¿Qué significa el GDPR para mi empresa?

¿Qué es el GDPR?

El Reglamento General de Protección de Datos (RGPD) es una ley de la Unión Europea (UE) centrada en la protección de datos y la privacidad de todos los ciudadanos y residentes de la UE. El GDPR regula cómo las empresas -incluida ELITEWEB.Co- pueden procesar los datos personales de los individuos en la UE. El GDPR entró en vigor el 25 de mayo de 2018. Para una descripción más detallada de lo que es GDPR y cómo ELITEWEB.Co. cumple con GDPR, por favor revise la información de Nuestro Centro de Privacidad.

ELITEWEB.Co no es un bufete de abogados

Esperamos que este documento le proporcione una visión general de lo que es el GDPR y lo que podría significar para usted, pero ELITEWEB.Co no está en el negocio de proporcionar asesoramiento jurídico y esto no es una guía completa de GDPR. Cada situación empresarial es diferente y el GDPR como ley es muy complejo. Para preguntas específicas sobre las operaciones de su empresa y cómo podrían verse afectadas por el GDPR (y otras leyes de privacidad aplicables), recomendamos encarecidamente consultar a un abogado.

No somos expertos en su negocio

Por mucho que nos encantaría poder darle consejos explícitos sobre cómo debe gestionar su cumplimiento del GDPR, es a todos los efectos, imposible. Cada empresa se gestiona de forma distinta, con políticas, protocolos, empleados, ubicaciones, etc. diferentes. Por lo tanto, queremos proporcionar una visión general de la opinión de ELITEWEB.Co sobre el GDPR, pero hay varios matices en la regulación, que hemos destacado para usted en este documento, donde tendrá que hacer sus propias evaluaciones en función de su situación particular.

¿Qué hace diferente al GDPR?

El GDPR no es tan diferente de otras leyes de privacidad de todo el mundo. Lo que hace que el RGPD sea increíblemente notorio es que se extiende más allá de la UE a cualquier empresa de cualquier parte del mundo que maneje datos personales de individuos de la UE, y también conlleva importantes sanciones (hasta 20 millones de euros o el 4% de los ingresos anuales globales) por incumplimiento. Por tanto, más países, mayores multas, mayor alcance, significa más cobertura mediática. Esto no quiere decir que no haya diferencias: el RGPD sí exige a las empresas impactadas que proporcionen ciertos derechos a sus clientes (como el «derecho al olvido» y el «derecho a la portabilidad de los datos») y que apliquen determinadas medidas de cumplimiento corporativo.

¿Se ve afectada mi empresa?

Hay un par de razones por las que su negocio podría verse afectado. Si su empresa está situada en el Espacio Económico Europeo (EEE) o si realiza operaciones comerciales con clientes dentro del EEE cuando vende bienes o servicios, siga leyendo. Si no realiza negocios en esa región ni se dirige a personas de la UE, probablemente no tenga problemas (de nuevo, póngase en contacto con su asesor jurídico para confirmarlo).

¿Cumplen mis productos y servicios ELITEWEB.Co la normativa GDPR?

Ningún producto o servicio es «conforme al RGPD» por sí solo. Sin embargo, cuando se configuran adecuadamente para sus necesidades empresariales particulares, y se utilizan en combinación con otras medidas, políticas y procesos que implementa según sea necesario para su negocio específico (algunos de los cuales se describen a continuación), se pueden utilizar de manera compatible con el GDPR. Nadie conoce su negocio mejor que usted. Aunque ELITEWEB.Co espera ofrecer las herramientas y los recursos para ayudar a su empresa a alcanzar el cumplimiento del GDPR, y estamos aquí para usted, no estamos capacitados para garantizar su cumplimiento con ninguna ley aplicable a su empresa.

¿Qué significa cumplir el GDPR?

El GDPR se centra realmente en la privacidad de la información personal. En resumen, se trata de garantizar que los datos personales de sus clientes estén protegidos y se utilicen de forma adecuada. Antes de entrar en detalles, a continuación figuran algunas definiciones clave de la ley que nos ayudarán a definir las responsabilidades respectivas en relación con el tratamiento de datos personales:

• Titular de los datos: La persona que proporciona información personal. Puede tratarse de un cliente, un empleado o alguien que visite su sitio web (esto último si recopila información sobre ellos utilizando «cookies y tecnologías similares»).
• Responsable del tratamiento: La parte que determina los fines y medios para el tratamiento de datos personales.
• Encargado del tratamiento: La parte que procesa datos personales en nombre del responsable del tratamiento.
• Tratamiento: Cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, estructuración, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
• Datos personales: El GDPR se aplica únicamente a los «datos personales», es decir, cualquier información relativa a una persona identificable que pueda ser identificada directa o indirectamente, en particular mediante referencia a un identificador. Esta definición prevé una amplia gama de identificadores personales para constituir datos personales, incluidos el nombre, el número de identificación, los datos de localización o el identificador en línea, lo que refleja los cambios en la tecnología y la forma en que las organizaciones recopilan información sobre las personas. Básicamente, si puede utilizar los datos para identificar a un usuario, cliente o cualquier persona, se trata de datos personales.

