Beatriz Redondo Tejedor

// Head of Content

La ley de Protección de Datos en España es una ciencia compleja, pero que nos intriga a muchos (ya sea por necesidad profesional o porque entremos en estado de pánico al escuchar sobre casos como el de Facebook y Cambridge Analytica).

Primero llegó el Reglamento General de Protección de Datos (General Data Protection Regulation, GDPR). Y desde finales de 2018 podemos añadir también la nueva LOPD, o más concretamente, la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).

¿No tienes muy claro aún cómo funciona y cómo va a afectarte? Te lo contamos.

 

RGPD: El Reglamento General de Protección de Datos de la Unión Europea

Te lees guías y artículos sobre lo que puedes y no puedes hacer para que, en cuanto crees haber dominado la normativa, aparezca un nuevo cambio que nos obligue a cambiar nuestras prácticas y calmar esa sensación constante de estar conduciendo en dirección contraria, sin saber muy bien contra qué vamos a chocarnos en cada momento.

Así nos sentimos muchos durante 2018, con la llegada del RGPD. Seguro que has oído hablar mucho de esta normativa, ya sea como consumidor o profesional, pero… ¿sabes realmente en qué consiste?

¿Qué es el RGPD?

El RGPD, o Reglamento General de Protección de Datos (también conocido como GDPR, por sus siglas en inglés), es la norma de referencia europea en materia de protección de datos, que refuerza y unifica la protección de los datos de los individuos en el seno de la Unión Europea.

El nuevo reglamento europeo entró en vigor en mayo de 2016 y es aplicable desde el 25 de mayo de 2018, momento en el que sustituyó definitivamente a la Directiva 95/46/CE, que regía gran parte de la actividad de los profesionales del marketing.

Una de las particularidades de este texto es que extiende el campo de aplicación de la ley al conjunto de entidades u organizaciones, tengan o no sede en la Unión Europea, cuando trabajen con información personal de residentes europeos.

Otra particularidad es que El RGPD no diferencia entre empresas B2B y B2C, y se aplica a ambos sin distinción. Esto afecta a muchas actividades de prospección que usaban las empresas B2B, puesto que la dirección de email profesional de un individuo se considera ahora información personal.

¿Cuál es la diferencia entre una directiva y un reglamento y por qué es importante?

Puede que te hayas hecho esta pregunta o puede que, con tantos cambios para adaptarte, ni te hayas percatado de que ya no hablamos de Directiva, sino de Reglamento.

La principal diferencia entre los Reglamentos y las Directivas radica en su forma de aplicación. Mientras que la anterior Directiva 95/46/CE que regulaba la protección de datos en los estados miembros dejaba mucho margen de actuación a los diferentes países, el nuevo Reglamento es de aplicación directa, sin que sea necesario ningún trámite previo de adaptación.

giphy (1)

En esencia, esto se traduce en que la disparidad jurídica que aún existía en materia de protección de datos entre diferentes estados de la Unión Europea desaparece, pues si bien antes el alcance de las medidas podía variar de un país a otro, el nuevo Reglamento pasa a ser normativa interna desde el momento en que entra en vigor (en este caso, desde el 25 de mayo de 2016).

¿Cuáles son los puntos clave que introduce el RGPD?

El RGPD es una normativa ambiciosa en materia de protección de datos que ha introducido numerosos cambios con respecto a la anterior Directiva 95/46/CE y que están sirviendo de referencia en materia de protección de datos a nivel internacional.

Los principales cambios a tener en cuenta son:

  • Definición expandida de lo que es la información personal: Cualquier información que contribuya a la identificación de una persona física está incluida dentro de la nueva definición de “datos personales”.
  • Derechos individuales y condiciones para el consentimiento nuevas y fortalecidas:Se fortalecen los derechos de acceso, el derecho al olvido, y a la portabilidad de los datos. Los responsables y encargados del tratamiento de los datos personales tienen la obligación de comunicar de forma clara estos derechos a los individuos de los que toman los datos.
  • Mayores responsabilidades para quienes tratan y procesan la información:Tanto los responsables de los datos personales, como los que los procesan (los encargados del tratamiento, como pueden ser terceros proveedores de servicios) deben cumplir con el RGPD y contra ellos pueden emprenderse acciones legales.
  • Efecto extraterritorial:El RGPD es de aplicación directa para todos aquellos que traten información personal de personas físicas que residan en la UE, independientemente de donde se encuentren.
  • Obligación de poner medidas preventivas de protección de datos: Es imprescindible realizar una evaluación de impactoyponer en marcha todas las medidas técnicas y organizativas necesarias con el fin de prevenir cualquier tipo de riesgo.
  • Deber de informar sobre brechas de seguridad:En caso de brecha de seguridad, el responsable de los datos deberá notificar a la autoridad nacional correspondiente en un plazo de 72 horas.
  • La figura del delegado de la protección de los datos (DPD):El RGPD estipula que existen una serie de supuestos en los que una entidad debe designar a un Delegado de Protección de Datos, algo que en España ha ahondado la LOPD 2019.
  • Medidas técnicas y organizativas más estrictaspara las empresas y los encargados del tratamiento de datos personales.

 

¿Cuál es la multa por incumplimiento del RGPD?

El Reglamento General de Protección de Datos estipula una serie de sanciones por incumplimiento que pueden llegar a ser de hasta 20 millones de euros o el 4 % de los beneficios anuales, cualquiera que sea la mayor de las dos.

El sistema de penalizaciones está organizado en niveles, regulados en nuestro país por la Agencia Española de Protección de Datos (AEPD) y la nueva LOPD de 2019. Por ejemplo, una empresa puede ser penalizada con un 2 % por no tener al día sus registros (artículo 28), por no notificar sobre una brecha de seguridad a la autoridad supervisora y a los afectados, o no llevar a cabo un evaluación del impacto.

