Bea Redondo Tejedor

Head of Content

La Protección de Datos es una ciencia compleja, pero que nos intriga a muchos (ya sea por necesidad profesional o porque entremos en estado de pánico al escuchar sobre casos como el de Facebook y Cambridge Analytica).

Primero llegó el Reglamento General de Protección de Datos (General Data Protection Regulation, GDPR). Y, ahora, podemos añadir también la nueva LOPD, o más concretamente, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

Te lees guías y artículos sobre lo que puedes y no puedes hacer para que, en cuanto crees haber dominado la normativa, aparezca un nuevo cambio que nos obligue a cambiar nuestras prácticas y calmar esa sensación constante de estar conduciendo en dirección contraria, sin saber muy bien contra qué vamos a chocarnos en cada momento.

¿No tienes muy claro aún cómo funciona y cómo va a afectarte? Te lo contamos.

 

RGPD: El Reglamento General de Protección de Datos de la Unión Europea

Pues sí, el nuevo Reglamento europeo entró en vigor en mayo de 2016 y es aplicable desde el 25 de mayo de 2018, momento en el que sustituyó definitivamente a la Directiva 95/46/CE, que regía gran parte de la actividad de los profesionales del marketing.

¿Cuál es la diferencia entre una directiva y un reglamento?

Puede que te hayas hecho esta pregunta o puede que, con tantos cambios para adaptarte, ni te hayas percatado de que ya no hablamos de Directiva, sino de Reglamento.

La principal diferencia entre los Reglamentos y las Directivas radica en su forma de aplicación. Mientras que la anterior Directiva 95/46/CE que regulaba la protección de datos en los estados miembros dejaba mucho margen de actuación a los diferentes países, el nuevo Reglamento es de aplicación directa, sin que sea necesario ningún trámite previo de adaptación.

giphy (1)

En esencia, esto se traduce en que la disparidad jurídica que aún existía en materia de protección de datos entre diferentes estados de la Unión Europea desaparece, pues si bien antes el alcance de las medidas podía variar de un país a otro, el nuevo Reglamento pasa a ser normativa interna desde el momento en que entra en vigor (en este caso, desde el 25 de mayo de 2016).

La nueva LOPD para la Protección de Datos en España

Como hemos dicho anteriormente, el nuevo Reglamento General de Protección de Datos es de aplicación directa para todo aquel que trabaje con datos de individuos que residan en alguno de los estados miembros. Sin embargo, la propia norma contempla la posibilidad de que sus directrices puedan ser especificadas o restringidas internamente en los diferentes países miembros “en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios“.

En España, esto se traduce en una nueva Ley Orgánica de Protección de Datos, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (la LOPDGDD), en la que se concretan ciertos aspectos del RGPD y que sustituye a la antigua ley, publicada en 1999.

El nuevo texto fue presentado como anteproyecto de ley ante el Consejo de Ministros el 24 de junio de 2017 y fue aprobado en el Congreso el 18 de octubre de 2018.

¿Qué regulará esta nueva Ley Orgánica de Protección de Datos?

Como ya hemos dicho, en su mayor parte el RGPD pasa a ser normativa interna, también en España. Sin embargo, para adecuarnos a este nuevo reglamento comunitario, la antigua Ley Orgánica de Protección de Datos ha debido ser actualizada, tanto para clarificar ciertos puntos como para eliminar incompatibilidades.

En concreto, esta nueva ley orgánica, que consta de 97 artículos, deberá precisar el alcance de algunos de los elementos introducidos en el RGPD. Algunos de los puntos sobre los que se pronunciará serán:

  • Los principios de protección de datos, así como su tratamiento y las formas óptimas de solicitar y otorgar el consentimiento.
  • La edad mínima para que un menor de consentimiento al tratamiento de sus datos, que queda fijada en los 14 años.
  • El modo en la que se tratan los datos de las personas fallecidas (los herederos o familiares tendrán derecho a acceder, modificar o borrar esos datos).
  • Los tratamientos concretos de datos, como pueda ser el caso de la información de carácter crediticio o de los datos relacionados con la realización de determinadas operaciones mercantiles.
  • La necesidad de verificar que los destinatarios no figuren en las Listas Robinson de exclusión publicitaria antes de enviar una comunicación comercial.

Otros elementos importantes recogidos en la nueva ley serán los requisitos para la certificación de los Delegados de Protección de Datos, el régimen sancionador y los diferentes derechos de los afectados.

Delegado de Protección de Datos

El RGPD estipula que existe la necesidad de designar a un Delegado de Protección de Datos en tres supuestos:

  1. En el caso de que el tratamiento de los datos corresponda a una autoridad u organismo público.
  2. Cuando las actividades y operaciones principales del responsable de datos exijan un seguimiento regular y sistemático a gran escala.
  3. En el supuesto de que las actividades y operaciones principales del responsable requieran tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.

Para aportar más claridad, la nueva LOPD establece hasta 16 casos concretos en los que se exige su existencia, de manera taxativa. Entre ellos, se encuentran los colegios profesionales, los centros de enseñanza, los establecimientos financieros de créditos, las aseguradoras o las empresas de servicios de inversión. Estos DPD deben ser conocidos por la Agencia de Protección de Datos.

El régimen sancionador

El RGPD estipula que, en caso de incumplimiento, las multas pueden llegar a ser de 20 millones o el 4 % del volumen de negocio anual global. La nueva LOPD ha concretado la clasificación de estas infracciones, dividiéndolas en muy graves, graves y leves.

  • Muy graves: Aquellas que impliquen el uso de los datos para una finalidad diferente de la anunciada, la omisión del deber de informar al afectado, la exigencia de un pago para poder acceder a los datos y la transferencia internacional de información sin garantías.
  • Graves: Aquellas que tengan que ver con datos de un menor recabados sin consentimiento, la no adopción de medidas técnicas y organizativas necesarias para la protección de datos efectiva o el incumplimiento de la obligación de nombrar un Delegado de Protección de Datos.
  • Leves: Todas las restantes.

¿Quieres dominar el emailing estas fiestas? Echa un vistazo a nuestro Kit de Emailing Navideño.

¿Cuándo entrará en vigor la nueva Ley Orgánica de Protección de Datos?

La nueva norma ha sido recientemente ratificada en el Senado y entrará en vigor al día siguiente de su publicación el B.O.E., lo que se espera que tenga lugar con la mayor rapidez.

Sí, estamos dispuestos a admitirlo: esto de las normativas de protección de datos es un tema complicado que también nos ha dado a nosotros más de un quebradero de cabeza.

giphy (2)

Si aún no tienes muy claro si tu negocio cumple con el Reglamento General de Protección de Datos, échale un vistazo a nuestra Guía de Recursos RGPD, con toda la información que necesitas sobre la nueva normativa.

¿Preguntas? ¿Dudas? ¿O simplemente quieres compartir tu experiencia o desahogarte con nosotros? ¡Pásate por Twitter y cuéntanoslo todo!