Hoy hablamos con Inma Montes de www.datusmas.com especialista en Protección de datos y Privacidad para que nos informe y oriente sobre el nuevo reglamento y la nueva ley de protección de datos.
Inma Montes cuenta con 10 años de experiencia en protección de datos. Ha realizado tanto online como offline adaptaciones a empresas, autónomos, asociaciones, fundaciones, clínicas, comunidades de propietarios y es delegada de protección de datos ante la Agencia Española de Protección de datos de algunas de ellas.
¿Quién debe de cumplir con la nueva normativa europea de Protección de datos?
Con esta nueva normativa deben cumplir todas las entidades, ya sean profesionales autónomos o sociedades, empresas públicas o privadas, asociaciones, fundaciones, comunidades de vecinos, páginas web, comercios electrónicos que traten datos de carácter personal. Es decir, todas las empresas o entidades que para la realización de una finalidad traten datos personales.
¿Cómo afectan estos cambios a cualquier web o ecommerce?
Uno de los puntos más importantes en referencia a las webs y ecommerce es que ahora no existe el consentimiento del tratamiento de datos tácito. Lo cual significa, que no valen las casillas premarcadas de aceptación, o los formularios sin casillas de aceptación del consentimiento y sin la debida información sobre el tratamiento que se realiza de los datos que se recaban a través de formularios online.
Si disponemos de página web deberemos cumplir con la ley de servicios de la sociedad de la información y de comercio electrónico, LSSI ley 34/2002 y para ello tenemos que:
Generar la Política de Privacidad:
En la cual se debe de incluir, quién es el responsable de los datos, con que finalidad se recogen, cual es la legitimación para el tratamiento de esos datos, si van a ser cedidos, qué datos es obligatorio que facilite el usuario, las medidas de seguridad que se han implantado para evitar accesos no autorizados a esos datos o para evitar pérdidas de información, la posibilidad de que los usuarios puedan ejercitar sus derechos y la forma en que se pueden ejercer.
Generar un Aviso legal:
El artículo 10 de la ley 34/2002 establece el deber de informar del nombre o denominación social y datos de contacto del responsable de la web, los datos de inscripción en el registro mercantil u otros registros públicos, nif o cif, información sobre el precio de los productos, sobre las autorizaciones administrativas necesarias en su caso, datos del colegio profesional en el caso de que sea un profesional ,etc…
Generar una política de cookies:
Aquí hay cambios muy significativos pues la Agencia Española de Protección de datos público el pasado noviembre 2019 la “guía sobre el uso de las cookies” En dicha guía se hace referencia a que NO se pueden instalar cookies analíticas, publicitarias, remarketing, etc. sin el consentimiento expreso del usuario. Ya no vale la expresión de “Acepta su uso si sigue navegando” Lo cual nos obliga bastante ha realizar uso de plugin que nos dejen realizar dichas acciones.
Tiendas Online
Si disponemos de tienda online se deben incluir unas condiciones generales y particulares de contratación: se deberá informar sobre los pasos a seguir para celebrar el contrato, el archivo y accesibilidad del documento electrónico en el que se realiza el contrato, lenguaje en que puede formalizarse contrato. Proceso de registro de clientes, proceso de compra, precios y condiciones, plazos de entrega, envíos y devoluciones etc.
¿Qué tenemos que hacer para adecuarse al nuevo Reglamento Europeo 2016/679 (RGPD) y la ley orgánica 3/2018 de protección de datos personales y garantía de los derechos digitales (LOPD)?
Deberemos elaborar el registro de actividades de tratamiento, efectuar un análisis de riesgos, revisar las medidas de seguridad en función del análisis de riesgos realizado, establecer mecanismos y procedimientos de gestión de quiebras de seguridad, adecuar los formularios de recogida de datos personales, adaptar los procedimientos para atender a los derechos de los afectados en relación al tratamiento de sus datos personales, realizar los contratos con encargados de tratamiento y los contratos de confidencialidad con el personal, confeccionar e implantar políticas de protección de datos, si procede y dependiendo del tipo de tratamiento que realicemos realizar una evaluación de impacto.
¿Cómo podría afectarme una sanción?
La Autoridad de Control podrá imponer multas administrativas al responsable del tratamiento y el encargado del tratamiento por infringir el RGPD garantizando que serán efectivas, proporcionadas y disuasorias. Las infracciones pueden ser sancionadas con multas administrativas de 20 millones de euros como máximo o de una cuantía del 4% del volumen de negocio total anual global del ejercicio financiero anterior.
¿Como puedo saber si mi web está actualizada conforme a la nueva normativa?
Pues muy sencillo, sabiendo si disponemos de todas las medidas anteriormente implantadas en nuestra empresa y página web a la normativa que mencionamos en la presente entrevista y que es la que se encuentra en vigor en estos momentos. Todo lo que se encuentre mencionado a la antigua normativa La Ley Orgánica 15/1999, de 13 de diciembre y la Directiva 95/46/CE europea es normativa derogada.
¿Necesitas ayuda?
¿Quieres adaptar tu web a la nueva normativa? ¿No estás seguro si cumples con ella?