El Re­gla­me­n­to general de pro­te­c­ción de datos (RGPD) de la UE tiene como objetivo la re­gu­la­ción del tra­ta­mie­n­to de los datos pe­r­so­na­les para pro­po­r­cio­nar así uni­fo­r­mi­dad en la le­gi­s­la­ción sobre la pro­te­c­ción de datos. Aunque el RGPD se aplica en los 27 Estados miembros de la UE, casi cuatro años después de su última mo­di­fi­ca­ción, todavía no se puede hablar de una reforma en la pro­te­c­ción de datos a escala europea. Mientras los expertos y los de­fe­n­so­res del co­n­su­mi­dor critican la lentitud de los le­gi­s­la­do­res europeos y na­cio­na­les, a las empresas les pesa la carga bu­ro­crá­ti­ca y la situación jurídica, no siempre tra­n­s­pa­re­n­te. A co­n­ti­nua­ción, te ofrecemos un resumen de la nueva situación jurídica y te de­ta­lla­mos las medidas que debes aplicar en tu empresa.

A escala europea, las leyes suelen pro­lo­n­gar­se en el tiempo, incluso después de entrar en vigor ofi­cia­l­me­n­te. Así, una vez acordada una directiva europea tras largos debates en el Pa­r­la­me­n­to de Bruselas, los 27 Estados miembros conceden amplios períodos tra­n­si­to­rios para que las ju­ri­s­pru­de­n­cias na­cio­na­les asuman la ley. También puede pasar mucho tiempo hasta que fi­na­l­me­n­te se presiona a las empresas para que apliquen la nueva normativa.

Pero, además de di­re­c­ti­vas, hay un segundo tipo de normativa europea: los re­gla­me­n­tos. Estos no ofrecen li­be­r­ta­des te­m­po­ra­les ni tampoco de contenido, sino que son ju­rí­di­ca­me­n­te vi­n­cu­la­n­tes y apli­ca­bles de inmediato para todos los Estados (afectando así, también, a la práctica em­pre­sa­rial de toda pyme). Este es el caso del RGPD, que no es una directriz, sino un re­gla­me­n­to.

En mayo de 2016 entró en vigor el Re­gla­me­n­to europeo de pro­te­c­ción de datos con un período tra­n­si­to­rio de dos años y el 25 de mayo de 2018 pasó a aplicarse en todos los Estados miembros como ley de pro­te­c­ción de datos oficial y, por lo tanto, superior a la normativa nacional. Así, todas las empresas y au­to­ri­da­des públicas que trabajan con datos pe­r­so­na­les deben aplicar desde entonces las nuevas di­s­po­si­cio­nes de la Unión Europea sobre pro­te­c­ción de datos y tomar las medidas ne­ce­sa­rias en sus ope­ra­cio­nes. Si no se cumple la normativa europea, las sanciones pueden ascender hasta los 20 millones de euros o hasta el 4 % del volumen de ventas mundial del ejercicio fiscal anterior.

Sin embargo, a pesar de que ha pasado tiempo su­fi­cie­n­te para que las empresas se acogieran a lo es­ti­pu­la­do en el RGPD, hay datos que de­mue­s­tran que aún queda camino por recorrer. Un ejemplo de ello es el estudio del bufete DLA Piper, “DLA Piper GDPR fines and data breach survey: January 2021”, donde se presenta que el valor total de las multas impuestas desde mayo de 2018. España ocupa el quinto lugar en el ranking, después de Italia, Alemania, Francia y Reino Unido. Más co­n­cre­ta­me­n­te, en el año 2021 contando hasta se­p­tie­m­bre, según el Informe “La evolución del dato: del big data a la in­te­li­ge­n­cia ar­ti­fi­cial” en Europa se habían impuestos multas que en total superaban la cantidad de los 1000 millones de euros.

Entre los mayores ob­s­tácu­los se siguen en­co­n­tra­n­do la falta de seguridad jurídica y el esfuerzo que supone la apli­ca­ción del RGPD. Muchos de los afectados no están de acuerdo con la necesidad de obtener el co­n­se­n­ti­mie­n­to del usuario para cada in­te­r­ca­m­bio de datos ni con tener que in­fo­r­mar­le al respecto. Además, hay empresas que, debido a la pandemia, no han podido terminar de im­ple­me­n­tar el RGPD. En de­fi­ni­ti­va, incluso después de tres años de la apli­ca­ción del RGPD, muchas empresas siguen sin saber cómo integrar la nueva normativa de pro­te­c­ción de datos en su propia red TI. Como resultado, muchos em­pre­sa­rios deben hacer frente a un pro­ce­di­mie­n­to de multa.

