Emailing
El RGPD y la nueva LOPD: La protección de datos en España en 2022
Hace unos años, con la llegada del RGPD y de la LOPD de 2019, la Ley de Protección de Datos en España sufrió un cambio y aún estamos viviendo las consecuencias. ¿Cumples con todos los requisitos en materia de protección de datos?
La ley de Protección de Datos en España es una ciencia compleja, pero que nos intriga a muchos (ya sea por necesidad profesional o porque entremos en estado de pánico al escuchar sobre casos como el de Facebook y Cambridge Analytica).
Primero llegó el Reglamento General de Protección de Datos (General Data Protection Regulation, GDPR). Y desde finales de 2018 podemos añadir también la nueva LOPD, o más concretamente, la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD).
¿No tienes muy claro aún cómo funciona y cómo te afecta? Te lo contamos con la ayuda de nuestra Delegada de Protección de Datos y Directora Jurídica, Darine Fayed.
Tabla de contenidos
¿Qué es el RGPD?
¿Cuál es la diferencia entre una directiva y un reglamento y por qué es importante?
¿Cuáles son los puntos clave que introdujo el RGPD?
¿Cuál es la multa por incumplimiento del RGPD?
¿Qué regula la LOPD de 2019?
El Delegado de Protección de Datos en España
El régimen sancionador en España
La protección de datos en España: ¿Por qué es importante?
Admitámoslo: La protección de datos es un dolor de cabeza constante para los que trabajamos con información personal de clientes o consumidores. Te lees guías y artículos sobre lo que puedes y no puedes hacer para que, en cuanto crees haber dominado la normativa, aparezca un matiz o nuevo cambio que nos obligue a cambiar nuestras prácticas y calmar esa sensación constante de estar conduciendo en dirección contraria, sin saber muy bien contra qué vamos a chocarnos en cada momento.
Aunque en España hemos tenido un par de años algo más tranquilos desde la entrada en vigor del RGPD en 2018 y la posterior aprobación de la LOPD 2019, las normativas de protección de datos siguen siendo difíciles de entender y aún más complicadas de aplicar.
Y los riesgos de hacerlo mal no están solo en las sanciones: cada vez son más las personas que priorizan la privacidad de sus datos a la hora de elegir un producto o servicio, y más las marcas que centran sus esfuerzos de marketing en lograr la confianza de sus consumidores en materia de protección de datos. Un buen ejemplo es Apple, que ha decidido posicionarse como el gigante tecnológico que vela por la privacidad de sus usuarios con una campaña de marketing dedicada y nuevas funciones de privacidad en sus aplicaciones.
“Al final, es una cuestión del rendimiento de la inversión. Las personas son ahora mucho más conscientes de los riesgos en cuanto a privacidad, y de sus derechos. Quieren confiar en las marcas, pero también esperan que las marcas traten sus datos personales con cuidado y respeto”.
Darine Fayed, Delegada de Protección de Datos y Directora Jurídica, Sinch Mailjet
Por muchos quebraderos de cabeza que nos dé, la protección de datos es algo que no podemos ignorar. Por ello, vamos a analizar en detalle las dos normativas más importantes que regulan la privacidad de consumidores y usuarios en España.
RGPD: El Reglamento General de Protección de Datos de la Unión Europea
Hace unos años, el Reglamento General de Protección de Datos vino a revolucionar la forma en la que las empresas y organizaciones trataban los datos personales de sus clientes. Seguro que has oído hablar mucho de esta normativa, pero... ¿sabes realmente en qué consiste el RGPD y cómo afecta a la actividad de tu entidad?
¿Qué es el RGPD?
El RGPD, o Reglamento General de Protección de Datos (también conocido como GDPR, por sus siglas en inglés), es la norma de referencia europea en materia de protección de datos, que refuerza y unifica la protección de los datos de los individuos en el seno de la Unión Europea.
El nuevo reglamento europeo de protección de datos entró en vigor en mayo de 2016 y es aplicable desde el 25 de mayo de 2018, momento en el que sustituyó definitivamente a la Directiva 95/46/CE, que regía gran parte de la actividad de los profesionales del marketing.