¿Qué significan estas definiciones para mí?

En nuestra relación, hay momentos en los que somos responsables del tratamiento de datos (cuando recopilamos sus datos con el fin de venderle nuestros productos y servicios, como su nombre, dirección, correo electrónico, teléfono e información sobre su tarjeta de crédito), y momentos en los que somos responsables del tratamiento de datos y usted es el responsable del tratamiento de datos (como cuando utiliza nuestros servicios alojados para sus propios fines comerciales y la información pasa a nuestros servidores para que podamos prestarle, gestionar y mantener los servicios (más información sobre todo esto más adelante)).

¿Qué exige exactamente la ley?

Pues bien, la versión oficial del GDPR tiene 261 páginas, contiene 173 Considerandos, 99 Artículos y (como se ha mencionado) es compleja y a menudo amplia, vaga y ambigua (suerte la nuestra). Vamos a exponer algunos de sus principios fundamentales:

• Transparencia¿Quédatos se recogen y cómo se van a utilizar? Explicar esto a sus clientes de una manera fácil de leer y entender es un principio importante de cualquier ley de privacidad, incluyendo GDPR.Nuestra conjetura es que usted ha recibido alrededor de un millón de correos electrónicos «hemos actualizado nuestra política de privacidad» últimamente, ¿verdad? No es casualidad. El RGPD exige que las empresas ofrezcan mayor transparencia y claridad sobre cómo recopilan y utilizan la información de sus clientes (en otras palabras, que la hagan más fácil de usar). Las políticas de privacidad son el mecanismo que le permite ofrecer transparencia: explicar a sus clientes de forma clara y en un lenguaje sencillo cómo recopila y utiliza sus datos personales y cómo pueden ponerse en contacto con usted o ejercer los derechos que les puedan corresponder.ELITE WEB Co. proporciona herramientas que le permiten incorporar políticas de privacidad en sus sitios web y, en algunos casos, le proporciona plantillas a partir de las cuales puede trabajar. Sin embargo, como no sabemos cómo funciona su empresa, nos resulta imposible ofrecerle una política de privacidad totalmente conforme.
• Controles de clientes y gestión del consentimientoSer transparente es un buen comienzo, pero si está utilizando (o recopilando) información de sus clientes además de la estrictamente necesaria para proporcionarles los bienes o servicios que vende, debe asegurarse también de que tienen la opción de consentir usos adicionales, y ofrecerles controles para revocar posteriormente ese consentimiento. El ejemplo más obvio aquí es utilizar direcciones de correo electrónico o números de teléfono recopilados para comunicarse con sus clientes (normalmente pensamos en términos de opt-in/opt-out a tales comunicaciones/suscripciones). Esta información puede ser facilitada por sus clientes al crear una cuenta o comprarle un producto o servicio. Sin embargo, también incluye la recopilación de información sobre las personas que visitan sus sitios web a través de herramientas comúnmente conocidas como «cookies» (y tecnologías similares como píxeles, scripts, etc.). Seguro que ha visto «banners de cookies» al visitar sitios web, y al igual que el uso de una política de privacidad, estos banners de cookies permiten una mayor transparencia. Al mostrar un banner de cookies, las personas pueden obtener más información sobre qué herramientas se están utilizando para recopilar información sobre ellas, aceptar o rechazar dicho uso, y/o controlar de otra manera granular qué cookies podrían ser aceptables para su uso.De acuerdo con el GDPR, sus clientes deben tener el derecho de dar su consentimiento a dicha recopilación (y uso posterior), y la única forma en que el consentimiento puede darse correctamente es si usted presentó la opción de ejercer dicho consentimiento de una manera fácil de entender, específica (para el uso particular) y explícita. Las casillas marcadas previamente, el silencio o la inactividad no pueden utilizarse para indicar el consentimiento de su cliente. Por ejemplo, si tiene una casilla de verificación en su sitio web que dice «Compartiremos sus datos con anunciantes de terceros», no puede preseleccionar la casilla para que los interesados acepten el tratamiento de sus datos. En última instancia, debe asegurarse de que sus clientes puedan ejercer el control sobre el uso de sus datos personales, las comunicaciones y el consentimiento, incluido el derecho a revocar dicho consentimiento.