Los re­gla­me­n­tos europeos tienen prioridad sobre las leyes na­cio­na­les y pre­va­le­cen en caso de co­n­tra­di­c­cio­nes. No obstante, el RGPD contiene algunas cláusulas de apertura que permiten a los Estados atenuar o in­te­n­si­fi­car ciertas reglas. Así, en diciembre de 2018 entró en vigor la nueva Ley Orgánica de Pro­te­c­ción de Datos y Garantía de los Derechos Pe­r­so­na­les (LOPD GDD), que deroga la antigua LOPD de 1999 y da cobertura al RGPD a nivel nacional. Para las empresas, esto significa que las di­re­c­tri­ces del RGPD no se ven mo­di­fi­ca­das, sino ra­ti­fi­ca­das.

El objetivo principal del RGPD es unificar los pri­n­ci­pios de pro­te­c­ción de datos de la Unión Europea. Aunque an­te­rio­r­me­n­te la directiva de 1995 se aplicaba de manera diferente a cada Estado miembro, el Re­gla­me­n­to actual ofrece poco margen para ini­cia­ti­vas na­cio­na­les.

Otro ámbito al que se dirige el RGPD está re­la­cio­na­do con los grandes cambios te­c­no­ló­gi­cos de los últimos 25 años y con los futuros de­sa­rro­llos técnicos, por lo que la pro­te­c­ción de datos todavía se enfrenta a muchos retos. Un ejemplo de ello es que la re­co­pi­la­ción de los datos bio­mé­tri­cos de los tra­ba­ja­do­res es obli­ga­to­ria en algunas pro­fe­sio­nes con máquinas in­te­li­ge­n­tes. Si una empresa trata dichos datos con cautela, esto no supone ningún problema. El problema se plantea si la empresa, después de haber obtenido dichos datos, se ve tentada a uti­li­zar­los para otros fines como, por ejemplo, el control del re­n­di­mie­n­to. A este tipo de uti­li­za­ción de los datos pe­r­so­na­les debe responder el Re­gla­me­n­to europeo de pro­te­c­ción de datos.

Un resumen de las di­s­po­si­cio­nes del Re­gla­me­n­to de pro­te­c­ción de datos debe, en primer lugar, recoger las mo­di­fi­ca­cio­nes re­la­cio­na­das con los datos pe­r­so­na­les. En este aspecto es donde el Re­gla­me­n­to europeo de pro­te­c­ción de datos ha in­tro­du­ci­do los cambios más im­po­r­ta­n­tes: si bien no en las di­me­n­sio­nes como estaba planeado, el RGPD ha reforzado vi­si­ble­me­n­te la pro­te­c­ción de los datos de los pa­r­ti­cu­la­res. Las di­fe­re­n­tes di­s­po­si­cio­nes en este sentido regulan de manera co­m­pre­n­si­ble y adecuada su re­co­pi­la­ción.

Con ello, por ejemplo, se amplió la re­s­po­n­sa­bi­li­dad proactiva de las empresas (ac­cou­n­ta­bi­li­ty). Esto quiere decir que las empresas están sujetas a obli­ga­cio­nes más de­ta­lla­das de do­cu­me­n­ta­ción con respecto a los datos que recopilan, los objetivos de su uti­li­za­ción y la forma de pro­ce­sar­los desde que el RGPD entró en vigor. En este sentido, el Re­gla­me­n­to general de pro­te­c­ción de datos supone pri­n­ci­pa­l­me­n­te un gran volumen de trabajo en términos de do­cu­me­n­ta­ción.

Los pri­n­ci­pios más im­po­r­ta­n­tes son:

