¿Estás preparado para cumplir con la nueva GDRP?
Tras dos años desde su aprobación, el Reglamento Europeo de Protección de Datos (GDPR) entre definitivamente en vigor el 25 de mayo de 2018. Si aún no te has preparado para cumplir con sus especificaciones es el momento de hacerlo, si no te afrentarás a importantes sanciones. ¿Quieres saber las diferencias entre el GDPR y la antigua LOPD? ¿Cómo adaptar tu ecommerce a los cambios? Pues infórmate de todo leyendo este post.
El próximo 25 de mayo entrará en vigor definitivamente el Reglamento Europeo de Protección de Datos (GDPR). Decimos, “definitivamente” porque aunque ya estaba vigente desde hace dos años no será hasta este día cuando sea obligat
orio cumplirlo. Por tanto, y si aún no lo has hecho, es el momento de preparar tu negocio para los nuevos requisitos de protección de datos.
¿Qué diferencias hay entre el GDRP y la antigua LOPD?
Entre la antigua normativa de protección de datos y la nueva existen algunas diferencias que debes tener en cuenta y subsanar antes de que comiencen las sanciones.
1.- Territorio de aplicación
La GDPR se aplica incluso fuera de las fronteras de la Unión Europea siempre que los productos o servicios que se ofrezcan pertenezcan al territorio continental. Esta es una de las medidas más destacadas de la nueva ley, aunque su control no será sencillo.
2.- Consentimiento del usuario
Aunque la antigua LOPD ya obligaba a solicitar el consentimiento del uso de sus datos al usuario, la nueva normativa deja claramente especificado que sólo podrán solicitarse los datos que sean exclusivamente necesarios para prestar el servicio/producto, evitando así pedir más información de la necesario bajo el mismo consentimiento. Además, el nuevo consentimiento tiene que ser activo y verificable. Es decir, no es posible darlo por hecho ni tampoco validarlo si no se realiza algún tipo de registro para posteriores comprobaciones.
3.- Avisos de seguridad
La nueva ley incluye tres nuevos aspectos a tener en cuenta referidos a la información y al modo de presentarla. Son los siguientes:
- Se debe especificar la base legal del tratamiento de datos.
- El tiempo de retención que se aplique a esos datos debe mostrarse al consumidor.
- La información obligatoria que se tiene que proporcionar al usuario debe ser clara y concisa, buscando siempre que sea comprensible.
4.- Derecho al olvido
Con esta nueva ley los usuarios se podrán acoger al derecho al olvido. El consumidor podrá solicitar la eliminación de sus datos en determinadas circunstancias: si se han obtenido de forma ilícita, si ya no son necesarios o si retira de forma adecuada su consentimiento.
5.- Derecho a la portabilidad
Otra importante novedad de la AGPD es el derecho a la portabilidad. Su función es garantizar que las empresas que gestionen los datos de una determinada estén obligadas a enviarlos en los formatos correctos.
6.- Registro de datos obligatorio
Con la entrada en vigor de la LOPD 2018, todas las empresas que trabajen con datos de personas deberán tener un registro con todos ellos de forma obligatoria.
7.- Estudios de riesgo
La nueva normativa establece que cuando se vaya a realizar un cambio importante, ya sea el almacenaje, el soporte o cualquier otro aspecto similar, debe hacerse previamente un estudio de riesgos de viabilidad para evitar que los datos puedan ser expuestos y tomar las medidas necesarias para evitarlo.
8.- Delegado de Protección de Datos
Todas las empresas que se dediquen al tratamiento masivo de datos o que utilicen bases de datos de organismos públicos tendrán que tener obligatoriamente un Delegado de Protección de Datos. Su misión será supervisar todas las acciones respecto a este tema para que se ajusten a la normativa vigente.
¿Qué sanciones me pueden imponer si incumplo la normativa?
Las sanciones por incumplir la nueva ley de datos son muy altas. Pueden suponer entre el 2% y el 4% del volumen de negocio, pudiendo alcanzar incluso cifras de entre 10 y 20 millones de euros.
¿Cómo adapto mi ecommerce a la nueva normativa de Protección de Datos?
Cuando un cliente indica su dirección de correo electrónico, se registra en tu tienda o simplemente te facilita su IP está aportando sus “datos personales”. Por tanto, si tienes una tienda online estás obligado a cumplir la GDPR.
Lo primero que debes hacer cuando un nuevo cliente acceda a tu tienda mediante un formulario de registro es notificar a la Agencia Española de Protección de Datos (AGDP) todos los ficheros que recogen la información y cualquier alteración de los mismos.
Para guardar los datos de terceros, las tiendas online deberán contar con su consentimiento específico, como hemos indicado en el punto dos del apartado anterior, además los datos deberán poder ser modificados y los permisos revocados.
En cuanto a la seguridad, los ficheros que contienen datos personales tienen que estar protegidos de posibles ataques de hackers, y el acceso a la información solo estará permitido a personas autorizadas.
Con este fin, el hosting de la tienda debe cumplir con todas las exigencias legales en materia de seguridad, siendo los más fiables los que se encuentre en territorio europeo. Si se opta por un hosting americano, es obligatorio que esté dentro de la lista “Safe Harbour”
También deberás valorar si tu tienda necesita designar un Delegado de Protección de Datos, evaluar si es necesario actualizar las políticas de privacidad de tu tienda y, si usas aplicaciones externas, comprobar que éstas cumplen la normativa.
En cuanto a tus clientes, asegúrate de que estás cumpliendo con todos los derechos que hemos descrito antes y que cuentas son su consentimiento para procesar sus datos.
Y por último, recuerda que la normativa exige realizar estudios de riesgo antes de realizar cualquier modificación que pueda poner el peligro los derechos y las libertades de los clientes.
Fuentes:
http://www.agpd.es/portalwebAGPD/temas/reglamento/index-ides-idphp.php
Escribe un comentario