El 27 abril de 2016 el Parlamento Europeo aprobó la GDPR, o General Data Protection Regulation (Reglamento Europeo 2016/679), una ley europea que regula cómo se deben procesar los datos personales, incluido cómo se recopilan, utilizan, protegen y comparten.
Evidentemente, es una ley que afecta a las empresas, sobre todo a las que, directamente, se ven involucradas en la gestión de información personal y privada de los clientes.
Fuente: Freepik, pch.vector
¿Qué es el GDPR?
Como hemos adelantado, el significado de GDPR es Reglamento General de Protección de Datos, por tanto, su objetivo es reforzar la protección de datos de todas las personas cuya información personal esté dentro de su ámbito de aplicación, dándoles control total sobre su información personal.
Ya sabemos que la Comisión Europea suele estableces unas cuantas normativas para regular la gestión de las empresas, como, por ejemplo, la Ley Europea de IA. Pero, ¿qué ocurre con la información personal de los ciudadanos? Y, sobre todo, ¿cuáles son los riesgos que corren las empresas por no respetar sus normativas?
En el artículos hemos investigado qué es la GDPR y cuáles son las consecuencias para las empresas que no la aplican.
¿Qué se entiende exactamente por “datos personales”?
Los datos personales en el contexto del GDPR se refieren a todos los datos relacionados con una persona viva, identificada o identificable. Esto también incluye información que, si se recopila en conjunto, puede conducir a la identificación. Esto también se aplica a los datos cifrados o presentados con el uso de seudónimos, siempre que el cifrado sea reversible.
De conformidad con las obligaciones del Reglamento de protección de datos, esto significa que las claves de descifrado deberán mantenerse separadas de los datos.
Ejemplos de datos personales incluyen – por ejemplo – datos identificativos como nombres, datos genéticos, biométricos o de salud, datos web como direcciones IP, direcciones de correo electrónico personales, opiniones políticas y orientación sexual.
¿Cuándo se aplica la GDPR?
A continuación te proporcionaremos algunos ejemplos de aplicación de la ley.
- Se aplica cuando la base operativa de la organización está ubicada en la Unión Europea (esto se aplica independientemente de si el procesamiento se realiza en el territorio de la UE o no);
- En el caso de que la organización, aunque no tiene su sede en la Unión Europea, ofrezca bienes o servicios (incluso de forma gratuita) a los ciudadanos europeos. Podrán ser organismos públicos, empresas públicas o privadas, personas físicas u organizaciones sin fines de lucro.
- Si la organización, aunque no tiene su sede en la Unión Europea, supervisa el comportamiento de las personas que residen allí, siempre que dicho comportamiento tenga lugar dentro del territorio de la UE.
Concepto clave: el consentimiento
Para llevar a cabo una actividad de tratamiento de datos, la organización deberá obtener el consentimiento inequívoco de los usuarios.
Tips para pedir el consentimiento de los usuarios
En general, para obtener el consentimiento para el procesamiento de datos, la organización no puede utilizar términos demasiado complicados o indescifrables. Esto incluye lenguaje jurídico, así como el uso de jerga técnica innecesaria.
Por estos motivos, las políticas de privacidad deben redactarse de forma legible, utilizando un lenguaje y cláusulas comprensibles, de modo que los usuarios sean plenamente conscientes de lo que están consintiendo y las consecuencias de su consentimiento.
En el caso de usuarios menores de edad, la organización estará obligada a obtener el consentimiento comprobable de uno de los padres o tutores del menor, salvo que el servicio ofrecido sea de prevención o asesoramiento. La organización también debe hacer esfuerzos razonables (utilizando toda la tecnología disponible) para verificar que la persona que da el consentimiento realmente tiene la responsabilidad parental sobre el niño.
Riesgos de no aplicar el GDPR
Las consecuencias legales por el incumplimiento del GDPR pueden consistir en multas de hasta 20 millones de euros o hasta el 4% de la facturación mundial anual de la organización (lo que sea mayor).
Igualmente relevantes son las otras medidas que pueden implementarse contra las organizaciones que hayan cometido una violación:
- advertencias oficiales (por infracciones que ocurrieron por primera vez);
- controles periódicos sobre la protección de datos;
- daños por responsabilidad.
🚨 ¡Importante! 🚨
Los requisitos legales cambian o se actualizan periódicamente. Por lo tanto, debe asegurarse de que sus documentos cumplan con los requisitos más recientes. De esta manera, podrás estar seguro de que tus documentos están siempre actualizados gracias a las revisiones continuas realizadas de forma remota por nuestro equipo legal.
Consecuencias legales para las empresas
El GDPR otorga a los usuarios el derecho explícito a presentar una queja ante una autoridad de control si creen que el procesamiento de sus datos personales se ha realizado en violación de las disposiciones del reglamento. Por ejemplo, si se presenta un informe a la autoridad sobre un caso de incumplimiento de la legislación, la autoridad puede optar por realizar una auditoría de los procesos de procesamiento de datos de la empresa.
Si se descubre que algunas actividades de procesamiento se han llevado a cabo ilegalmente, no solo se impone una sanción financiera, sino que también se le puede prohibir a la organización hacer un uso posterior tanto de los datos objeto de la queja como de los datos adquiridos mediante mecanismos similares. Esto significa que si el uso indebido implicó, por ejemplo, la recopilación de una dirección de correo electrónico, la organización corre el riesgo de no poder utilizar toda la base de datos de correo electrónico que posee.
El GDPR también otorga a los usuarios el derecho a una compensación por cualquier daño resultante del incumplimiento de las reglas por parte de una organización, lo que hace que los infractores sean susceptibles de ser demandados.
Fuente: Freepik, vecstock