1. Prohi­bi­ción salvo au­to­ri­za­ción: este principio significa que a priori se prohíbe cualquier pro­ce­sa­mie­n­to de datos pe­r­so­na­les a no ser que esté permitido. Esta era la situación hasta ahora y todavía sigue generando co­n­tro­ve­r­sias. Después de todo, no todos los datos son igual de im­po­r­ta­n­tes. Con el Re­gla­me­n­to europeo de pro­te­c­ción de datos, el principio de prohi­bi­ción se aplica in­di­s­cri­mi­na­da­me­n­te a cualquier tipo de datos pe­r­so­na­les.
2. Li­mi­ta­ción de la finalidad: las empresas solo pueden recopilar y editar datos con unos objetivos es­pe­cí­fi­cos. Para ello, al empezar a re­co­ge­r­los deben fo­r­mu­lar­se los objetivos y do­cu­me­n­tar­se el uso futuro de los datos. Un ejemplo del mundo laboral es que los datos que una empresa ha re­co­pi­la­do y guardado ju­s­ti­fi­ca­da­me­n­te para el cu­m­pli­mie­n­to de un contrato no pueden uti­li­zar­se para fines pu­bli­ci­ta­rios. Este es otro de los fines que necesita una ju­s­ti­fi­ca­ción por separado y solo se permiten las mo­di­fi­ca­cio­nes po­s­te­rio­res de los objetivos bajo de­te­r­mi­na­das ci­r­cu­n­s­ta­n­cias.
3. Mi­ni­mi­za­ción de datos: el principio de la mi­ni­mi­za­ción de datos exige que las empresas recopilen la menor cantidad de datos posible, aplicando el lema “lo menos posible y tanto como sea necesario”. Así, no se puede recopilar más de lo requerido para conseguir el objetivo previsto con la obtención de datos. Con ello, este principio prohíbe la re­co­pi­la­ción de datos “desmedida”.
4. Tra­n­s­pa­re­n­cia: el tra­ta­mie­n­to de los datos debe ser co­m­pre­n­si­ble para los in­te­re­sa­dos. Esto, por un lado, requiere avisos de pri­va­ci­dad claros y, por otro, significa mayores derechos para los usuarios. Como hasta ahora, las empresas deben comunicar bajo petición cuáles son los datos exi­s­te­n­tes y cómo se van a utilizar.
5. Co­n­fi­de­n­cia­li­dad: las empresas tienen la obli­ga­ción de proteger los datos pe­r­so­na­les de sus clientes de forma técnica y or­ga­ni­za­ti­va ya sea del tra­ta­mie­n­to o mo­di­fi­ca­ción no au­to­ri­za­dos, del robo o de la de­s­tru­c­ción de dichos datos. Una novedad es, sin embargo, la obli­ga­ción explícita a aplicar medidas técnicas de pro­te­c­ción. Sin embargo, estas medidas no están fo­r­mu­la­das en el RGPD de forma precisa y ofrecen cierto margen in­te­r­pre­ta­ti­vo. En caso del robo de in­fo­r­ma­ción, es im­po­r­ta­n­te que las medidas técnicas y or­ga­ni­za­ti­vas de pro­te­c­ción hayan resultado adecuadas para el riesgo planteado y el tipo de datos al­ma­ce­na­dos.

En primer lugar, el Re­gla­me­n­to europeo de pro­te­c­ción de datos trajo buenas noticias para los co­n­su­mi­do­res y los in­te­re­sa­dos en el pro­ce­sa­mie­n­to de datos, a los que se aplica la pro­te­c­ción ampliada recogida por el RGPD, aunque su normativa también afecta a los derechos de los tra­ba­ja­do­res.

El RGPD también tuvo especial re­le­va­n­cia para el grupo pro­fe­sio­nal de los delegados de pro­te­c­ción de datos (DPO), cuyo número ha aumentado co­n­si­de­ra­ble­me­n­te debido a dicho re­gla­me­n­to. Desde su im­pla­n­ta­ción, todos los or­ga­ni­s­mos públicos y empresas en las que sus ac­ti­vi­da­des pri­n­ci­pa­les hagan re­fe­re­n­cia a la ma­ni­pu­la­ción de datos pe­r­so­na­les deben designar a un delegado de pro­te­c­ción de datos. Aun cuando la actividad principal no esté re­la­cio­na­da con el tra­ta­mie­n­to de datos, debe nombrarse a un delegado de pro­te­c­ción de datos cuando haya al menos 20 personas que se ocupen del tra­ta­mie­n­to au­to­ma­ti­za­do de los datos pe­r­so­na­les, lo que tiene validez para muchas empresas de mediana en­ve­r­ga­du­ra.

Asimismo, para los delegados de pro­te­c­ción de datos que tra­ba­ja­ban para una empresa, el RGPD supuso un cambio si­g­ni­fi­ca­ti­vo, puesto que su papel en ella se mo­di­fi­ca­ba ra­di­ca­l­me­n­te: si co­n­si­guie­ron el cu­m­pli­mie­n­to de las medidas de pro­te­c­ción de datos, ahora son los re­s­po­n­sa­bles de su­pe­r­vi­sar­las. Es decir, se amplían sus re­s­po­n­sa­bi­li­da­des y su campo de actividad.

La normativa implica mucho trabajo para los delegados de pro­te­c­ción de datos, pues tienen que conocer al detalle esta situación jurídica. Sin embargo, la normativa también plantea aspectos positivos. Como indica el artículo 39 del texto legal del que versa esta guía, las funciones del delegado de pro­te­c­ción de datos son:

(…)