• Derecho al olvidoHemos mencionado antes que el GDPR es muy similar a otras leyes de privacidad en todo el mundo – este es un derecho a sus clientes que es GDPR-único. El GDPR proporciona a los individuos el «derecho a ser olvidado» (el «Derecho de Borrado» según la ley). Esto significa que el cliente puede pedir que se eliminen sus datos personales (y que sean «olvidados»), cuando los datos personales recogidos ya no son necesarios para los fines para los que fueron recogidos o procesados de otro modo.Cuando existe el derecho, debe eliminar los datos personales del interesado de sus sistemas (a menos que existan razones comerciales o legales legítimas por las que dichos datos deban conservarse, por ejemplo, para sus fines de información financiera o necesidades de retención legal).Por ejemplo, si un cliente decide dejar de hacer negocios con usted, es posible que ya no quiera que conserve información sobre ellos que anteriormente fue recopilada y almacenada por usted. Aunque existen limitaciones a este derecho – con excepciones y matices complicados – en su caso, usted debe considerar cómo, y su capacidad para cumplir con esa solicitud cuando se hace.ELITE WEB Co., por su parte, como hemos descrito y de acuerdo con nuestro Anexo de Procesamiento de Datos, cumplirá con las solicitudes recibidas de usted (el controlador de datos) para eliminar la información de su cliente de nuestros sistemas cuando se haga tal solicitud.
• Derechoa la portabilidad de datosEl derecho a la portabilidad de datos es otro derecho exclusivo del RGPD que permite a las personas obtener y reutilizar sus datos personales para sus propios fines en diferentes servicios. Les permite trasladar, copiar o transferir fácilmente datos personales de un entorno informático a otro de forma segura y sin afectar a su usabilidad. Su cliente proporcionó todos sus datos de contacto y preferencias personales relevantes, pero luego se mudó y decidió contratar a un nuevo organizador de eventos. En el EEE, deberían poder obtener fácilmente una copia electrónica de sus datos personales para establecer con un nuevo organizador de eventos. ELITE WEB Co. está aquí para ayudar con tales solicitudes en la medida en que los datos personales de su cliente existen dentro y son capaces de ser exportados a usted de los productos o servicios que ofrecemos.
• Privacidad por diseñoPrivacidad desde el diseño (o por defecto) significa esencialmente que cuando se obtienen, procesan, almacenan o utilizan datos personales, se contemplan e incluyen las protecciones necesarias: no hay consideraciones especiales, no se necesitan pasos adicionales, sólo se recogen los datos mínimos necesarios, se reciben de forma segura (por ejemplo, encriptados), se almacenan en un lugar seguro y sólo tienen acceso a ellos las personas con una necesidad válida que han recibido la formación adecuada. Esto incluye asegurarse de que los terceros también cuentan con protecciones antes de enviarles los datos personales de su cliente, lo que es esencialmente lo mismo que un paciente que visita la consulta de un médico. Como paciente, usted espera que sus historiales médicos, las notas tomadas y los consejos recibidos se mantengan seguros y confidenciales. Cualquier examen de las operaciones de su empresa debe incluir la forma en que los productos y servicios de ELITE WEB Co. pueden utilizarse teniendo en cuenta la privacidad. Aunque esperamos que nuestros productos y servicios puedan configurarse para satisfacer sus necesidades específicas, le corresponde a usted determinar de forma independiente si el uso de nuestros servicios es adecuado para el cumplimiento de la legislación aplicable en materia de privacidad y protección de datos.
• Notificaciones de violación de datosEnel desafortunado caso de que se produzca una violación de datos personales, las empresas tienen la obligación de notificarlo a su autoridad de control en un plazo de 72 horas desde que tengan conocimiento de la violación o sin demoras indebidas. Para más detalles sobre cómo divulgar y qué pasos dar, consulte con su abogado.

¿Dónde nos deja esto?

Como se ha mencionado anteriormente, durante la mayor parte del tiempo, ELITE WEB Co. es su Procesador de Datos. Trataremos los datos estrictamente según sea necesario para prestar en su nombre los servicios que nos haya contratado, o según otras instrucciones. ¿Utiliza nuestros servicios para recopilar datos que le permitan vender sus productos o para recopilar información sobre citas o contactos comerciales? No hay problema. Nos aseguraremos de que los datos se procesen de forma segura en su nombre.

Como responsable del tratamiento de datos, usted controla cómo se utilizan y almacenan los datos, y nosotros sólo los procesaremos de acuerdo con los términos de nuestro anexo sobre tratamiento de datos al prestar y mantener los servicios en su nombre. Esto significa que debe prestar mucha atención a sus políticas internas y al acceso de los empleados a los registros, incluida la forma en que comparte datos con terceros y la facilidad con que alguien podría acceder a la información del interesado.

Como puede ver en los puntos clave anteriores, el GDPR (y otras leyes de privacidad) tratan de garantizar que los datos que recopilamos y utilizamos para que nuestras empresas tengan éxito, estén debidamente seguros y protegidos.