Lo que todo el mundo debería saber (si tiene un sitio web)

Si eres dueño de un sitio web o estás a cargo de una plataforma digital que de alguna manera recopila datos personales de los usuarios con quienes interactúa, entonces seguramente ya has oído hablar del RGPD o GDPR (por sus siglas en inglés).

Pero si aún no tienes ni idea de lo que te acabo de mencionar, creo que esta información te será muy útil, sobre todo, si las personas involucradas en dicha interacción resultan ser ciudadanos de países miembros de la Unión Europea (UE).

En un mundo globalizado como el nuestro todos los responsables del desarrollo de tecnologías de la información y la comunicación (TICs) tendrán que trabajar teniendo en cuenta las leyes y los reglamentos internacionales si desean abarcar a los usuarios pertenecientes a otros Estados, pues los convenios internacionales de protección de derechos humanos se irán volviendo cada vez más estrictos conforme sientan que aquellas TICs pueden llegar a afectar seriamente los derechos fundamentales de sus ciudadanos.

1. Qué es el RGPD o GDPR

El RGPD o GDPR es el Reglamento General de Protección de Datos. Este reglamento fue elaborado por la Unión Europea para proteger a los usuarios de la web, otorgándoles mayor control sobre su información personal.

Fue aprobado el 14 de abril de 2016 y es la normatividad más avanzada y estricta a nivel global. A partir de entonces, todas las empresas de la UE tuvieron que poner a disposición en su sitio web una Política de Privacidad que explicara cómo tratarían los datos, ya sea de clientes, asociados, empleados o simplemente de aquellos interesados en recibir información comercial sobre su negocio. Y, asimismo, debían permitir a todos ellos ejercitar los derechos que les proporciona el RGPD.

2. Cuál es el ámbito de aplicación del RGPD

Es aplicable a todos aquellos profesionales, empresas, organizaciones, instituciones, entidades u organismos públicos, privados o autónomos que realicen un tratamiento de datos personales de terceros en desarrollo de su actividad. Por ejemplo, organizaciones que manejen datos de clientes, empleados o proveedores.

Específicamente, se aplica a plataformas digitales, como sitios web, a los responsables o encargados de éstas, y sólo a los datos de las personas físicas que puedan servir para identificarlas.

El RGPD no es de aplicación en los datos de personas jurídicas ni en los siguientes casos:

• Cuando los ficheros mantenidos por personas físicas son para un uso exclusivamente personal o doméstico. Por ejemplo, las agendas personales, contactos personales de correo electrónico, etc.
• Aquellos ficheros sometidos a la normativa sobre protección de materias clasificadas. Estos ficheros se rigen por una normativa distinta, más específica.
• Tampoco se aplica a los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.

3. Qué debemos entender por datos personales

El RGPD distingue entre dos categorías generales de datos personales:

• Datos personales básicos. Aquéllos que no implican un elevado riesgo para los derechos y libertades de los interesados (nombre, domicilio, datos de contacto, datos académicos, datos bancarios, etc.)
• Datos personales de categorías especiales. Aquellos datos cuyo tratamiento puede implicar un elevado riesgo para los derechos y libertades de los interesados. Estos datos son los contemplados en el artículo 9 del RGPD («origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física»).

4. Por qué es tan importante el RGPD

El objetivo principal del RGPD es mejorar el nivel de protección y control de los datos personales de los interesados (personas físicas) cuando estos datos son sometidos a tratamientos por parte de empresas y otro tipo de entidades, para asegurar el respeto a sus derechos fundamentales de privacidad y libertades individuales.

En ese sentido, dos de los artículos más importantes de esta ley europea son el 5 y el 6, los cuales indican la forma correcta de tratar datos personales.

El artículo 5 señala que los datos personales se deben tratar de forma lícita, leal y transparente. Además, los datos han de ser recogidos con fines determinados, explícitos y legítimos. El tratamiento de esta información ha de ser adecuada, pertinente y limitada. Los datos deben ser exactos, veraces y actualizados. Por último, no se deben mantener durante más tiempo del necesario para los fines del tratamiento.

Por su parte, el artículo 6 establece las bases para la licitud del tratamiento. En este sentido, la normativa considera lícito el tratamiento de datos siempre y cuando se hayan obtenido en base a las siguientes condiciones, por mencionar algunas:

• Con consentimiento del interesado
• Sean necesarios para la ejecución de un contrato
• Sean necesarios para cumplir con obligaciones legales
• Se busque proteger derechos fundamentales del interesado
• Se trate de datos de interés público
• Sean fundamentales para que el responsable o un tercero puedan ejercer sus derechos legítimos

Esto evita que los usuarios aparezcan sin su consentimiento en listas de empresas de marketing, encuestas, operadores móviles, desde los cuales les envían constantemente publicidad a través del correo electrónico o llamadas telefónicas.

Por otro lado, al agregar mecanismos de seguridad a tu plataforma virtual que incluyan los lineamientos plasmados en esta normativa, tu sitio web se verá beneficiado porque aumentarás su alcance en SEO (Search Engine Optimization). Y, por el contrario, al no cumplir con estas normas, tú y tu plataforma virtual pueden ser sujetos de escrutinio.

5. ¿El RGPD involucra a países fuera de la UE?

Dentro del Derecho Internacional, existen principios que permiten a los Estados (países) ejercer su jurisdicción fuera de sus territorios en caso de que sus intereses nacionales se encuentren involucrados.