1. informar y asesorar al re­s­po­n­sa­ble o al encargado del tra­ta­mie­n­to y a los empleados que se ocupen del tra­ta­mie­n­to de las obli­ga­cio­nes que les incumben en virtud del presente Re­gla­me­n­to y de otras di­s­po­si­cio­nes de pro­te­c­ción de datos de la Unión o de los Estados miembros;
2. su­pe­r­vi­sar el cu­m­pli­mie­n­to de lo dispuesto en el presente Re­gla­me­n­to, de otras di­s­po­si­cio­nes de pro­te­c­ción de datos de la Unión o de los Estados miembros y de las políticas del re­s­po­n­sa­ble o del encargado del tra­ta­mie­n­to en materia de pro­te­c­ción de datos pe­r­so­na­les, incluida la asi­g­na­ción de re­s­po­n­sa­bi­li­da­des, la co­n­cie­n­cia­ción y formación del personal que participa en las ope­ra­cio­nes de tra­ta­mie­n­to, y las au­di­to­rías co­rre­s­po­n­die­n­tes;
3. ofrecer el ase­so­ra­mie­n­to que se le solicite acerca de la eva­lua­ción de impacto relativa a la pro­te­c­ción de datos y su­pe­r­vi­sar su apli­ca­ción de co­n­fo­r­mi­dad con el artículo 35;
4. cooperar con la autoridad de control;
5. actuar como punto de contacto de la autoridad de control para cue­s­tio­nes relativas al tra­ta­mie­n­to, incluida la consulta previa a que se refiere el artículo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.

2.   El delegado de pro­te­c­ción de datos de­sem­pe­ña­rá sus funciones prestando la debida atención a los riesgos asociados a las ope­ra­cio­nes de tra­ta­mie­n­to, teniendo en cuenta la na­tu­ra­le­za, el alcance, el contexto y fines del tra­ta­mie­n­to.

Dicho esto, a co­n­ti­nua­ción, te ofrecemos un resumen del RGPD que tiene en cuenta, sobre todo, las ac­ti­vi­da­des e im­pli­ca­cio­nes ele­me­n­ta­les para gestores de páginas web y para empresas.

Aunque no se da una re­s­tru­c­tu­ra­ción profunda de la normativa sobre pro­te­c­ción de datos, el Re­gla­me­n­to europeo de pro­te­c­ción de datos sí introdujo ciertas mo­di­fi­ca­cio­nes que las empresas deben tener en cuenta obli­ga­to­ria­me­n­te e integrar en su flujo de trabajo al de­sa­rro­llar sus rutinas laborales con datos pe­r­so­na­les (principio de privacy by design). En caso contrario se estaría in­fri­n­gie­n­do el derecho europeo.

• Eva­lua­ción del impacto de la pro­te­c­ción de los datos: las empresas tienen la obli­ga­ción de llevar a cabo eva­lua­cio­nes de riesgos y también de definir las medidas de pro­te­c­ción adoptadas para mi­ni­mi­zar­los. Esta norma es es­pe­cia­l­me­n­te relevante cuando las empresas quieren usar los recursos de la nube de forma segura, pues en un servicio como tal se trabaja a menudo con grandes ca­n­ti­da­des de datos pe­r­so­na­les. Esto tiene mayores co­n­se­cue­n­cias para las empresas que almacenan datos sa­ni­ta­rios, puesto que son es­pe­cia­l­me­n­te sensibles y su difusión tiene especial re­le­va­n­cia para los in­te­re­sa­dos.
• Datos de los tra­ba­ja­do­res: otra piedra de toque es el modo en que las empresas procesan los datos de sus tra­ba­ja­do­res. Las di­s­po­si­cio­nes co­rre­s­po­n­die­n­tes en el RGPD también afectan a los de­pa­r­ta­me­n­tos de Recursos Humanos, en los que también re­pe­r­cu­ten dichas mo­di­fi­ca­cio­nes.
• Delegados de pro­te­c­ción de datos: estos son una figura esencial para muchas empresas. Los delegados de pro­te­c­ción de datos su­pe­r­vi­san la es­tra­te­gia de pro­te­c­ción de datos elaborada in­di­vi­dua­l­me­n­te y el cu­m­pli­mie­n­to del RGPD, lo que no solo afecta a empresas que trabajan con grandes ca­n­ti­da­des de datos pe­r­so­na­les, sino que toda empresa con más de 20 tra­ba­ja­do­res dedicados al pro­ce­sa­mie­n­to de datos pe­r­so­na­les debe recurrir a un delegado de pro­te­c­ción de datos.
• Obli­ga­cio­nes de no­ti­fi­ca­ción: las es­pe­ci­fi­ca­cio­nes del RGPD sobre cómo proceder ante fi­l­tra­cio­nes de datos son más estrictas que las normas an­te­rio­res. Cuando se tenga co­no­ci­mie­n­to sobre in­ci­de­n­tes de seguridad, estos deben no­ti­fi­car­se en un plazo de 72 horas tanto a los in­te­re­sa­dos como a las au­to­ri­da­des re­s­po­n­sa­bles.
• Re­s­po­n­sa­bi­li­dad y multas: las empresas pueden tener que re­s­po­n­sa­bi­li­zar­se por las in­fra­c­cio­nes rea­li­za­das en el manejo de los datos recogidos, lo que puede tra­du­ci­r­se en multas elevadas.

