Saltar al contenido principal

GDPR

El Reglamento General de Protección de Datos (GDPR) es un reglamento de la UE diseñado para regular y armonizar el almacenamiento y tratamiento de datos personales. El Reglamento afecta a las empresas, a las autoridades públicas y a los operadores web de la Unión Europea. El GDPR entró en vigor en la UE el 25 de mayo de 2018.

Antecedentes

Los primeros esfuerzos para proteger los datos personales y la intimidad de los consumidores comenzaron en la UE en los años setenta. En resumen, en 1995 se estableció por primera vez un sistema común por medio de la Directiva 95/46/CE. A pesar de todo, la app es responsabilidad de cada Estado miembro.

En 2018, se adoptó un reglamento vinculante para todos los miembros de la UE en forma de GDPR.

Ámbito de aplicación

El Reglamento básico de protección de datos de la UE se aplica en toda la UE a las empresas establecidas en la Unión Europea. Al mismo tiempo, las empresas de otros países además deben cumplir con el GDPR si procesan datos de ciudadanos pertenecientes a los estados miembros y mantienen una sucursal en un país de la UE.

¿Qué son los datos personales según GDPR?

Según el GDPR, los siguientes datos se clasifican como datos personales. Se puede identificar a las personas, por ejemplo, asignando datos distintos a un número o ubicación.

  • Nombre
  • Dirección
  • Dirección de email
  • Número de teléfono
  • Fecha de nacimiento
  • Datos bancarios
  • Matrículas
  • Datos de ubicación del usuario
  • Direcciones IP y cookies

Responsable de la violación de la protección de datos

Según el GDPR, si un operador de una página web o una tienda online detecta violaciones de la protección de datos, se aplica el principio de «ventanilla única». Esto significa que los ciudadanos de la UE pueden ponerse en contacto de forma directa con la autoridad de protección de datos de su país, independientemente de dónde se haya violado la protección de datos. Para las empresas, el principio de ventanilla única tiene la ventaja de que sólo disponen que trabajar con una autoridad de protección de datos. Por lo general, es la autoridad de protección de datos del país en el que disponen su sede.

Responsable de la protección de datos según GDPR

Tras la introducción del GDPR, algunas empresas están ahora obligadas a designar un responsable de la protección de datos (Data Protection Officer en inglés, DPO). El responsable de la protección de datos puede ser nombrado interna o externamente.

Un responsable de protección de datos es obligatorio en los siguientes casos:

Más de nueve trabajadores trabajan con el tratamiento automatizado de datos de carácter personal, independientemente de que se trate de empleados autónomos o fijos. Por ejemplo, podría ser necesario si más de nueve trabajadores disponen acceso a datos de Google Analytics u otras herramientas de análisis web. Los datos procesados son sobre todo sensibles porque permiten sacar conclusiones sobre el origen étnico, las preferencias políticas o el estado de salud. La categoría se establece en el post 9 del GDPR. Este puede ser el caso, por ejemplo, si una empresa ofrece una aplicación de fitness que recopila datos de salud y datos personales. La responsabilidad principal incluye la vigilancia amplia, regular y sistemática de las personas afectadas. Esta cláusula afecta sobre todo a las empresas cuya actividad principal es el tratamiento de datos personales, como las agencias de crédito o los analistas en el ámbito de big data.

Las empresas además pueden nombrar voluntariamente a un responsable de la protección de datos, aún cuando no esté obligado a ello. La tarea del responsable de la protección de datos es garantizar el respeto de la protección de datos y mantener el denominado «directorio de tratamiento». Al mismo tiempo, el DPO sirve como contacto para los clientes que disponen preguntas sobre el almacenamiento de sus datos personales. El responsable de la protección de datos no necesita ninguna capacitación especial, pero en caso de duda debe ser capaz de demostrar los conocimientos necesarios.

Directorio de procedimientos según GDPR

Según el GDPR, en la mayoría de los casos, las empresas están obligadas a mantener un llamado «directorio procesal». Consiste en un directorio en papel o electrónico en el que se documenta el almacenamiento de datos personales. Estos incluyen, por ejemplo, la finalidad del tratamiento de datos, las categorías de personas o la transferencia de datos a proveedores de terceros países fuera de la UE. Al mismo tiempo, el directorio de proceso contiene los períodos de borrado para los datos almacenados, ordenados por categoría de datos.

El listado no es pública, pero debe estar disponible a petición de las autoridades de protección de datos.

La noticia positiva: teóricamente, las empresas sólo están obligadas a mantener un directorio de este tipo si, por ejemplo, emplean a más de 250 personas. A pesar de todo, las empresas además están obligadas a crear un directorio de procedimientos cuyos datos se procesan «no sólo ocasionalmente». Todas las empresas que realizan análisis diarios de la web deben mantener un directorio. De este modo, todas las tiendas online y las pequeñas empresas se verían afectadas por este Reglamento.

Posibles sanciones por incumplimiento del GDPR

Las violaciones del GDPR pueden resultar en multas altas. Se pueden imponer multas de hasta 20 millones de euros o hasta el cuatro por ciento de las ventas mundiales del año anterior. El elevado nivel de sanciones es una de las innovaciones en materia de protección de datos aplicadas por el GDPR. Como antes, además pueden emitirse advertencias en caso de infracción.

Crítica

La implementación del GDPR ha llevado a fuertes críticas en muchos lugares. Debido a que muchos operadores web no pueden examinar las consecuencias de las regulaciones y temen advertencias costosas, han abandonado sus webs. Las empresas de medios de comunicación estadounidenses además han reaccionado al GDPR y, en algunos casos, han interrumpido sus servicios en Europa inmediatamente luego de la entrada en vigor de la normativa.

Otro punto importante de crítica: aún cuando el GDPR tenía de hecho la intención de simplificar la protección de datos dentro de la UE, la ley ha generado caos en algunas áreas debido a muchos casos no resueltos. Los webmasters, las empresas y las tiendas online no pueden confiar en procedimientos claros y, en el peor de los casos, corren el riesgo de recibir sanciones elevadas. Algunos críticos inclusive ven el fin del Internet sin costes.

Importancia para el marketing online

El Reglamento de protección de datos de la UE afecta a todos aquellos que trabajan con datos personales. Esto tiene consecuencias directas para el marketing online. Por ejemplo, en el marketing de newsletters, los anunciantes deben asegurarse cada vez más de que disponen la aprobación para enviar los mailings. Además es esencial poder demostrar precisamente cómo se pueden procesar los datos a lo largo del análisis web.

En principio, todos los afectados deben contar con un mayor gasto de tiempo y los costes más elevados asociados a sus campañas de marketing.

R Marketing Digital