¿Qué es la LOPD y por qué ya NO sirve? - LEXblogger

¿Qué es la LOPD y por qué ya NO sirve?

Tener un negocio online implica mucho más que comprar un dominio y ponerte a subir artículos ¡sería genial que solo fuera eso! pero ya sabes que hay muchos otros requisitos que cumplir para poner en marcha cualquier proyecto de negocio.

Entre los requisitos y obligaciones ineludibles está la adecuación legal de tu negocio a las regulaciones en materia de protección de datos y es aquí cuando te topas con las siglas LOPD y no tienes claro qué significa para tu negocio ni cómo te afecta legalmente.

No ha llovido lo bastante desde que una nueva regulación europea se impuso a la LOPD, pero no todo el mundo lo sabe y puede que seas uno de los que no conoce las diferencias entre una y otra ni lo que tienes que hacer exactamente si quieres estar al lado de la Ley y no en el lado oscuro.

En este post podrás aclarar las diferencias entre una y otra y comprender la importancia de tenerlas presentes en tu negocio.

 

¿Qué es la LOPD? ¿Es sólo para España?

LOPD son las siglas de Ley Orgánica de Protección de datos, concretamente, se trata de la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal existe cómo ves, desde 1999, unos años tiene la moza.

Básicamente se trata de una regulación española que tiene por objetivo “garantizar y proteger, en lo concerniente al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente su honor e intimidad personal y familiar”.

Por tanto, esta ley y su reglamento regulan lo que se puede y no se puede hacer con la información personal y protege un derecho fundamental de los ciudadanos: el derecho al honor, intimidad personal y familiar y a la propia imagen.

La LOPD aplica solo para España y es uno de los motivos principales por lo que nace el RGPD, el Reglamento Europeo de protección de Datos, que aplica en todos los estados miembros y protege por igual los intereses de todos los ciudadanos europeos.

 

Que profesionales deben cumplir el rgpd - LEXblogger

 

¿Por qué un negocio digital debe cumplir con la LOPD?

Esta es de las respuestas más obvias a contestar: debes atender a las regulaciones de protección de datos personales porque la materia prima de tu negocio son los datos personales.

Como profesional digital, estás llamado a tratar datos personales y a ser un gestor de información personal. ¿te plantearías manipular alimentos sin conocer las normas sanitarias para una manipulación segura? con la información personal ocurre lo mismo, para procesarla de forma segura, debes conocer profundamente las normas que regulan su tratamiento y para eso, debes conocer la LOPD y el RGPD.

Todo negocio digital depende de la información personal de sus bases de datos, no ocuparse de proteger este activo es un suicidio en diferido, A menos que estés dispuesto a asumir riesgos económicos y reputacionales por vulnerar los derechos de clientes y usuarios…

Pero también , todo negocio digital se sujeta en la confianza que podemos proyectar, reducir la incertidumbre, el temor que producen los entornos digitales, aportar un clima de transparencia y una cultura de permisos sin duda mejoran notablemente esa imagen y mejoran la confianza de nuestra audiencia.-

 

Estás dispuesto a asumir riesgos económicos y reputacionales por vulnerar los derechos de clientes y usuarios por no adecuarte correctamente al RGPDHaz click para twittear

 

Es cierto que hay profesionales que se lanzan a la aventura sin contemplar el impacto que pueden generar sus acciones en los usuarios, pero te prometo que si quieres ser un profesional digital, no puedes crecer si le das la espalda a aquellas regulaciones dedicadas a la defensa de usuarios y consumidores, te arriesgas a quedarte fuera de juego en cualquier momento.

Lo que no admite réplica es que toda empresa o profesional que recabe o gestione información personal de otros para prestar un servicio, debe conocer y aplicar los principios que garantizan la protección de los datos personales de sus clientes, empleados, colaboradores, etc.

Pero lo cierto, es que es mucho más que una obligación legal, un estudio ha revelado que “los marketeros que se  adecuaron al #RGPD han visto cómo se han incrementado notablemente los niveles de confianza, lealtad y engagement de sus clientes.”

 

 

Los marketeros a los que no les "pilló el toro" con el nuevo RGPD - LEXblogger

 

Si no te apetece leerle el artículo, quédate también con este otro párrafo:

“Los marketeros metidos en el papel de hormigas contemplaron el RGPD como una oportunidad para dar fuelle a la “customer experience”

Ahí lo dejo…

 

Nueva LOPD en 2018

El RGPD, el Reglamento europeo de Protección de datos, entró  en vigor en 2016, siendo de obligado cumplimiento desde el 25 de Mayo de 2018.

La LOPD, como ley de carácter nacional (España), se integró al RGPD, que unificó todas las regulaciones europeas de protección de datos bajo un mismo paraguas legal. De modo que todo ciudadano europeo cuente con los mismos derechos y garantías sobre la información personal.

La LOPD debe convertirse en la nueva LOPD, algo que debería haberse producido de forma simultánea con el RGPD, algo que ahora mismo está en proceso de tramitación parlamentaria y cuyo objetivo es facilitar la aplicación del RGPD. Esta nueva LOPD no puede contradecir al RGPD, solo definir y aterrizar localmente algunos aspectos  (como la edad en que se exige el consentimiento de los padres del menor).