• Obli­ga­cio­nes de do­cu­me­n­ta­ción: un aspecto fu­n­da­me­n­tal del Re­gla­me­n­to de pro­te­c­ción de datos se centra en la re­s­po­n­sa­bi­li­dad proactiva de las empresas, también llamada ac­cou­n­ta­bi­li­ty. A di­fe­re­n­cia de lo que se hizo en el pasado, las empresas tienen la obli­ga­ción de acreditar la pro­te­c­ción de datos mediante do­cu­me­n­ta­ción interna. Así, deben poder demostrar a las au­to­ri­da­des en cualquier momento y mediante la pre­se­n­ta­ción del registro co­rre­s­po­n­die­n­te qué datos se han al­ma­ce­na­do y con qué finalidad, cómo se procesan y cuándo se eliminan.
• Privacy by design (pri­va­ci­dad desde el diseño): el principio privacy by design significa que las empresas deben tener en cuenta la pro­te­c­ción de datos incluso en el diseño técnico de sus procesos co­me­r­cia­les. Así, té­c­ni­ca­me­n­te no pueden im­ple­me­n­tar medidas de pro­te­c­ción de datos a po­s­te­rio­ri, es decir, de manera se­cu­n­da­ria, sino in­te­grar­las en el proceso de trabajo en la fase de de­sa­rro­llo. Por lo tanto, los productos y los procesos deben planearse de modo que estos traten con la menor cantidad de datos pe­r­so­na­les posible.
• Privacy by default (pri­va­ci­dad por defecto): esta di­s­po­si­ción del Re­gla­me­n­to general de pro­te­c­ción de datos ordena que debe pre­de­fi­ni­r­se té­c­ni­ca­me­n­te la variante que mejor garantice la pro­te­c­ción de datos, lo que evita que los co­n­su­mi­do­res lidien con ajustes técnicos complejos para conseguir li­mi­ta­cio­nes en el pro­ce­sa­mie­n­to de datos.
• Fu­n­da­me­n­tos de la au­to­ri­za­ción (co­n­se­n­ti­mie­n­to, convenio): en la mayoría de los casos los in­te­re­sa­dos también tienen que consentir ex­plí­ci­ta­me­n­te el uso de sus datos pe­r­so­na­les y además el co­n­se­n­ti­mie­n­to del tra­ba­ja­dor o co­n­su­mi­dor solo es aplicable a los usos es­pe­ci­fi­ca­dos. Esta de­cla­ra­ción debe fo­r­mu­lar­se in­te­li­gi­ble­me­n­te y, en principio, puede revocarse, algo que debe ser tan fácil como la ex­po­si­ción en sí del co­n­se­n­ti­mie­n­to. Con el RGPD han aumentado los re­qui­si­tos para una au­to­ri­za­ción efectiva, de modo que una di­s­pa­ri­dad muy amplia entre los im­pli­ca­dos puede im­po­si­bi­li­tar la vo­lu­n­ta­rie­dad, así como la ge­ne­ra­ción de la concesión de ce­le­bra­ción del contrato.
• Supresión de datos: solo se pueden conservar los datos pe­r­so­na­les durante el tiempo necesario para la finalidad prevista. Si se extingue la au­to­ri­za­ción para el tra­ta­mie­n­to de los mismos (se ha revocado el co­n­se­n­ti­mie­n­to o se ha cumplido el contrato), estos deben eli­mi­nar­se.
• Derecho de acceso y derecho de supresión: los ciu­da­da­nos europeos tienen derecho a conocer qué tipo de datos tiene una empresa sobre su persona y cómo los utiliza. Además, los co­n­su­mi­do­res también pueden exigir a la empresa que elimine sus datos. Una gran empresa como Google también debe cumplir este “derecho al olvido” y eliminar de los re­su­l­ta­dos de su buscador, bajo solicitud, los enlaces a la in­fo­r­ma­ción personal..

El Re­gla­me­n­to europeo de pro­te­c­ción de datos no incluye reglas ex­plí­ci­tas sobre el comercio online, sino que en él se formulan más bien pri­n­ci­pios generales de pro­te­c­ción de datos cuyas partes están reguladas por otras leyes y re­gla­me­n­tos. Sin embargo, las ab­s­tra­c­tas normas del RGPD también aportaron novedades para el comercio online, in­fo­r­ma­ción que te de­ta­lla­mos en los dos apartados si­guie­n­tes.

Lo más im­po­r­ta­n­te es que, junto con las re­gu­la­cio­nes ya me­n­cio­na­das para las empresas, el RGPD introdujo, en principio, re­la­ti­va­me­n­te pocas mo­di­fi­ca­cio­nes para el comercio online. Las normas con respecto a los temas más im­po­r­ta­n­tes para los gestores de páginas web (cookies, se­gui­mie­n­to de los usuarios, spam y marketing directo) se regulan en otro re­gla­me­n­to. Mientras tanto, los gestores de páginas web se rigen por el RGPD y por los pri­n­ci­pios generales de pro­te­c­ción de datos de la LOPD y GDD, que recoge los pri­n­ci­pios del RGPD en forma de ley de apli­ca­ción nacional.