La UE es el conjunto de una serie de Estados, y cuenta con personalidad en el plano internacional. Adicionalmente, cuenta con un marco legal en el que establece sus principios, entre los cuales se encuentran la seguridad y el respeto a los derechos de los ciudadanos de países pertenecientes a la Unión. 

Con el uso de las telecomunicaciones, una empresa puede proporcionar servicios a ciudadanos europeos sin estar establecidos en el territorio de la UE. Más específicamente, tu sitio web o plataforma pueden tener usuarios nacionales de un país miembro de la Unión y estar al mismo tiempo establecido en México.

Esta situación, con el fin de brindar a sus ciudadanos seguridad en el uso de sus datos, otorga a la Unión las facultades legales de perseguir y hacer cumplir su normatividad, incluso bajo la imposición de multas a los involucrados fuera de la UE.

Pero más allá de si necesitas hacer algo para cumplir el RGPD, un mensaje debe quedar claro: la protección de los datos es una preocupación de las autoridades europeas e internacionales.

6. Qué conlleva el incumplimiento del RGPD

Incumplir con el esquema del RGPD conlleva consecuencias negativas para cualquier organización, suponiendo para las empresas y profesionales la imposición de cuantiosas multas. Además, eso puede suponer una pérdida de reputación ante clientes, proveedores y socios, lo cual generalmente deriva también en pérdidas de confianza y beneficios económicos.

Las sanciones que establece el RGPD se dan en función de la gravedad de la infracción, el volumen de interesados y categorías de datos afectadas, la persistencia en el tiempo, la reincidencia y otros factores.

Así, las sanciones pueden llegar a:

• Para infracciones graves: multa de hasta 10 millones de euros (o el 2% de la facturación anual, aplicando la cuantía que resulte más alta).
• Para infracciones muy graves: multa de hasta 20 millones de euros (o el 4% de la facturación anual, aplicando la cuantía que resulte más alta).

Como verás, las sanciones que se han contemplado en el caso de incumplimiento o inadecuada implementación del RGPD son bastante altas. Por eso, es importante que tomes el máximo de precauciones posibles para conservar los datos de manera segura y hacer que tu negocio se alinee al RGPD. Y si entre el personal de tu organización no cuentas con empleados que posean los conocimientos suficientes de la normativa, tendrás que considerar la contratación de una empresa de protección de datos, puesto que será la única manera de estar seguro de que cumples plenamente con tus obligaciones al respecto.

7. Ejemplos de multas a empresas

No son pocas las empresas que han caído en irregularidades y que ya se han llevado sanciones por no cumplir el RGPD.

Una de las que ya ha sufrido estas consecuencias es la todopoderosa Google, que en 2019 se llevaba una multa de 50 millones de euros por parte de la autoridad francesa de protección de datos. ¿El motivo? Que la información facilitada a los usuarios no era fácilmente accesible ni sencilla de entender.

Otra de las mayores sanciones es la que se le ha impuesto en Alemania a la inmobiliaria Deutsche Wohnen. Ni más ni menos que 14,5 millones de euros tuvo que pagar por no respetar el plazo de conservación y guardar los datos de clientes durante más tiempo del necesario.

Mayor es todavía la sanción que recibió la cadena hotelera Marriott, a causa de una vulnerabilidad en su sistema que expuso los datos de tarjetas de crédito de casi 9 millones de clientes. La multa que le impuso la Oficina del Comisionado de Información de Reino Unido fue de 110 millones de euros.

Sin embargo, la más sorprendente es la sanción de 204 millones de dólares que la autoridad de protección de datos del Reino Unido impuso a British Airways después de que el grupo hacker Magecart le consiguiera robar datos de más de 500.000 clientes.

Estas multas millonarias son un ejemplo de lo grave que puede llegar a ser una infracción al Reglamento General de Protección de Datos.

8. Cómo cumplir con el RGPD

En grandes términos, los pasos más importantes son la transparencia con el usuario y mecanismos de seguridad de procesamiento de datos dentro de la organización de tu startup.

En forma de resumen podemos decir que para cumplir con esta normativa tienes que hacer lo siguiente:

• Actualizar todos los textos legales de tu sitio web:
• Aviso legal
• Política de privacidad
• Política de cookies
• Términos de uso (en el caso de tener una tienda online)
• Añadir a todos los formularios de contacto, páginas con comentarios o en formularios de suscripción (newsletter) la siguiente información:
• Una cláusula informativa a modo de resumen (primera capa)
• Enlace a la página de la política de privacidad (segunda capa)
• Checkbox (casilla de verificación)

La Agencia Española de Protección de Datos, entre otras instituciones, brindan ciertos alcances para promover la adaptación a esta normativa europea y su cumplimiento, como la herramienta Facilita RGPD y modelos y plantillas gratuitos, por ejemplo.

Referencias

• Agencia Ciscar. (2020, noviembre 10). ¿Qué es el RPGD? - Cual es su importancia? https://agenciaciscar.com/que-es-el-rpgd/
• Ayudaley. (s/f). RGPD | Reglamento Europeo de Protección de Datos | Qué es. https://ayudaleyprotecciondatos.es/guia-rgpd/
• Exoap. (2020, julio 6). Protección de Datos en el GDPR ¿Cómo funciona? https://exoap.com/gdpr-proteccion-datos/
• Grupo Atico34. (2023, enero 23). RGPD: Reglamento general de protección de datos 2023. https://protecciondatos-lopd.com/empresas/rgpd-reglamento-general-proteccion-datos/
• Perez, O. (2021, marzo 29). RGPD: Así puede la Unión Europea multar a tu Plataforma Digital. Exoap. https://exoap.com/rgpd-multas-extraterritorialidad/