El próximo 25 de mayo entra en vigor el nuevo Reglamento General de Protección de Datos (RGPD).
A partir de esa fecha será de obligado cumplimiento en todo el territorio de la Unión Europea (UE) y para todas las empresas, autónomos y administraciones públicas de los Estados miembros.
La modificación de la antigua LOPD entró en 2016 y se han permitido dos años de adaptación que expiran el próximo 25 de mayo. Esto quiere decir que quien no esté adaptado a la nueva normativa en esa fecha está expuesto a multas de hasta el 4% de su facturación anual o 20.000.000 euros.
Los cambios más destacados implican directamente al usuario ya que cobra protagonismos pasando de ser un sujeto pasivo a activo:
- Recogida de datos para un uso concreto. La información suministrada para recabar datos tiene que ser clara para que sea fácilmente comprendida por el interesado. Además, los datos tienen que ser recogidos para un uso determinado y previamente establecido que además tiene que ser legítimo.
- Tratamiento lícito de los datos. Esto quiere decir que el usuario debe dar el consentimiento expreso para su uso, que los datos sean utilizados para la firma de un contrato en el que el interesado interviene o cuando sean imprescindibles para para proteger intereses legítimos.
- Deben mantenerse actualizados y almacenados de un modo en el que quede garantizada su seguridad.
- Restringidos a la UE y con marco de protección. Está prohibido enviar datos personales fuera de Espacio Económico Europeo a un país que no ofrezca la suficiente protección a los mismos.
- Conocer para qué recaban tus datos y derecho a llevártelos cuando quieras. Se amplía el derecho de las personas a conocer la finalidad y el tratamiento de sus datos personales cuando le sean solicitados. El interesado tiene derecho a mover, copiar o transferir de manera personal sus datos a otra empresa, incluso cuando quiera llevárselos a la competencia.
- Comunicar el robo de datos. Si existen violaciones en la seguridad de la protección de datos los responsables de estos tienen que avisar a las autoridades competentes en menos de 72 horas.
- Responsable en unos casos o DPO en otros. La gran mayoría de las empresas tendrán que tener un responsable de esos ficheros y solo están obligados a designar a un Delegado de Protección de Datos (DPO) si la empresa lleva a cabo una observación habitual y sistemática de interesados y si tratas a gran escala categorías especiales de datos.
- Sanciones por incumplimiento. Y cuidado con no adecuarse al RGPD porque se prevén sanciones al incumplimiento que podrán llegar a los 20 millones de euros o al 4% del volumen de negocio dependiendo de los casos.