No obstante, el RGPD es, en cierto sentido, una solución pro­vi­sio­nal, pues, en principio, junto con él y la LOPD-GDD, entraría en vigor una nueva normativa sobre pro­te­c­ción de datos: el Re­gla­me­n­to ePrivacy o de Pri­va­ci­dad Ele­c­tró­ni­ca de la Unión Europea. El momento en el que entre en vigor es aún de­s­co­no­ci­do.

El borrador que aún se discute prevé estrictos re­qui­si­tos de co­n­se­n­ti­mie­n­to para cookies. Cuando el proyecto se convierta en ley, esto tendría co­n­se­cue­n­cias si­g­ni­fi­ca­ti­vas en el se­gui­mie­n­to, la se­g­me­n­ta­ción y la pu­bli­ci­dad pe­r­so­na­li­za­da. Además, aún no se ha de­te­r­mi­na­do qué cambios se pro­du­ci­rían en el proceso le­gi­s­la­ti­vo. No obstante, los gestores de páginas web y los comercios online no deben perderlo de vista. A di­fe­re­n­cia del Re­gla­me­n­to general de pro­te­c­ción de datos, que regula los pri­n­ci­pios de pro­te­c­ción de datos, el Re­gla­me­n­to ePrivacy se refiere a un sector es­pe­cí­fi­co, la pro­te­c­ción de la pri­va­ci­dad en la vida diaria digital, de ahí que a los gestores de páginas web se vayan a tener que enfrentar a nuevas normas.

¿Qué mo­di­fi­ca­cio­nes se in­tro­du­je­ron en mayo de 2018 con el Re­gla­me­n­to europeo de pro­te­c­ción de datos? Los cambios más im­po­r­ta­n­tes para los gestores de páginas web son:

1. La amplia obli­ga­ción de do­cu­me­n­ta­ción acre­di­ta­ti­va del RGPD
2. Permisos más complejos
3. Los pri­n­ci­pios básicos de privacy by design y privacy by default
4. Mayores derechos de acceso y derecho de supresión
5. El derecho a la tra­n­s­fe­ri­bi­li­dad de los datos
6. Deberes in­fo­r­ma­ti­vos más amplios (p. ej., para la de­cla­ra­ción de pri­va­ci­dad de una página web)
7. La prohi­bi­ción de aso­cia­ción en las au­to­ri­za­cio­nes
8. Multas muy elevadas

En los párrafos an­te­rio­res ya se han explicado algunos puntos. Te pre­se­n­ta­mos ahora la de­cla­ra­ción de pri­va­ci­dad y la prohi­bi­ción de aso­cia­ción, puesto que ambos co­n­cie­r­nen pri­n­ci­pa­l­me­n­te a los gestores de páginas web.

Las normas sobre la política de pri­va­ci­dad están entre las novedades del RGPD más im­po­r­ta­n­tes para los gestores de páginas web, y es que todas las páginas web deben contener un aviso de pri­va­ci­dad. El apartado 2 del artículo 13 del RGPD recoge una lista detallada de los datos que debe contener toda de­cla­ra­ción de pri­va­ci­dad. Asimismo, su forma también está regulada por el Re­gla­me­n­to europeo de pro­te­c­ción de datos: dicha de­cla­ra­ción o aviso debe aparecer en lenguaje claro y co­m­pre­n­si­ble, de ahí que a la tra­n­s­pa­re­n­cia juegue un papel esencial (art. 12).

Por el contrario, en la prohi­bi­ción de aso­cia­ción es donde los expertos en­cue­n­tran las mayores re­s­tri­c­cio­nes del Re­gla­me­n­to general de pro­te­c­ción de datos para la industria in­fo­r­má­ti­ca. Según la prohi­bi­ción de aso­cia­ción, los gestores de páginas web ya no pueden obligar a sus clientes po­te­n­cia­les a ceder los datos que no sean ne­ce­sa­rios para las ac­ti­vi­da­des en cuestión. Como ejemplo, si para la ce­le­bra­ción del contrato se exige si­mu­l­tá­nea­me­n­te la su­s­cri­p­ción a la ne­w­s­le­t­ter, se estaría in­fri­n­gie­n­do el derecho de la UE. El principio más im­po­r­ta­n­te del co­n­se­n­ti­mie­n­to es la libre voluntad. En muchos co­n­se­n­ti­mie­n­tos acoplados, la libre voluntad puede brillar por su ausencia, de ahí que los co­n­se­n­ti­mie­n­tos obtenidos así sean, en co­n­se­cue­n­cia, in­e­fi­ca­ces.