Una de las particularidades de este texto es que extiende el campo de aplicación de la ley al conjunto de entidades u organizaciones, tengan o no sede en la Unión Europea, cuando trabajen con información personal de residentes europeos.
Otra particularidad es que el RGPD no diferencia entre empresas B2B y B2C, y se aplica a ambos sin distinción. Esto afecta a muchas actividades de prospección que usaban las empresas B2B, puesto que la dirección de email profesional de un individuo se considera ahora información personal.
¿Cuál es la diferencia entre una directiva y un reglamento y por qué es importante?
Puede que te hayas hecho esta pregunta o puede que, con tantos cambios, no te percataras en su momento de que ya no hablábamos de Directiva, sino de Reglamento.
La principal diferencia entre los Reglamentos y las Directivas radica en su forma de aplicación. Mientras que la anterior Directiva 95/46/CE que regulaba la protección de datos en los estados miembros dejaba mucho margen de actuación a los diferentes países, el nuevo Reglamento es de aplicación directa, sin que sea necesario ningún trámite previo de adaptación.
Confuso, lo sabemos.
En esencia, esto se traduce en que la disparidad jurídica que aún existía en materia de protección de datos entre diferentes estados de la Unión Europea desaparece, pues si bien antes el alcance de las medidas podía variar de un país a otro, el nuevo Reglamento pasa a ser normativa interna desde el momento en que entra en vigor (en este caso, desde el 25 de mayo de 2016).
¿Cuáles son los puntos clave que introdujo el RGPD?
El RGPD es una normativa ambiciosa en materia de protección de datos que ha introducido numerosos cambios con respecto a la anterior Directiva 95/46/CE y que están sirviendo de referencia en materia de protección de datos a nivel internacional.
Los principales cambios a tener en cuenta son:
Definición expandida de lo que es la información personal: Cualquier información que contribuya a la identificación de una persona física está incluida dentro de la nueva definición de “datos personales”.
Derechos individuales y condiciones para el consentimiento nuevas y fortalecidas: Se fortalecen los derechos de acceso, el derecho al olvido, y a la portabilidad de los datos. Los responsables y encargados del tratamiento de los datos personales tienen la obligación de comunicar de forma clara estos derechos a los individuos de los que toman los datos. Además, se establece la no admisión del consentimiento tácito, sino que este debe ser explícito y otorgado mediante una acción concreta.
Mayores responsabilidades para quienes tratan y procesan la información: Tanto los responsables de los datos personales, como los que los procesan (los encargados del tratamiento, como pueden ser terceros proveedores de servicios) deben cumplir con el RGPD y contra ellos pueden emprenderse acciones legales.
Efecto extraterritorial: El RGPD es de aplicación directa para todos aquellos que traten información personal de personas físicas que residan en la UE, independientemente de donde se encuentren.
Obligación de poner medidas preventivas de protección de datos: Es imprescindible realizar una evaluación de impacto y poner en marcha todas las medidas técnicas y organizativas necesarias con el fin de prevenir cualquier tipo de riesgo.
Deber de informar sobre brechas de seguridad: En caso de brecha de seguridad, el responsable de los datos deberá notificar a la autoridad nacional correspondiente en un plazo de 72 horas.
La figura del delegado de la protección de los datos (DPD): El RGPD estipula que existen una serie de supuestos en los que una entidad debe designar a un Delegado de Protección de Datos (o DPO, por sus siglas en inglés), algo que en España ha ahondado la LOPD 2019.
Medidas técnicas y organizativas: Todos los cambios anteriores se traducen en la necesidad de las entidades de adoptar nuevas medidas organizativas, como la designación de un DPD, y técnicas (relacionadas con la seguridad de los sistemas).
¿Cuál es la multa por incumplimiento del RGPD?
