Nueva ley RGPD, Procedimiento para el uso de datos

Seguro que, durante el pasado mes de mayo y de junio e, incluso, en estos momentos, sigue recibiendo, por parte de su banco, de las empresas a cuyo boletín de noticias estaba suscrito, de su suministradora de energía y, en general, de todas las empresas que poseían su información personal, notificaciones para que acepte una nueva política de privacidad. Esto ha sucedido con motivo de la entrada en vigor del nuevo Reglamento Europeo de Protección de Datos, más conocido como la ley RGPD. Aquí queremos comentarle, a nivel legal, qué es lo que supone. 

La entrada en vigor de la ley RGPD

El Reglamento Europeo de Protección de Datos entró en vigor el pasado 25 de mayo de 2018. Sin embargo, no fue instaurado de golpe. Y es que hace ya más de dos años que fue aprobado por el Parlamento Europeo. Ese período de tiempo fue concedido a las empresas para que ajustaran sus procedimientos con el propósito de amoldarse a él. Sin embargo, la mayoría de ellas han aprovechado las ventajas que le ofrecía la anterior legislación y han retrasado al máximo su puesta en práctica. 

Por su parte, conviene recordar que el RGPD obliga a la modificación de las diferentes leyes de protección de datos vigentes dentro de los países que forman parte de la Unión Europea. Evidentemente, el caso de España no es una excepción. Aún no se ha aprobado en el Parlamento la versión definitiva, pero se prevé que lo haga en muy poco tiempo. En cualquier caso, la ordenanza europea prevalece sobre la nacional. 

¿Cómo debe ser el uso de los datos a partir de ahora?

La premisa sobre la que parte el RGPD es que la información privada de cada usuario debe ser utilizada de forma lícita y leal. A partir de ahí, detalla una serie de aspectos de obligado cumplimiento por parte de las entidades que deben sujetarse a este reglamento. 

El interesado debe saber en todo momento qué se hace con su información personal

Toda persona física ha de saber que su información personal está siendo recogida, utilizada, consultada y tratada. Además, debe ser consciente exactamente de cuál es la que está siendo empleada por la compañía. 

En este sentido, el usuario debe dar su consentimiento explícito para ello. Ya no basta con indicar una casilla al final de un contrato o de un proceso de registro que afirme que se han leído los términos y condiciones de uso de un servicio. Es necesario preguntar específicamente al interesado si consiente que la empresa en cuestión haga uso de su información personal y hasta qué punto. 

La información personal ha de tratarse desde el principio de transparencia

Gracias al RGPD, las preguntas acerca del tratamiento de la información personal otorgada por el usuario deben aparecer en un lenguaje claro y sencillo que pueda ser bien interpretado por cualquier persona. Usar oraciones excesivamente complejas con el propósito de confundir al interesado está totalmente prohibido y puede ser motivo de graves sanciones. 

Por su parte, la empresa que va a proceder al uso de los datos del usuario también debe presentarse adecuadamente. Esto quiere decir que ha de exponer claramente su identidad jurídica y sus intenciones respecto a ellos. Además, está en la obligación de nombrar a un responsable del tratamiento de la información de sus clientes. Por si fuese poco, cada vez que se le vaya a dar un uso diferente respecto al que fue aceptado en su momento, estará en la obligación de volver a pedir el permiso del interesado. 

Información relativa al ejercicio de sus derechos y a los riesgos asociados

Toda persona física que ceda su información personal a una entidad ha de conocer detalladamente las normas, los riesgos, las salvaguardias y los derechos que le asisten. También debe especificarse cuál es la forma adecuada para hacer valer dichos derechos si cree que dicha información no está siendo tratada de la forma adecuada o pactada anteriormente. 

La finalidad del tratamiento de la información personal

El RGPD especifica claramente que el uso de la información personal de cualquier sujeto físico solo puede ser con fines legítimos. Además, estos deben quedar claramente especificados en el momento del consentimiento del usuario. Por ejemplo, si una compañía la quiere para cederla a un tercero posteriormente, debe exponerlo claramente y de un modo que no genere duda alguna de cara al futuro. 

Métodos de recogida de la información personal

Otro aspecto novedoso del RGPD es aquel que afirma que la información personal de un usuario debe estar limitada al uso que se va a hacer de ella. Para que se haga una idea, una empresa que venda productos de electrónica y a cuyo programa de afiliación se haya registrado no tiene el derecho de recabar y tratar aspectos como, por ejemplo, si usted está casado, si tiene hijos o si practica una religión determinada. 

A esto hay que añadir, además, que la información no puede ser conservada de forma ilimitada, es decir, al cabo del tiempo ha de ser eliminada tanto si el usuario lo solicita como si no. Esta es la forma por la que se ha apostado a la hora de regular el denominado como 'derecho al olvido'. 

Finalmente, el uso de la información personal solo debe llevarse a cabo cuando un objetivo no pueda ser alcanzado razonablemente utilizando otros medios. 

La conservación de la información personal del usuario

Antes hemos hecho una breve mención al respecto. Sin embargo, queremos añadir también que la empresa debe garantizar al usuario que no va a mantener su información personal almacenada eternamente. De hecho, ha de especificar, de forma clara y nítida, cuáles son los plazos previstos para su revisión y para su supresión. Por ejemplo, si estos quedan establecidos en 5 años, transcurrido ese tiempo, deberá volver a preguntar al interesado si le concede su permiso para seguir tratándola. En caso de denegarlo, estará en la obligación de borrarla. 

Pero, ¿cómo puede estar seguro el usuario de que su información personal ha sido eliminada?

En este punto, el RGPD es más laxo y menos específico. De hecho, deja en manos de las legislaciones nacionales el establecimiento de las formas adecuadas para la supresión de la información personal. El usuario puede utilizar los medios legales que estime oportuno para garantizar que se ha procedido a dicha eliminación. 

Medidas de seguridad en el trato de la información personal del usuario

El RGPD también especifica que la información personal de cualquier sujeto debe tratarse de un modo que garantice que su confidencialidad esté asegurada. En este sentido, hace especial hincapié en el tema de los ciberataques y en el del acceso de personas no autorizadas para ello. También especifica que el equipo utilizado, en el caso de los medios digitales, ha de cumplir con los requisitos indispensables para ese cometido. 

En definitiva, el RGPD es un reglamento que afectará a las legislaciones de todos los países respecto al uso de los datos de carácter personal. Sin duda, está enfocado a garantizar que la información de los usuarios es utilizada de forma razonable y que no es vendida a terceros sin el consentimiento expreso de estos, algo que no sucedía anteriormente.

Añadir nuevo comentario

¿Necesita un Abogado en Madrid?, Nosotros le llamamos

Rellene el formulario y le llamaremos a la mayor brevedad posible.

* Campos obligatorios