CATEGORIAS
GDPR
El Reglamento General de Protección de Datos (GDPR) es un reglamento de la UE diseñado para regular y armonizar el almacenamiento y tratamiento de datos personales. El Reglamento afecta a las empresas, a las autoridades públicas y a los operadores web de la Unión Europea. El GDPR entró en vigor en la UE el 25 de mayo de 2018.
Antecedentes
Los primeros esfuerzos para proteger los datos personales y la intimidad de los consumidores comenzaron en la UE en los años setenta. Finalmente, en 1995 se estableció por primera vez un sistema común mediante la Directiva 95/46/CE. Sin embargo, la aplicación es responsabilidad de cada Estado miembro.
En 2018, se adoptó un reglamento vinculante para todos los miembros de la UE en forma de GDPR.
Ámbito de aplicación
El Reglamento básico de protección de datos de la UE se aplica en toda la UE a las empresas establecidas en la Unión Europea. Además, las empresas de otros países también deben cumplir con el GDPR si procesan datos de ciudadanos pertenecientes a los estados miembros y mantienen una sucursal en un país de la UE.
¿Qué son los datos personales según GDPR?
Según el GDPR, los siguientes datos se clasifican como datos personales. Se puede identificar a las personas, por ejemplo, asignando datos diferentes a un número o ubicación.
- Nombre
- Dirección
- Dirección de correo electrónico
- Número de teléfono
- Fecha de nacimiento
- Datos bancarios
- Matrículas
- Datos de ubicación del usuario
- Direcciones IP y cookies
Responsable de la violación de la protección de datos
Según el GDPR, si un operador de una página web o una tienda online detecta violaciones de la protección de datos, se aplica el principio de “ventanilla única”. Esto significa que los ciudadanos de la UE pueden ponerse en contacto directamente con la autoridad de protección de datos de su país, independientemente de dónde se haya violado la protección de datos. Para las empresas, el principio de ventanilla única tiene la ventaja de que sólo tienen que trabajar con una autoridad de protección de datos. Por lo general, es la autoridad de protección de datos del país en el que tienen su sede.
Responsable de la protección de datos según GDPR
Tras la introducción del GDPR, algunas empresas están ahora obligadas a designar un responsable de la protección de datos (Data Protection Officer en inglés, DPO). El responsable de la protección de datos puede ser nombrado interna o externamente.
Un responsable de protección de datos es obligatorio en los siguientes casos:
Más de nueve empleados trabajan con el tratamiento automatizado de datos de carácter personal, independientemente de que se trate de trabajadores autónomos o fijos. Por ejemplo, podría ser necesario si más de nueve empleados tienen acceso a datos de Google Analytics u otras herramientas de análisis web. Los datos procesados son especialmente sensibles porque permiten sacar conclusiones sobre el origen étnico, las preferencias políticas o el estado de salud. La categoría se define en el artículo 9 del GDPR. Este puede ser el caso, por ejemplo, si una empresa ofrece una aplicación de fitness que recopila datos de salud y datos personales. La responsabilidad principal incluye la vigilancia amplia, regular y sistemática de las personas afectadas. Esta cláusula afecta especialmente a las empresas cuya actividad principal es el tratamiento de datos personales, como las agencias de crédito o los analistas en el ámbito de big data.
Las empresas también pueden nombrar voluntariamente a un responsable de la protección de datos, aunque no esté obligado a ello. La tarea del responsable de la protección de datos es garantizar el respeto de la protección de datos y mantener el denominado “directorio de tratamiento”. Además, el DPO sirve como contacto para los clientes que tienen preguntas sobre el almacenamiento de sus datos personales. El responsable de la protección de datos no necesita ninguna formación especial, pero en caso de duda debe ser capaz de demostrar los conocimientos necesarios.
Directorio de procedimientos según GDPR
Según el GDPR, en la mayoría de los casos, las empresas están obligadas a mantener un llamado “directorio procesal”. Se trata de un directorio en papel o electrónico en el que se documenta el almacenamiento de datos personales. Estos incluyen, por ejemplo, la finalidad del tratamiento de datos, las categorías de personas o la transferencia de datos a proveedores de terceros países fuera de la UE. Además, el directorio de procedimiento contiene los períodos de borrado para los datos almacenados, ordenados por categoría de datos.
La lista no es pública, pero debe estar disponible a petición de las autoridades de protección de datos.
La noticia positiva: teóricamente, las empresas sólo están obligadas a mantener un directorio de este tipo si, por ejemplo, emplean a más de 250 personas. Sin embargo, las empresas también están obligadas a crear un directorio de procedimientos cuyos datos se procesan “no sólo ocasionalmente”. Todas las empresas que realizan análisis diarios de la web deben mantener un directorio. Por lo tanto, todas las tiendas online y las pequeñas empresas se verían afectadas por este Reglamento.
Posibles sanciones por incumplimiento del GDPR
Las violaciones del GDPR pueden resultar en multas altas. Se pueden imponer multas de hasta 20 millones de euros o hasta el cuatro por ciento de las ventas mundiales del año anterior. El elevado nivel de sanciones es una de las innovaciones en materia de protección de datos aplicadas por el GDPR. Como antes, también pueden emitirse advertencias en caso de infracción.
Crítica
La implementación del GDPR ha llevado a fuertes críticas en muchos lugares. Debido a que muchos operadores web no pueden evaluar las consecuencias de las regulaciones y temen advertencias costosas, han abandonado sus webs. Las empresas de medios de comunicación estadounidenses también han reaccionado al GDPR y, en algunos casos, han interrumpido sus servicios en Europa inmediatamente después de la entrada en vigor de la normativa.
Otro punto importante de crítica: aunque el GDPR tenía en realidad la intención de simplificar la protección de datos dentro de la UE, la legislación ha causado caos en algunas áreas debido a muchos casos no resueltos. Los webmasters, las empresas y las tiendas online no pueden confiar en procedimientos claros y, en el peor de los casos, corren el riesgo de recibir sanciones elevadas. Algunos críticos incluso ven el fin del Internet gratuito.
Importancia para el marketing online
El Reglamento de protección de datos de la UE afecta a todos aquellos que trabajan con datos personales. Esto tiene consecuencias directas para el marketing online. Por ejemplo, en el marketing de newsletters, los anunciantes deben asegurarse cada vez más de que tienen la aprobación para enviar los mailings. También es importante poder demostrar exactamente cómo se pueden procesar los datos durante el análisis web.
En principio, todos los afectados deben contar con un mayor gasto de tiempo y los costes más elevados asociados a sus campañas de marketing.