¿Cómo puedes cumplir con el Nuevo Reglamento Europeo de Protección de Datos? (GDPR)
El 25 de mayo de 2016 entró en vigor el Reglamento Europeo de Protección de Datos (GDPR), que sustituirá a la actual normativa vigente y que comenzará a aplicarse el 25 de mayo de 2018.
Este reglamento sustituye a la normativa de la Ley Orgánica de Protección de Datos (LOPD).
¿Y que és lo que cambia con la GDPR?
El principal cambio que supondrá para las empresas es que a partir del 25 de mayo del 2018 se necesitará el consentimiento explícito de los clientes para el tratamiento de datos con carácter personal de cada uno de ellos. Así lo explica el propio reglamento GDPR:
“El consentimiento es toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”
Por lo tanto, el reglamento exige que el interesado acepte el tratamiento de sus datos personales a través de una declaración, que puede ser realizada por medios tradicionales o electrónicos. Otro aspecto que también se modifica es el propio régimen sancionador, ya que la AEPD podrá actuar de oficio , y hay un aumento significativo de la cuantía de las posibles sanciones : En el caso de ser consideradas infracciones graves, las sanciones pasan a ser de hasta 10 millones de euros o el 2% de la facturación global de la empresa y en los casos de infracciones encontradas como muy graves de hasta 20 millones de euros o el 4% de la facturación global de la empresa.
¿Qué necesitan hacer las empresas para adaptarse a la GDPR?
Lo primero que hay que tener en cuenta es que el nuevo reglamento señala que la manifestación del consentimiento debe ser inequívoca, a través de una declaración o un acto afirmativo claro . El Grupo de Trabajo del Artículo 29 indica que el concepto de “clara acción afirmativa” implica la realización de una acción deliberada por parte del interesado para mostrar conformidad con un tratamiento concreto de datos personales. Esto, cuando hablamos de servicios online, podría resolverse con la obligación al usuario de marcar una casilla de verificación (que nunca podrá estar premarcada) antes de poder hacernos llegar de alguna manera sus datos personales. Pero el nuevo reglamento también nos exige que como depositarios de esos datos personales, debemos ser capaces de acreditar en cualquier momento que hemos recibido ese consentimiento.
¿Qué necesitamos acreditar concretamente?
Las empresas están en la obligación de poder demostrar lo siguiente:
- Quién otorgó el consentimiento.
- Cuándo y cómo se otorgó el consentimiento.
- Qué información recibió la persona que consistió.
Por tanto, las empresas tienen que buscar una solución sencilla de usar para los usuarios, que les permita realizar una “clara acción afirmativa”, y que le permita a la propia empresa acreditar de manera fehaciente el quién, el cuándo, el cómo y el qué.
¿Qué soluciones se pueden implementar?
Las tecnologías de certificación electrónica, con su sellado de tiempo, son herramientas de gran utilidad para que las empresas sean capaces de cumplir con estas nuevas obligaciones. Enxendra, como empresa especializada en soluciones de certificación electrónica de documentos y comunicaciones, está en disposición de analizar las necesidades concretas de cada empresa y proporcionar una solución completamente legal, segura y fácil de usar. Dependiendo del tipo de información con la que estés tratando, así como la naturaleza de la relación entre cliente y empresa, podrás delimitar diferentes maneras de acreditar el consentimiento de la cesión de datos para poder cumplir de manera satisfactoria con la GDPR. Consentimiento explícito en formulario web
- Este tipo de consentimiento se consigue a través de un checkbox que puede estar localizado en cualquier parte de tu página web o aplicación.
- Aceptando las condiciones, podrás demostrar su autenticidad a partir del script que te proporcionamos, con datos como la dirección IP, fecha y hora o el navegador utilizado.
- Basado en la figura del tercero de confianza, se utiliza en formularios web en su mayoría, como para la aceptación de cookies o la aceptación de términos generales con una empresa.
Consentimiento explícito online con firma digital
- Consentimiento para recopilaciones de datos online con códigos OTP.
- Un OTP es un código de validación o contraseña de un solo uso, enviado a través de SMS o correo electrónico.
- Ambas situaciones refuerzan la aceptación del consentimiento sobre la cesión de datos.
- Otorgan más datos sobre la identidad del usuario, otorgando además de los datos del consentimiento básico, los datos de contacto como son el correo y/o el móvil.
Consentimiento explícito presencial con firma digital
- En este caso, el usuario firma el propio documento con su firma manuscrita sobre una Tablet o Smartphone.
- Este grado de consentimiento no solo guarda los datos de contexto, sino que además registra los datos biométricos del interesado.
- Este método identifica de forma única y sencilla al usuario.
Cualquiera de estas tres opciones, son métodos válidos que hacen que cumplas con el nuevo reglamento de protección de datos. El consentimiento a través de formularios web suele ser utilizado para procedimientos como la aceptación de cookies, mientras que los procedimientos que incluyen la firma digital suelen utilizarse para la cesión de datos más comprometidos, como pueden ser datos sanitarios o bancarios.
Si aún no estás preparado para cumplir con la nueva GDPR, y quieres saber más, contacta con nosotros para conocer al detalle y de manera personalizada, cómo puedes prepararte para el 25 de mayo de 2018 con las opciones más adecuadas:
También te puede interesar: