El próximo 25 de mayo entra en vigor en todo el territorio europeo el nuevo Reglamento General de Protección de Datos (RGPD). Desde ese día, las empresas deberán cumplir estrictas normas para la mayor protección de privacidad de los ciudadanos europeos.
Son normas que también afectan al sector editorial, el cual maneja datos de autores y en muchos casos de lectores.
Las novedades del Reglamento de Protección de Datos van encaminadas hacia dos vías fundamentales. Una de ellas es que el usuario debe ser informado de cada paso que se lleve a cabo con sus datos personales, desde el acceso, rectificación, borrado o inclusión en alguna base de datos determinada. Por supuesto, el uso de datos por parte de terceros debe ser informado y aprobado.
El usuario además podrá rectificar datos cuando lo estime oportuno, suprimirlos cuando lo solicite y/o limitar su tratamiento. Entendemos por lo tanto, que el autor tendrá su derecho a rectificar datos e incluso eliminarlos de la base de datos o de la web de la editorial siempre que el contrato también lo permita. Asimismo, habrá que prestar especial atención en los directorios de usuarios que regularmente reciben las novedades editoriales o la agenda de actividades. Cuando se den de alta en la lista deberán saber que se le va a enviar este tipo de información.
Asimismo, en relación a las páginas web el cambio más importante es que el típico mensaje de «Aceptas nuestras cookies» tiene que cumplir un consentimiento explícito, es decir, informar de lo que se hará con los datos recopilados. Esto enlaza directamente con la obligación de Google Analytics de estipular un periodo en el que los datos del usuario serán mostrados. En este sentindo, este post sobre Reglamento de Protección de Datos aclara bastante al respecto.
Delegado de Protección de Datos
El otro cambio importante en la legislación es que cada empresa deberá nombrar en su estructura la figura del Delegado de Protección de Datos (DPD). Es importante tener en cuenta que aunque existen Reglamento General de Protección de Datos (RGPD), de momento no será exigible para asumir este puesto, aunque sí ayuda para proporcionar la seguridad a la empresa de que cumplirá con el reglamento. Sea con esta acreditación o no, se debe seleccionar una persona como delegado de Protección de Datos.
La designación de un DPD corresponde a los encargados de los tratamientos de datos personales y su selección se debe realizar atendiendo a las cualidades profesionales y no a una titulación o certificación específica. Al Delegado de Protección de Datos, que deberá contar con conocimientos del Derecho y de la protección de datos, que actuará de forma independiente, se le atribuyen funciones reguladas en el artículo 39 del RGPD, entre las que destacan informar y asesorar, así como supervisar el cumplimiento del reglamento.
Medidas de responsabilidad activa
El Reglamento General de Protección de Datos (RGPD) configura unas “medidas de responsabilidad activa” aplicables a los responsables, y en ocasiones, también a los encargados de tratamiento.
Se puede acceder a la Guía del Reglamento General de Protección de Datos en la web de la Agencia Española de Protección de Datos. Entre las medidas que incluye están el análisis de riesgos, protección de datos desde el diseño y por defecto, registro de actividades de tratamiento, medidas de seguridad, evaluación de impacto sobre la protección de datos, notificación de “violaciones de seguridad de los datos” y finalmente, el delegado de protección de datos.
Nos parece interesante esta infografía de la Agencia Española de Protección de Datos donde se recogen las acciones a las que tiene derecho el usuario.