Por último, es in­di­s­pe­n­sa­ble tener en cuenta las mo­di­fi­ca­cio­nes en las obli­ga­cio­nes de do­cu­me­n­ta­ción, en las bases del co­n­se­n­ti­mie­n­to, en al­ma­ce­na­mie­n­to, en derechos de acceso y en derecho de supresión. En pa­r­ti­cu­lar, puede que haya nuevas re­gu­la­cio­nes que afecten tanto a gestores de páginas web como a empresas.

De cara a aplicar el Re­gla­me­n­to europeo de pro­te­c­ción de datos, en primer lugar, debes co­n­si­de­rar que las medidas ne­ce­sa­rias se imponen de manera diferente en función de cada empresa. No obstante, hay algunas pre­cau­cio­nes que toda empresa debe tomar y que de­ta­lla­mos a co­n­ti­nua­ción:

• Establece los procesos de do­cu­me­n­ta­ción para el tra­ta­mie­n­to de datos pe­r­so­na­les.
• Crea un di­re­c­to­rio para las tareas de pro­ce­sa­mie­n­to de datos.  
• Crea vías de co­mu­ni­ca­ción para las consultas de los clientes sobre pro­te­c­ción de datos.  
• Evalúa si es necesario recurrir a un delegado de pro­te­c­ción de datos.
• Adapta la de­cla­ra­ción de pri­va­ci­dad de tu página a las nuevas re­gu­la­cio­nes.
• Consulta con el jefe del de­pa­r­ta­me­n­to técnico y los delegados de pro­te­c­ción de datos si las medidas técnicas actuales sobre pro­te­c­ción de datos son su­fi­cie­n­tes. En algunas ci­r­cu­n­s­ta­n­cias será necesario recurrir a otras medidas o integrar mejor en la in­frae­s­tru­c­tu­ra de TI las ya exi­s­te­n­tes.
• Todos los datos pe­r­so­na­les re­co­pi­la­dos que infringen la prohi­bi­ción de aso­cia­ción deben recabarse de otro modo y obtenerse de manera vo­lu­n­ta­ria.
• Si has recurrido a servicios externos para procesar datos pe­r­so­na­les para tu empresa, debes co­n­su­l­tar­les si los acuerdos ce­le­bra­dos son de co­n­fo­r­mi­dad con la reforma sobre pro­te­c­ción de datos. Adapta los acuerdos a las nuevas exi­ge­n­cias.
• Comprueba la manera en que solicitas el co­n­se­n­ti­mie­n­to de tus clientes en tu tienda online y adapta dichos pro­ce­di­mie­n­tos a las di­s­po­si­cio­nes del RGPD.
• Mantente ac­tua­li­za­do sobre todo lo relativo al Re­gla­me­n­to ePrivacy. En el futuro podrás regular cómo los negocios online tratan con he­rra­mie­n­tas de análisis y de se­gui­mie­n­to.
• Si no estás seguro, busca ase­so­ra­mie­n­to pro­fe­sio­nal.

La apro­ba­ción del RGPD levantó opiniones tanto positivas como negativas. Aun así, lo que queda claro grosso modo es que el Re­gla­me­n­to aporta seguridad a los co­n­su­mi­do­res y las empresas y establece las mismas co­n­di­cio­nes para todos los agentes del mercado.

Como co­n­clu­sión, te pre­se­n­ta­mos algunas de las reac­cio­nes que se pro­du­je­ro­n­so­bre el Re­gla­me­n­to europeo de pro­te­c­ción de datos.

Las posibles co­n­se­cue­n­cias del Re­gla­me­n­to europeo de pro­te­c­ción de datos han sido objeto de debate durante años y parece que algunas pre­di­c­cio­nes, tanto positivas como negativas, se están haciendo realidad desde su im­pla­n­ta­ción. Estos han sido los cambios más re­le­va­n­tes re­la­cio­na­dos con el RGPD, que afectan tanto a empresas como a co­n­su­mi­do­res.

En este sentido, muchos medios pusieron de ma­ni­fie­s­to que un número bastante elevado de empresas no estaban pre­pa­ra­das para aplicar el Re­gla­me­n­to general de pro­te­c­ción de datos. En concreto, las pymes siguen siendo más lentas a la hora de ponerse al día, lo que en teoría podría re­pe­r­cu­tir ne­ga­ti­va­me­n­te en los re­su­l­ta­dos eco­nó­mi­cos, aunque hasta la fecha no hay datos exactos al respecto. Por el contrario, las empresas digitales nativas, pudieron so­bre­vi­vir a los cambios gracias a un pre­su­pue­s­to mi­llo­na­rio y a una ex­pe­rie­n­cia pro­fe­sio­nal co­n­so­li­da­da e incluso uti­li­za­ron el RGPD para sus propios fines pu­bli­ci­ta­rios.

