La normativa va cambiando con mucha frecuencia, sobre todo cuando se refiere a la economía digital, el sector en el que quizás se experimenta una mayor y constante evolución.
En este año en que el principal reto para la economía en general es alcanzar una realidad lo más próxima posible a la normalidad, los legisladores nacionales y europeos nos presentan continuos desafíos para que adaptemos los negocios digitales a las nuevas exigencias. Por esta razón, y para que nuestras empresas adheridas siempre estén informadas, a principios de año publicamos un calendario legislativo en el que resumimos las modificaciones clave para tu negocio y, mes a mes, profundizamos sus implicaciones en nuestra Newsletter.
Sin embargo, desde Confianza Online somos conscientes de la relevancia de la normativa en materia de protección de datos que, a estas alturas, debería ser ya aplicada correctamente por todo el panorama digital, pero en especial por nuestras entidades adheridas. Por ello, queremos proponerte un repaso de los puntos más importantes de la Ley Orgánica de Protección de Datos y garantía de los derechos digitales con el objetivo de que te sirva de guía para tu negocio. Además, también te invitamos a consultar nuevamente la Guía sobre cómo recabar el consentimiento en tu web que, desde Confianza Online, publicamos para vuestro uso.
En cada uno de los siguientes apartados, podrás acceder a la noticia completa que publicamos en 2019 desgranando todos estos puntos:
Derechos digitales: el reconocimiento y garantía de los Derechos Digitales es un punto clave de la normativa, ya que se aplican de manera transversal al ámbito social, educativo y a todos los proveedores de servicios de Internet. Estos derechos son entre otros, de acceso universal, a la neutralidad, a la seguridad y educación digital- con especial atención a la protección de menores- y al olvido. En el ámbito laboral, destaca el derecho a la desconexión digital.
Principios en la protección de datos: bajo la premisa que la protección de datos debe basarse en la transparencia y la claridad, se establecen como principios de protección de datos: la exactitud para actualizar de manera eficaz y continua las bases de datos; el deber de confidencialidad; el tratamiento basado en el consentimiento expreso del afectado, resultado de una manifestación inequívoca y específica, máxime cuando se tratan datos de menores o de categorías especiales de datos.
Consentimiento e interés legítimo: todo tratamiento de datos personales tendrá que ser lícito, leal y transparente. Para cumplir con esta obligación será necesario informar a los usuarios en el momento en el que se recaban sus datos personales, de una manera clara, accesible y con un lenguaje fácil de comprender.
Códigos de conducta y certificación: tanto el RGPD como la LOPDGDD otorgan un papel fundamental a los códigos de conducta y a los sistemas de certificación con el objetivo de concienciar a empresas y consumidores sobre la gran importancia de cumplir con la normativa. Por su parte, los sistemas de certificación apoyan a las empresas a la hora de identificar qué cualidades, funciones, criterios o conocimientos deben cumplir y tener los encargados y responsables del tratamiento de datos y el delegado de protección de datos.
Obligaciones del responsable y del encargado del tratamiento de datos: aunque cumplen con criterios comunes, cada una de estas figuras tiene diferentes funciones. En concreto, el encargado del tratamiento -que por lo general suele ser una figura externa a la empresa- se encargará del tratamiento de datos en base a lo que disponga el responsable de la base de datos. El responsable del tratamiento -que suele formar parte del equipo de la propia empresa- es la figura que determina cómo deberán tratarse los datos personales.
El tratamiento de datos en las listas de exclusión publicitaria: un tratamiento lícito de datos personales debe evitar el envío de comunicaciones comerciales a aquellos los usuarios que hayan manifestado su deseo de no recibirlas o que, incluso, aun habiendo dado su consentimiento inicial, posteriormente se opongan a seguir recibiéndolas. Para alcanzar este objetivo existen las llamadas “listas de exclusión publicitaria” (por ejemplo, la Lista Robinson) que deberán ser consultadas por las empresas antes de lanzar una campaña publicitaria.
Cómo aplicar el sistema de información por capas: para cumplir con el deber de informar, entre las recomendaciones facilitadas por la AEPD, las páginas web podrán utilizar un sistema de información por capas o niveles para transmitir, de forma correcta, la información necesaria que debe facilitarse a un usuario en el momento en el que se recaban sus datos. En la primera capa se aportará la información básica con datos del responsable, finalidad, legitimación, destinatarios, derechos y un enlace a la segunda capa, que contendrá toda esta información más ampliada.
La figura del delegado de protección de datos y las evaluaciones de impacto: la designación de un DPD, que podrá tener carácter obligatorio o voluntario y ser una figura interna o externa de la empresa, deberá ser comunicada a la Agencia Española de Protección de Datos o a las autoridades autonómicas. Su designación será obligatoria en colegios profesionales, centros docentes, prestadores de comunicaciones electrónicas o servicios de la sociedad de la información, entidades de crédito, distribuidores y comercializadores de energía y gas, empresas dedicadas a actividades publicitarias o comerciales, centros sanitarios, operadores de juego, empresas de seguridad y federaciones deportivas, entre otras. Una de sus principales funciones es analizar la necesidad de hacer evaluaciones de impacto cuando se tratan categorías especiales de datos o se elaboran perfiles a través de procesos automatizados.
Ampliación del derecho al olvido: permite que los usuarios modifiquen o eliminen su huella digital a través de la supresión de enlaces o contenidos de motores de búsqueda, redes sociales y servicios similares cuando la información mostrada es inadecuada, inexacta, excesiva o está desactualizada. En el caso de los motores de búsqueda, es importante recalcar que la eliminación de una información concreta se podrá aplicar a los resultados de una determinada búsqueda y para un país, lo que no implica que ese mismo resultado pueda seguir mostrándose para otros criterios de búsqueda.
Funciones de la AEPD y régimen sancionador: la Agencia Española de Protección de Datos como organismo competente para la protección de las personas físicas en lo relativo al tratamiento de datos personales se encargará, entre otras funciones, de mantener un listado público y actualizado de delegados de protección de datos, tramitar las reclamaciones recibidas tanto por usuarios como por empresas, aprobar los Códigos de Conducta en coordinación con el Comité Europeo de Protección de Datos, publicar los sistemas de exclusión publicitaria, autorizar transferencias internacionales a terceros países, realizar actuaciones de investigación y planes de auditoría, cooperar con otras autoridades de control para garantizar la coherencia y la eficacia de la aplicación normativa y garantizar la protección de los datos personales de las personas físicas en aplicación de cualquier Convenio Internacional en el que sea parte el Estado español.