El próximo 25 de mayo, Europa va a temblar con la llegada del RGPD. Concretamente, el Reglamento General de Protección de Datos. ¿Pero qué es este reglamento? ¿Qué acciones hay que poner en marcha para no arriesgarse a una multa antes de que acabe el mes? Para explicarlo de forma sencilla, se trata de un reglamento que regula la posesión y el uso de tus datos personales. Es cierto que ya existen leyes sobre este tema, pero como has podido comprobar recientemente con el caso entre Facebook y Cambridge Analytica, las leyes actuales no son suficientes (incluso no se respetan). El RGPD viene, por tanto, a reforzar esta normativa imperfecta. ¿Qué acciones hay que poner en marcha? 1. Designar a un delegado de protección de datos. Será el encargado de controlar si la empresa cumple el reglamento, de asesorar e informar a las personas afectadas por el tratamiento de datos internamente, ser el portavoz de la empresa ante las autoridades y deberá realizar un trabajo de vigilancia sobre las probables evoluciones del reglamento. La ley todavía es ambigua en este aspecto; hasta la fecha, precisa que la designación de un delegado de protección de datos será obligatoria para las empresas cuya actividad requiera el tratamiento a gran escala de datos personales considerados "sensibles". Respecto a las demás, seguramente sabremos más en los próximos días. 2. Recoger el consentimiento del usuario. El usuario deberá aprobar, o no, el uso de sus datos personales y esto desde que llegue a la página de inicio del sitio. Esta solicitud debe ser independiente de las Condiciones Generales de Venta, debe ser neutra y, evidentemente, sin casillas pre-marcadas; debe ser detallada y enumerar precisamente todos los motivos por los cuales los datos podrán ser utilizados (con consentimiento obligatorio para cada uno de ellos). El usuario debe poder, en cualquier momento, solicitar la eliminación de su cuenta en el sitio, así como de toda la información que le concierne. Es recomendable, en este sentido, poner a disposición un formulario de contacto específico o un enlace de eliminación, que permita a los usuarios ejercer su derecho directamente desde sus cuentas. Los derechos de los usuarios VS Las acciones que deben implementar las empresas. 3. Internamente, mapear los datos a través de un registro. Permite, en primer lugar, hacer balance de los datos recogidos y conocer en pocos instantes: la finalidad del tratamiento de esos datos (ejemplo: fidelización de clientes, reventa, etc.), su periodo de conservación, quién tiene acceso a la información, etc. Permite, en segundo lugar, demostrar el cumplimiento de las normas ante las autoridades. 4. Realizar un estudio de impacto sobre la protección. Este estudio solo es obligatorio si el tratamiento de datos implica un riesgo elevado para los derechos y libertades de las personas afectadas. Según la CNIL: "El estudio de impacto sobre la protección de datos permite construir un tratamiento de datos personales o un producto respetuoso de la vida privada, valorar los impactos en la privacidad de las personas afectadas y demostrar que se respetan los principios fundamentales del reglamento". Para más información, le recomendamos dirigirse al sitio de la CNIL, que ofrece un software de ayuda para la realización del estudio de impacto sobre la protección. https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil 5. Constituir un expediente completo sobre sus procedimientos, con el fin de demostrar a las autoridades su cumplimiento del reglamento. Debe recopilar: - Las acciones implementadas para informar al usuario sobre el tratamiento de sus datos (los avisos presentes en el sitio, el registro de consentimientos, los procesos implementados en la empresa para responder a las solicitudes de los usuarios sobre este tema). - El registro de tratamientos de datos + los análisis de impacto (si son necesarios) - El papel de los actores que intervienen en el tratamiento de datos + las acciones en caso de violación de datos. Este artículo tiene como objetivo informar a las empresas de comercio electrónico y a los usuarios sobre el RGPD de forma simplificada. Para saber más, no dude en visitar el sitio de la CNIL. Es la única autoridad competente en esta materia.