El 25 de mayo de 2018 es la fecha clave de un profundo cambio normativo en el conjunto de la Unión Europea, que afectará a todo lo relacionado con los negocios en Internet. Por un lado, con seguridad entrará en vigor el nuevo Reglamento General de Protección de Datos (RGPD) que sustituye la ya obsoleta directiva comunitaria vigente desde 1995. Por otro, es probable que ese mismo día ya se aplique también el nuevo reglamento de e-Privacy, aunque todavía hay elementos de su tramitación parlamentaria y ejecutiva que podrían retrasarlo, pero no por mucho tiempo. Hoy nos centraremos concretamente en resolver las preguntas más relevantes sobre el RGPD para los negocios online, y en un próximo artículo haremos lo mismo respecto al reglamento de e-Privacy.
1. ¿Cómo se amplía la protección de los datos personales?
El RGPD dedica gran parte de sus noventa y nueve artículos a establecer derechos de protección para los datos de los usuarios. Esos derechos constituyen otras tantas obligaciones para cuantas empresas interactúen con ellos en Internet. Aparte de los datos personales ordinarios, se amplía la protección a todos los datos que puedan servir para identificar a una persona, lo que incluye su dirección tanto física como electrónica (la IP).
Es decir, la detección, el almacenamiento y el ulterior uso de la IP del cliente pasa a regularse de manera estricta. Obviamente, esto afecta también a las cookies destinadas a identificar clientes, asunto que abordaremos más a fondo en el artículo sobre la nueva normativa de e-Privacy. Por otro lado, siguen siendo datos personales sensibles, y sometidos a mayor protección, todos los relacionados con la información genética de una persona, sus creencias religiosas e ideas políticas, su orientación sexual, etc.
2. ¿Qué debo tener en cuenta a partir de ahora?
Si tienes una tienda online o cualquier otro sitio web que recoja datos sometidos a protección, debes tener en cuenta que de mayo en adelante se endurecerá el control de la Administración. Entre otras cosas, el RGPD establece todo un nuevo régimen sancionador y se esperan multas cuantiosas para forzar el cumplimiento generalizado. En general, el incumplimiento del RGPD conllevará sanciones de hasta el 4% de la cifra de negocio de la empresa sancionada o veinte millones de euros (lo que resulte más elevado). Por ejemplo, en el Reino Unido se ha calculado que las sanciones podrán ser casi ochenta veces superiores a las que se venía amplicando.
Por otro lado, los usuarios van a tenerlo más fácil para denunciar el mal uso de sus datos. Podrán acceder con mayor facilidad a conocer qué datos posee sobre ellos una empresa e instar su rectificación o borrado, que podrán exigir cuando ya no resulte necesario para su finalidad original, cuando retiren su consentimiento o cuando hayan sido recogidos sin su consentimiento expreso. Toda empresa va a estar sometida a la obligación de responder a cualquier particular sobre la tenencia o no de datos personales suyos.
3. ¿Quiénes están sujetos a responsabilidad?
Tienen la mayor importancia dos funciones:
- Controlador de datos. Es la persona (jurídica, normalmente) que para el ejercicio de su acción toma datos sometidos a protección, y decide su propósito y su forma de emplearlos dentro del marco permitido por el RGPD. Por lo tanto este concepto afecta a la empresa como tal y a sus administradores.
- Procesador de datos. Es la persona física (o el grupo de personas) que formalmente responde de la gestión de los datos en nombre de la empresa controladora. Pasa a tener una fuerte responsabilidad personal. “Procesar” datos es obtenerlos, grabarlos, adaptarlos y mantenerlos.
4. ¿Las pymes digitales se verán particularmente afectadas?
Obviamente, las nuevas obligaciones afectan sobre todo a las compañías nuevas o pequeñas, al disponer normalmente de menor presupuesto para asesoramiento jurídico. La responsable irlandesa de protección de datos, Helen Dixon, ha señalado que las grandes multinacionales digitales domiciliadas en su país no van a tener problemas en adaptarse a la nueva normativa, pero reclama mayor información y apoyo a las pymes.
Para las pymes digitales es importante:
- Contacto. Publicar los datos de contacto efectivo con la empresa para cuestiones de protección de datos y las personas responsables.
- Consentimiento. Recabar el consentimiento inequívoco e informado de recogida y proceso de datos de una forma directa y consciente, con lenguaje llano. El RGPD refuerza el mecanismo de consentimiento explícito y ya no valdrán prácticas como las casillas premarcadas con links a un farragoso texto legal.
- Procedimientos. Establecer procedimientos internos sencillos para la modificación o borrado de datos de los individuos que lo exijan, y para responder con celeridad a cualquier solicitud de acceso a los mismos.
- Políticas. Disponer de un buen documento de políticas de protección de datos, publicarlo y tener mecanismos adecuados para la detección de fallos de seguridad (que deberás solucionar en setenta y dos horas). Todo ello te ayudará en caso de demanda judicial.
- Menores. Tener especial cuidado, en los casos oportunos, respecto a los datos recogidos de personas menores de edad, estableciendo mecanismos de control y autorización parental.
5. Pero mis servidores o mi empresa están en otro país…
No importa: se prevé expresamente la aplicación extraterritorial a todos los sitios web que operen en Europa (es decir, que vendan a clientes europeos) sin importar dónde esté inscrita la sociedad mercantil o dónde se encuentren los servidores. De hecho, la Comisión se ha mostrado segura de poder forzar su cumplimiento por parte de los gigantes extracomunitarios del e-commerce, en sus ventas a ciudadanos de la Unión. Ya se habla del posible bloqueo europeo a los sitios web que incumplan el reglamento desde el exterior, y se establece (artículo 68 y siguientes) un poderoso comité europeo compuesto por representantes de las autoridades nacionales de protección de datos.
Por otro lado, el nuevo reglamento se aplicará al conjunto de la Unión Europea, incluido el Reino Unido a pesar de su actual proceso de salida de la UE. Además, y a diferencia de otras normas, entrará en vigor al mismo tiempo para todos los países miembros.