El Reglamento General de Protección de Datos estipula una serie de sanciones por incumplimiento que pueden llegar a ser de hasta 20 millones de euros o el 4 % de los beneficios anuales, cualquiera que sea la mayor de las dos.
El sistema de penalizaciones está organizado en niveles, regulados en nuestro país por la Agencia Española de Protección de Datos (AEPD) y la nueva LOPD de 2019. Por ejemplo, una empresa puede ser penalizada con un 2 % por no tener al día sus registros (artículo 28), por no notificar sobre una brecha de seguridad a la autoridad supervisora y a los afectados, o no llevar a cabo una evaluación del impacto.
La LOPD 2019: la Ley de Protección de Datos en España
En España, la protección de las personas físicas en relación con el tratamiento de datos personales es un derecho fundamental protegido por el artículo 18.4 de la Constitución española. Este derecho fue previamente desarrollado por la Ley Orgánica 15/1999, de Protección de Datos de Carácter Temporal (más conocida como LOPD), que adaptaba la normativa europea existente antes de la llegada del RGPD, la Directiva 95/46/CE, al ámbito español.
Esta ley estuvo vigente hasta 2018, cuando la llegada del RGPD obligó a los estados a actualizar su normativa de protección de datos. Como hemos dicho anteriormente, el Reglamento General de Protección de Datos es de aplicación directa para todo aquel que trabaje con datos de individuos que residan en alguno de los estados miembros. Sin embargo, la propia norma contempla la posibilidad de que sus directrices puedan ser especificadas o restringidas internamente en los diferentes países miembros "en la medida en que sea necesario por razones de coherencia y para que las disposiciones nacionales sean comprensibles para sus destinatarios".
En España, esto se tradujo en la elaboración de una nueva Ley Orgánica de Protección de Datos, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (la LOPDGDD), en la que se concretan ciertos aspectos del RGPD y que sustituye a la antigua ley, publicada en 1999.
El nuevo texto fue presentado como anteproyecto de ley ante el Consejo de Ministros el 24 de junio de 2017 y, tras su aprobación en el Congreso el 18 de octubre de 2018, fue publicado en el BOE el 6 de diciembre de ese mismo año.
¿Qué regula la LOPD de 2019?
Como ya hemos dicho, en su mayor parte el RGPD pasa a ser normativa interna, también en España. Sin embargo, para adecuarnos a este nuevo reglamento comunitario, la antigua Ley Orgánica de Protección de Datos Personales ha debido ser actualizada, tanto para clarificar ciertos puntos como para eliminar incompatibilidades.
En concreto, esta nueva Ley Orgánica 3/2018, que cumplirá cuatro añitos el 5 de diciembre, consta de 97 artículos y precisa el alcance de algunos de los elementos introducidos en el RGPD. Algunos de los puntos sobre los que se pronuncia son:
Los principios de protección de datos, así como su tratamiento y las formas óptimas de solicitar y otorgar el consentimiento.
La edad mínima para que los menores de edad den su consentimiento al tratamiento de sus datos personales, que queda fijada en los 14 años.
El modo en la que se tratan los datos de las personas fallecidas (los herederos o familiares tendrán derecho a acceder, modificar o borrar esos datos).
Los tratamientos concretos de datos, como pueda ser el caso de la información de carácter crediticio o de los datos relacionados con la realización de determinadas operaciones mercantiles.
La necesidad de verificar que los destinatarios no figuren en las Listas Robinson de exclusión publicitaria antes de enviar una comunicación comercial.
Otros elementos importantes recogidos en la ley son los requisitos para la certificación de los Delegados de Protección de Datos, el régimen sancionador y los diferentes derechos de los afectados.
El Delegado de Protección de Datos en España
El RGPD estipula que existe la necesidad de designar a un Delegado de Protección de Datos en tres supuestos:
En el caso de que el tratamiento de los datos corresponda a una autoridad u organismo público.
Cuando las actividades y operaciones principales del responsable de datos exijan un seguimiento regular y sistemático a gran escala.
En el supuesto de que las actividades y operaciones principales del responsable requieran tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas.
