Según datos de Trusted Shops, el sello online líder en Europa, en noviembre de 2017 sólo el 64% de los encuestados conocía el nuevo reglamento. Teniendo en cuenta que su desconocimiento no exime de tener que pagar grandes multas, Jordi Vives, Country Manager de Trusted Shops en España comparte las preguntas y respuestas con todo lo que hay que saber sobre el nuevo RGPD.
¿Existe un periodo de transición?
Nos encontramos actualmente en el periodo de transición. Realmente, el RGPD lleva en vigor desde el 25 de mayo de 2016 y será ahora, dos años después, cuando su aplicación se haga efectiva.
Para cualquier comerciante, ¿cuáles son los cambios concretos?
Un cambio fundamental supone la responsabilidad proactiva de las empresas: estas estarán obligadas a demostrar su cumplimiento del RGPD. Esto se traduce en un refuerzo de las obligaciones de documentación y demostración: se hace necesario mantener un registro de actividades de procesamiento, realizar valoraciones del impacto de la protección de datos y documentar los incidentes relativos a la protección de datos.
¿El riesgo de sanción será mayor? ¿Cabe esperar una oleada de sanciones?
Es difícil prever si una vez efectivo el RGPD se producirá una oleada de sanciones. No obstante, sí que cabe esperar que la Agencia Española de Protección de Datos que miren con lupa las declaraciones de protección de datos.
¿Qué cambios tiene que introducir cualquier comerciante?
Serán necesarios los siguientes cambios:
• Los procesos en los que se trate con datos personales deben documentarse en un registro de actividades de tratamiento.
• Debe actualizar la política de protección de datos.
• Las declaraciones de consentimiento que hasta ahora cumplían con la legislación alemana siguen estando vigentes siempre y cuando cumplan con los estrictos requisitos de voluntariedad. Si no es así, deben modificarse.
• Deben examinarse los contratos para el procesamiento de pedidos.
• Deben llevarse a cabo evaluaciones de impacto sobre la protección de datos si el responsable realiza procesamientos de datos que implican un gran riesgo para los derechos y las libertades de los afectados.
• Deben adaptarse los procesos internos para garantizar los derechos a la información, la rectificación, la eliminación, la oposición, así como el nuevo derecho de portabilidad de los datos. En este sentido, las solicitudes de las personas afectabas deben procesarse como norma general en el plazo de un mes.
• Debe introducirse un plan de reacción ante cualquier incumplimiento relativo a los datos para poner en conocimiento el incidente ante la autoridad supervisora en un plazo de 72 horas.
¿Es necesario ahora un delegado de protección de datos?
Según el art. 37, párr. 1 let. c del RGPD, los vendedores online deben nombrar un delegado para protección de datos si su actividad principal consisten en el tratamiento a gran escala de categorías especiales de datos personales.
¿Qué hay que tener en cuenta en relación a los proveedores (herramienta de envío de newsletters, software de la tienda, proveedores de pago, herramientas de rastreo…)?
Los proveedores deben ofrecer garantías razonables de que el cumplimiento de los requisitos del RGPD está garantizado mediante las medidas técnicas y organizativas adecuadas.
Cuando encuentre el proveedor adecuado, debe cerrar con él un contrato sobre el procesamiento de pedidos, que debe cumplir con los requisitos contenidos en el art. 28, párr. 3 del RGPD.
¿Qué hay que preguntarle al proveedor?
Debe saber si el proveedor ofrece garantías razonables del cumplimiento de los requisitos del RGPD. Que cuente con una certificación de privacidad es un indicativo importante de que el proveedor cumple con los requisitos del RGPD.
¿Cómo se comprueba si la declaración de protección de datos es correcta?
En primer lugar, es necesario un inventario del procesamiento de datos que se realiza actualmente en su tienda online (herramientas de rastreo, newsletters, examen de solvencia y transferencia de datos a terceros). La declaración de protección de datos debe informar sobre estos procesamientos de datos.
¿Cómo parece que se van a practicar las multas en el futuro?
El art. 83 del RGPD prevé unas multas significativamente superiores a las anteriores. Para determinadas infracciones se contemplan multas de hasta 20 millones de euros o de un 4 % del volumen de ventas anual de una empresa. Es difícil anticipar en qué medida las autoridades de supervisión llevarán a la práctica tal capacidad. No obstante, cabe esperar un claro incremento de las multas por infracciones de protección de datos.
¿Tienen los niños unos derechos de protección de datos específicos?
Los niños requieren una protección especial, por lo que el RGPD contempla disposiciones especiales para ellos. En el Art. 7 del proyecto de futura Ley Orgánica de Protección de Datos se establece que el tratamiento de los datos personales de un menor de edad solo podrá fundarse en su consentimiento si este es mayor de trece años. En este sentido, el procesamiento de los datos personales de niños menores de 16 años solo es legal si y en la medida en que dicho consentimiento sea otorgado por el titular de la responsabilidad parental del niño o con su consentimiento.
“El nuevo RGDP no es algo menor y todos, y me incluyo, debemos tener muy claro en qué nos afecta y cómo debemos adecuarnos a él para no incurrir en alguna ilegalidad que nos acarree una multa”, afirma Jordi Vives, Country Manager de Trusted Shops España.