La nueva LOPD 2019: la Ley de Protección de Datos en España

Como hemos dicho anteriormente, el nuevo Reglamento General de Protección de Datos es de aplicación directa para todo aquel que trabaje con datos de individuos que residan en alguno de los estados miembros. Sin embargo, la propia norma contempla la posibilidad de que sus directrices puedan ser especificadas o restringidas internamente en los diferentes países miembros «en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios«.

En España, esto se traduce en una nueva Ley Orgánica de Protección de Datos, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (la LOPDGDD), en la que se concretan ciertos aspectos del RGPD y que sustituye a la antigua ley, publicada en 1999.

El nuevo texto fue presentado como anteproyecto de ley ante el Consejo de Ministros el 24 de junio de 2017 y fue aprobado en el Congreso el 18 de octubre de 2018.

¿Qué regula la nueva LOPD de 2019?

Como ya hemos dicho, en su mayor parte el RGPD pasa a ser normativa interna, también en España. Sin embargo, para adecuarnos a este nuevo reglamento comunitario, la antigua Ley Orgánica de Protección de Datos Personales ha debido ser actualizada, tanto para clarificar ciertos puntos como para eliminar incompatibilidades.

En concreto, esta nueva Ley Orgánica 3/2018, del 5 de diciembre, que consta de 97 artículos, deberá precisar el alcance de algunos de los elementos introducidos en el RGPD. Algunos de los puntos sobre los que se pronunciará serán:

  • Los principios de protección de datos, así como su tratamiento y las formas óptimas de solicitar y otorgar el consentimiento.
  • La edad mínima para que un menor de consentimiento al tratamiento de sus datos, que queda fijada en los 14 años.
  • El modo en la que se tratan los datos de las personas fallecidas (los herederos o familiares tendrán derecho a acceder, modificar o borrar esos datos).
  • Los tratamientos concretos de datos, como pueda ser el caso de la información de carácter crediticio o de los datos relacionados con la realización de determinadas operaciones mercantiles.
  • La necesidad de verificar que los destinatarios no figuren en las Listas Robinson de exclusión publicitaria antes de enviar una comunicación comercial.

Otros elementos importantes recogidos en la nueva ley serán los requisitos para la certificación de los Delegados de Protección de Datos, el régimen sancionador y los diferentes derechos de los afectados.

El Delegado de Protección de Datos en España

El RGPD estipula que existe la necesidad de designar a un Delegado de Protección de Datos en tres supuestos:

  1. En el caso de que el tratamiento de los datos corresponda a una autoridad u organismo público.
  2. Cuando las actividades y operaciones principales del responsable de datos exijan un seguimiento regular y sistemático a gran escala.
  3. En el supuesto de que las actividades y operaciones principales del responsable requieran tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.

Para aportar más claridad, la nueva LOPD establece hasta 16 casos concretos en los que se exige su existencia, de manera taxativa. Entre ellos, se encuentran los colegios profesionales, los centros de enseñanza, los establecimientos financieros de créditos, las aseguradoras o las empresas de servicios de inversión. Estos DPD deben ser conocidos por la Agencia de Protección de Datos.

El régimen sancionador en España

El RGPD estipula que, en caso de incumplimiento, las multas pueden llegar a ser de 20 millones o el 4 % del volumen de negocio anual global. La nueva LOPD ha concretado la clasificación de estas infracciones, dividiéndolas en muy graves, graves y leves.

  • Muy graves: Aquellas que impliquen el uso de los datos para una finalidad diferente de la anunciada, la omisión del deber de informar al afectado, la exigencia de un pago para poder acceder a los datos y la transferencia internacional de información sin garantías.
  • Graves: Aquellas que tengan que ver con datos de un menor recabados sin consentimiento, la no adopción de medidas técnicas y organizativas necesarias para la protección de datos efectiva o el incumplimiento de la obligación de nombrar un Delegado de Protección de Datos.
  • Leves: Todas las restantes.

 

Prepárate para cumplir con la Ley de Protección de Datos en España

Sí, estamos dispuestos a admitirlo: esto de las normativas de protección de datos es un tema complicado que también nos ha dado a nosotros más de un quebradero de cabeza. Y lo peor es que nunca tienes la sensación de estar al día. ¿La última a la que no paramos de darle vueltas? La Ley de Cookies de la Unión Europea o ePrivacy.

giphy (2)

En Mailjet, como plataforma que realiza tratamientos de datos para muchísimas empresas de todo el mundo, nos tomamos muy en serio la protección de los datos personales. Por eso, disponemos de la máximas medidas de seguridad, acreditadas por el certificado ISO 27001, y nos aseguramos tanto de cumplir con la normativa española y europea de protección de datos.

Pero además, queremos educar y concienciar a nuestros clientes y lectores sobre la importancia de proteger los datos de carácter personal de los que son responsables. Si aún no tienes muy claro si tu negocio cumple con el Reglamento General de Protección de Datos, échale un vistazo a nuestra Guía de Recursos RGPD, con toda la información que necesitas sobre la nueva normativa.

También puedes suscribirte a nuestra newsletter para estar al día de todas las novedades sobre protección de datos que afectan a la estrategia de marketing de pequeñas y grandes empresas.

Envía tus emails de forma segura con Mailjet
Crea y envía fácilmente emails de marketing y transaccionales con Mailjet. Mailjet cumple con el RGPD y cuenta con la certificación ISO 27001.

Crea tu cuenta ahora

¿Preguntas? ¿Dudas? ¿O simplemente quieres compartir tu experiencia y desahogarte con nosotros? ¡Pásate por Twitter y cuéntanoslo todo!