Para aportar más claridad, la LOPD establece hasta 16 casos concretos en los que se exige su existencia, de manera taxativa. Entre ellos, se encuentran los colegios profesionales, los centros de enseñanza, los establecimientos financieros de créditos, las aseguradoras o las empresas de servicios de inversión. Estos DPD deben ser conocidos por la Agencia de Protección de Datos.
El régimen sancionador en España
El RGPD estipula que, en caso de incumplimiento, las multas pueden llegar a ser de 20 millones o el 4 % del volumen de negocio anual global. La LOPD ha concretado la clasificación de estas infracciones, dividiéndolas en muy graves, graves y leves.
Muy graves: Aquellas que impliquen el uso de los datos para una finalidad diferente de la anunciada, la omisión del deber de informar al afectado, la exigencia de un pago para poder acceder a los datos y las transferencias internacionales de información sin garantías.
Graves: Aquellas que tengan que ver con datos de un menor recabados sin consentimiento, la no adopción de medidas técnicas y organizativas necesarias para la protección de datos efectiva, la falta del registro de actividades de tratamiento, la obstaculización de los derechos de rectificación o el incumplimiento de la obligación de nombrar un Delegado de Protección de Datos.
Leves: Todas las restantes, incluyendo, por ejemplo, no publicar o notificar los datos de contacto del Delegado de Protección de Datos.
En el caso de España, la AEPD no ha perdido el tiempo y, tras un breve periodo de multas “educativas”, ha sido la autoridad de control nacional que más sanciones ha impuesto en esta materia desde la entrada en vigor del RGPD.
Por ejemplo, en 2021, España impuso 180 multas, de las cuales la más abultada fue para Vodafone España, por un importe de 8,15 millones de euros.
"No es cuestión de respetar la privacidad de datos porque tengas miedo de las multas por incumplimiento del RGPD o cualquier otra autoridad que vaya a sancionarte. Eso no es lo importante. Es una decisión de la empresa. Si tratas a las personas con respeto en cuanto a su privacidad, volverán. Los clientes que se sienten seguros trabajando contigo van a estar felices, y los clientes felices siempre son buenos para el negocio”.
Darine Fayed, Delegada de Protección de Datos y Directora Jurídica, Sinch Mailjet
Asegúrate de cumplir con la Ley de Protección de Datos en España
Sí, estamos dispuestos a admitirlo: esto de las normativas de protección de datos es un tema complicado que también nos ha dado a nosotros más de un quebradero de cabeza. Y lo peor es que nunca tienes la sensación de estar al día. Porque después de la LOPD, el año pasado se aprobó un borrador de la Ley de Cookies de la Unión Europea o ePrivacy, que ahora está en proceso de discusión entre el Parlamento, la Comisión y el Consejo europeos.
En Mailjet, como plataforma que realiza tratamientos de datos para muchísimas empresas de todo el mundo, nos tomamos muy en serio la protección de los datos personales. Por eso, disponemos de las máximas medidas de seguridad, acreditadas por el certificado ISO 27001, y nos aseguramos de cumplir tanto con la normativa española protección de datos como con el RGPD europeo.
Pero, además, queremos educar y concienciar a nuestros clientes y lectores sobre la importancia de proteger los datos de carácter personal de los que son responsables. Si aún no tienes muy claro si tu negocio cumple con el Reglamento General de Protección de Datos, échale un vistazo a nuestra Guía de Recursos RGPD, con toda la información que necesitas sobre la nueva normativa.
También puedes suscribirte a nuestra newsletter para estar al día de todas las novedades sobre protección de datos que afectan a la estrategia de marketing de pequeñas y grandes empresas.
¿Preguntas? ¿Dudas? ¿O simplemente quieres compartir tu experiencia y desahogarte con nosotros? ¡Pásate por Twitter y cuéntanoslo todo!
***
Este artículo es una versión actualizada del post El RGPD y la nueva LOPD: La protección de datos en España en 2020, publicado en el blog de Mailjet el 29 de julio de 2020.