Es noticia desde hace semanas en diferentes medios de comunicación. Tras su entrada en vigor en mayo de 2016, a partir del 25 de mayo de 2018 será de obligado cumplimiento el nuevo reglamento europeo en protección de datos (RGPD).
El RGPD representa la nueva normativa de protección de datos, única para toda la Unión Europea. Entró en vigor el 25 de mayo de 2016, con dos años de adaptación (por lo tanto, a partir del 25 de mayo de 2018 será de cumplimiento obligatorio). Este nuevo reglamento surge por la necesidad de adaptarse a las nuevas realidades de teléfonos inteligentes, redes sociales, operativas de banca por internet … Quiere dar un mayor poder a las personas sobre sus datos personales, y un mayor control sobre sus datos facilitados a terceros. Sus principales novedades son:
- Cumplimiento: será de obligado cumplimiento para quien trate datos de carácter personal en la UE; o para quien no tenga sede en la UE, pero trate datos para bienes o servicios dirigidos a ciudadanos de la UE (hasta ahora era posible gestionar datos y legislar por leyes de otros países con normativas más permisivas).
- Tratamiento y conservación de los datos: se deberá informar sobre la procedencia y tratamiento de los datos, así como del tiempo que las empresas las tendrán en su poder. Esta información debe ser de fácil comprensión, explicada en un lenguaje claro.
- Nueva ventanilla única: quien trate datos en varios estados de la UE, o desde un solo estado trabaje con datos de ciudadanos de varios estados, puede tener una única Autoridad de Protección de Datos.
- Responsabilidad activa: no se pueden llevar a cabo las acciones pertinentes una vez cometida la infracción, ya que los daños a los interesados ya se han producido. Se deben tomar precauciones previas, tales como el registro de tratamiento o la asignación de un Delegado de Protección de Datos.
- Derecho al olvido: una persona puede pedir que sus datos sean eliminados cuando ya no se necesiten para la finalidad para la que fueron cedidos, cuando se revoque su consentimiento, o cuando haya una obtención ilegal de los datos.
- Derecho a la portabilidad: la persona que haya cedido sus datos a un responsable que los esté tratando de forma digitalizada, podrá solicitar recuperar sus datos en un formato adecuado para la cesión a otro responsable.
- En relación con la finalidad: los datos deben ser limitados, adecuados, pertinentes, actualizados y exactos.
- En relación con el interesado: los datos se tratarán de forma leal, lícita y transparente.
- El tiempo de conservación NO es ilimitado: los datos no se pueden guardar más tiempo del necesario para el tratamiento a realizar.
- Nuevo consentimiento: debe ser libre, informado, específico e inequívoco. El consentimiento tácito ya no es aceptado (las casillas marcadas de antemano, el silencio o la no acción ya no constituyen consentimiento). Tiene que ser verificable y demostrable: quien recoja datos personales debe poder probar el consentimiento del afectado.
- Profiling: será necesario pedir el consentimiento de los usuarios de un equipamiento cultural para la realización de perfiles (cuando se analizan las preferencias de los clientes o aspectos sociodemográficos, y se envían comunicaciones comerciales conforme a las mismas).
- DPO: nueva figura para determinadas empresas; es quien debe velar por el correcto cumplimiento de la nueva normativa. Sus obligaciones son informar al personal sobre la normativa y las obligaciones del RGPD, supervisar que se aplica correctamente en la empresa; ser la persona de contacto para los tratamientos realizados y ser responsable de la evaluación y de los riesgos.
¿Revisadas las principales novedades, qué implicaciones tiene el nuevo reglamento para los teatros, auditorios y otros proyectos culturales?
- Revise que todos los softwares y programas con los que trabaja, y donde almacene datos personales, están actualizando sus condiciones legales y políticas de privacidad para adaptarse al nuevo reglamento.
- Si dispone de sistema de ticketing, póngase en contacto con sus responsables y confirme cómo se están adaptando a la nueva ley y qué novedades implicará en el registro de datos.
- Establezca procesos para ofrecer garantías a sus clientes al respecto de sus datos personales. ¿Como pueden contactar con vosotros para revisar de qué datos disponen? ¿Si un cliente pide recuperar sus datos o que sean eliminadas, como lo hizo? ¿La base de datos está preparada para registrar a quien no acepta la realización de perfiles o el envío de comunicaciones comerciales?
- Estudiar si es necesario enviar un email a la base de datos informando de las novedades en sus condiciones legales o política de privacidad. ¿Hay que aprovechar para pedir el consentimiento explícito que no se había pedido hasta el momento? ¿Tiene un registro de la IP, día y hora en que sus usuarios y usuarias han dado su consentimiento?
- Revise que dispone de toda la documentación necesaria según el tratamiento de datos que realice: carpeta de seguridad, registros de tratamiento y conservación …
- Revise las políticas de privacidad de su web, check box de consentimiento para recibir vuestras comunicaciones comerciales, disclaimer en las campañas de email a enviar….
- Asesórese con sus responsables legales y jurídicos sobre si la figura del DPO es necesaria en su empresa.
Como ya hemos explicado en otros artículos, los datos son un gran aliado para los proyectos culturales y como tal, se hace muy recomendable contar con un asesoramiento experto para garantizar que todo se hace correctamente. Nosotros, por ejemplo, trabajamos desde hace más de 3 años con Datax, una consultoría especializada en Protección de Datos y Seguridad en la Información, quien también asumirá el rol de DPO de Teknecultura con la entrada en vigor del nuevo reglamento. Y es que el tema protección y privacidad de los datos es para nosotros de vital importancia. Como ciudadanos, debemos estar seguros de que los datos que vamos dejando no sean nunca utilizados en contra nuestra. Sólo así podremos confiar y sólo así los datos ayudarán a las organizaciones a mejorar.