Hoy entra en vigor la nueva normativa de Protección de Datos de Carácter personal, en principio, a nivel básico, son pocos los cambios introducidos, sin embargo, algunos hay como por ejemplo:
- El consentimiento tácito deja de existir y a partir de ahora es preciso el consentimiento expreso para el tratamiento de los datos, en consecuencia, es mala idea enviar mailing de publicidad y, en definitiva, de cualquier tipo. La prueba la está en los millones de corroes que nos están llegando solicitando nuestra conformidad para poder seguir enviándonos las comunicaciones.
- Se añaden nuevos derechos a los ARCO (Acceso, rectificación, cancelación y oposición) existentes en la actualidad. A partir de hoy existen los derechos de portabilidad, de limitación y de temporalidad. El primero faculta a recibir los datos para, por ejemplo, su traslado a otro operador; el segundo a la limitación al acceso mientras loa datos están actualizándose; y el tercero está relacionado con el asunto del derecho al olvido.
- Desaparece la obligación de registrar los ficheros en la AEPD y aparece una nueva, la de comunicar a la AEPD cualquier brecha de seguridad que tengamos en los datos personalesque tratamos.
- El nuevo concepto en relación a la protección de datos es de proactividad,es decir, debemos estar (continuamente) obsesionados en buscar los riesgos que pueden afectar a los datos y aplicarle las medidas que los eliminen y, en su defecto, los reduzcan.
- El alcance de la norma es extraterritorial, es decir, afecta a los datos tratados en la Unión Europea provengan desde donde provengan. España (aún) sigue sin trasponer el Reglamento Europeo, sin embargo, por la primacía del derecho europeo sobre el nacional la norma de es de aplicación -aunque no haya sido transpuesta-.
- Las sanciones han cambiado, sin embargo, por ahora, la AEPD, suele actuar mediante denuncia, es decir, cumpliendo lo de abajo, es muy poco probable tener incidencias con esto. Hasta la fecha en las resoluciones para situaciones sin mala se han visto advertencias de la AEPD y como mucho 600 €.
- El Delegado de Protección de Datos, en la mayoría de los casos, es innecesario. Está figura está prevista para cuando los datos sean tratados por un organismo público, el tratamiento de los datos sea a gran escala (generación de perfiles, etc.…), o tratamientos de datos con categorías especiales a gran escala.
En lo demás todo permanece y es bueno seguir las siguientes recomendaciones:
- I. Utilizar el sentido común, como en todo, es de extrema importancia esta habilidad. Nunca, nunca, hacer con lo de otros lo que nos disgustaría que hiciesen con lo nuestro; por ejemplo, si nos molesta recibir mail, a los demás también les molestará….
- II.Al cliente siempre hay que:
- Informarle que estamos tomando sus datos de carácter personal.
- Decirle la finalidad para la que los recogemos y como los utilizaremos.
- Permitirle el ejercicio de sus derechos (ARCO + los nuevos).
- Obtener el consentimiento del cliente -siempre-
- III.Los datos de carácter personal,aunque parezca exagerado, son un tesoro y están muy protegidos constitucionalmente. En definitiva, hay que tratarlos como lo que son, quiero decir que un tesoro lo tendríamos bajo 10 llaves, con muchas copias de seguridad, manteniéndolo actualizado, sin que nadie sepa que lo tenemos…