El RGPD no es solo fuente de confusión en nuestro te­rri­to­rio, sino también allende fronteras, por ejemplo, en los EE. UU., donde muchas empresas, en lugar de adaptar su normativa a la nueva orden europea, bloquean a usuarios con IP europea, reducen la oferta in­fo­r­ma­ti­va o exigen un recargo a cambio de contenido. A esto se añaden las pequeñas páginas que por miedo a las sanciones han des­apa­re­ci­do de la red. Estos eventos se alinean en el escenario de la “fuga de datos” del que los sectores críticos del RGPD recelan.

Al mismo tiempo, la entrada en vigor del RGPD ha motivado un debate in­te­r­na­cio­nal alrededor de la pro­te­c­ción de los datos pe­r­so­na­les que, según los expertos, hace tiempo que debía haberse abordado. Hoy, los grandes grupos, como Alphabet (Google) o Meta (Facebook, WhatsApp, Intragram), se sitúan con mayor fre­cue­n­cia en el foco de atención público y se observan desde un punto de vista más crítico.

La gran “oleada de sanciones” que muchos actores del mercado temieron durante un tiempo nunca llegó a pro­du­ci­r­se. Pese a todo, desde enero de 2019 se vienen avistando en muchas empresas, con creciente fre­cue­n­cia, supuestas “multas” en la forma de correos ele­c­tró­ni­cos que suelen contener malware alojado en archivos adjuntos, por lo que deberían cla­si­fi­car­se de inmediato como correo basura y eli­mi­nar­se.

La AEPD (Agencia Española de Pro­te­c­ción de Datos) también alerta de las supuestas co­n­su­l­to­ras que ofrecen sus servicios de forma gratuita a las pymes. En este patrón de fraude, la co­n­su­l­to­ra se pone en contacto con la empresa y, generando miedo a las sanciones, logra que la pyme acepte sus servicios gratuitos si so­li­ci­ta­se créditos de formación fi­na­n­cia­dos con fondos públicos (FUNDEA). La co­n­su­l­to­ra ofrece estos cursos pagados por los co­n­tri­bu­ye­n­tes y servicios gratuitos de co­n­su­l­to­ría de RGPD que son in­su­fi­cie­n­tes y que podrían acarrear problemas serios para las empresas. Otras empresas frau­du­le­n­tas ofrecen sus servicios a muy bajo coste o incluso fingen estar avaladas por la AEPD. En vista de la picaresca en torno al RGPD, la Aso­cia­ción Pro­fe­sio­nal Española de Pri­va­ci­dad (APEP) ha publicado en su web un decálogo con el fin de apoyar a las empresas en su búsqueda de agencia.

Si bien la ola de pánico ante las sanciones se fue des­in­fla­n­do pro­gre­si­va­me­n­te cuando pasaron los primeros meses, la AEPD ya informó de un notable in­cre­me­n­to en las denuncias por parte de los usuarios, lo cual se in­te­r­pre­tó po­si­ti­va­me­n­te como una toma de co­n­cie­n­cia por parte del co­n­su­mi­dor sobre los derechos que le amparan.

Las empresas en España no han co­n­se­gui­do salvarse de las sanciones del RGPD. Así lo de­mue­s­tran páginas web como GDPR En­fo­r­ce­me­nt Tracker que recoge por las multas hechas públicas impuestas por país, fecha, motivo de la sanción, etc.

La entrada en vigor del RGPD trajo consigo muchas preguntas. De pronto, poner el nombre en los timbres –como se aco­s­tu­m­bra a hacer en algunas ciudades– o publicar listas de nombres en las webs de aso­cia­cio­nes de­po­r­ti­vas empezó a levantar dudas. En vista del Re­gla­me­n­to, colgar una lista de vecinos morosos o del gasto ene­r­gé­ti­co por familia en la portería puede estar in­fri­n­gie­n­do la ley.

En otras cue­s­tio­nes, como en la del derecho al olvido, la ju­ri­s­pru­de­n­cia ha logrado una mayor claridad. En junio de 2018 el Tribunal Co­n­s­ti­tu­cio­nal se pronunció por primera vez, desde la entrada en vigor del RGPD, en materia de pro­te­c­ción de datos, a pesar de que los hechos tuvieron lugar cuando la antigua LOPD estaba vigente. La sentencia considera que se vu­l­ne­ra­ron los derechos a la intimidad, al honor y la pro­te­c­ción de datos de dos personas cuyos nombres fueron pu­bli­ca­dos en relación con un delito de hace más de 30 años. La noticia podía en­co­n­trar­se fá­ci­l­me­n­te en la he­me­ro­te­ca y los nombres podían buscarse fá­ci­l­me­n­te en Internet.

Por favor, ten en cuenta el aviso legal relativo a este artículo.