso ya que le permite al usuario o interesado en solicitar que los datos que se hayan proporcionado al encargado o responsable sean transferidos a otras entidades de manera automática sin necesidad de que intervenga el propio interesado.
  • DPO: El reglamento introduce la figura del Delegado de Protección de Datos. Es obligatorio en el caso de los organismos públicos, pero no en todas las empresas, solo en aquellas que traten datos a gran escala o datos muy sensibles, como los datos biométricos además, no sólo se exigirá una acción positiva implícita sino que la acción deberá ser expresa.
  • Consentimiento de Menores: Los menores de 16 años, en el caso de los “servicios de la sociedad de la información” (en internet, por ejemplo), no pueden consentir sobre el tratamiento de sus datos personales: deben hacerlo sus padres o tutores. El consentimiento estará sujeto a la edad que señale cada jurisdicción.
  • Deber de seguridad: Se requiere que las empresas y organizaciones tengan una actitud proactiva en el establecimiento de medidas de seguridad destinadas a garantizar que la infraestructura de la empresa asegura un correcto tratamiento y almacenamiento de los datos de sus clientes o usuarios. Las principales medidas que se deben adoptar son:
  • Establecer accesos seguros al sistema de la empresa y/o a sus bases de datos.
  • Establecer procedimientos de copias de seguridad suficientes. 
  • Tomar medidas especiales para evitar fugas de datos, instalación de malware o evitar o prevenir que otros riesgos relacionados ocurran, como ataques por parte de crackers, denegaciones de servicio, daño a los sistemas informáticos, etc.
  • Comunicación de incidentes en la protección de datos: El Reglamento exige una actitud proactiva por parte de las empresas en cuanto a su deber de comunicar este tipo de incidentes a las autoridades competentes y a los usuarios afectados cuando se ponga en riesgo su privacidad o intimidad, entendido como el deber de informar acerca de posibles brechas de seguridad en un plazo máximo de 72 horas. 

Para más información sobre qué tipo de modificaciones y actualizaciones debe implementar en sus términos y condiciones y su política de privacidad de acuerdo con el Reglamento Europeo contáctenos.