En esta universalidad radica una de las mayores ventajas del RGPD, es decir, al proteger los intereses de todos los europeos, no solo deben acatarlo las empresas o profesionales europeos, también todos aquellos que traten datos de los ciudadanos europeos aunque estén en América o Asia. Digo ventaja porque esta regulación acaba con el escaqueo legal al que nos tenían acostumbrados empresas como Google o Facebook, los grandes emporios del dato que hasta ahora,  se amparaban en regulaciones más laxas para hacer con nuestra información lo que mejor les venía a sus intereses, pues con el RGPD, el chollo legal se ha terminado.

 

¿Tengo que cumplir la LOPD o el RGPD?

Supongo que tendrás un lío de siglas descomunal y no es para menos..

Que rija ahora el RGPD  no significa que muera la LOPD, lo que significa es que como regulación nacional, debe integrarse en un marco común que establece nuevos principios, nuevos derechos, nuevas sanciones, etc. A partir del 25 de mayo de 2018, el nuevo RGPD europeo se aplica en España de manera simultánea al resto de normas en materia de protección de datos: LOPD + RGPD, es decir, en tanto en cuanto no contravengan lo establecido en el RGPD, se deberá aplicar también la legislación estatal y autonómica sobre protección de datos (incluidos la LOPD y su Reglamento -RD 1720/2007-)

Las regulaciones no solo deben unificarse, también deben refrescarse y falta que les hacía, lo entenderás rápidamente: desde 1999, los sistemas de procesamiento de información han sufrido una transformación gigantesca, hablamos de big data, de machine learning, de inteligencia artificial, de algoritmos predictivos de comportamiento, de IoT y de millones de herramientas y tecnologías que permiten extraer toda clase de información personal y de conocimientos sobre esa información, era vital una nueva regulación que diera cuenta de esa evolución y respondiera a los nuevos dilemas éticos que presentan estos nuevos tratamientos. Así surge el RGPD, con 9 años de gestación, lo que significa que ya nace con un pequeño desfase respecto a los cambios en los procesamientos de información que se han generado desde entonces.

Con la aplicación del RGPD, cada país debe adecuar su propia regulación en materia de protección de datos a este nuevo marco europeo y por tanto, en españa, tendremos una nueva LOPD que recoja todos los principios del RGPD.  Como te contaba más atrás, se supone que la nueva LOPD debería haber estado lista, publicada y en vigor el 25 de mayo, junto con la fecha límite para implantar el RGPD. Pero como bien dice el refrán, ya sabemos a qué ritmo van las cosas de palacio,  mucho más por estos lares, de momento, solo hemos visto publicada en el BOE Real Decreto-ley de medidas urgentes para la adaptación del Derecho español a la normativa de la Unión Europea en materia de protección de datos.

En este real decreto se contemplan las inspecciones, el régimen sancionador, infracciones, procedimientos, etc.

 

Niveles de seguridad LOPD: Ahora son “Niveles de Riesgo”

Este es otro de los aspectos que han dado un giro radical con el RGPD. Recordemos que la LOPD establecía 3 niveles de seguridad en función a los ficheros de datos atendiendo a la naturaleza de la información tratada y almacenada en los ficheros, y en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información almacenada en dichos ficheros según la LOPD.

Estos niveles se seguridad solo podían de ser de 3 tipos:

  • Bajo
  • Medio
  • Alto

Por tanto, las medidas de seguridad eran muy claras y estaban muy tipificadas según el nivel.

En el RGPD se cambia radicalmente el enfoque, ya no se habla de niveles de seguridad sino de niveles de riesgo que entrañan los diferentes tratamientos. Este nuevo enfoque basado en el riesgo, exige realizar un análisis de los riesgos que suponen los diferentes tratamientos llevamos a cabo que permita establecer medidas de seguridad oportunas y adecuadas a ese nivel de riesgo.

Recuerda que el RGPD es de obligado cumplimiento para cualquier profesional o empresa que opere con información personal, incluso si solo tienes un blog de servicios o contenidos para monetizar.  En este post te explicamos cómo adecuar tu blog al RGPD.

 

El Documento de Seguridad LOPD ahora se llama “Registro de tratamiento RGPD”

Otro cambio que trae el RGPD es el registro de actividades de tratamiento que reemplaza al documento de seguridad exigido en la LOPD y la inscripción de ficheros.

La LOPD establecía en su artículo 88 la obligatoriedad, por parte de los responsables del fichero, de contar con un documento de seguridad , por su parte, el RGPD, no menciona ese documento y en su lugar aparece el  Registro de actividades de tratamiento (RAT).

En el documento de seguridad debían detallarse los ficheros de datos que tenía la empresa, así como una descripción de los soportes que almacenaban esos ficheros, los sistemas de seguridad que se aplicaban a esos ficheros, las funciones y obligaciones del personal, la descripción de los sistemas informáticos, etc

Debes saber que con el RGPD,  también desaparecen los ficheros y la necesidad de inscribirlos en la Agencia Española de Protección de Datos. Ya no se habla de ficheros sino de tratamientos. La consecuencia práctica es que ya no tendrán que hacer ningún trámite o gestión de cara a la administración.
En el RGPD, tanto el Responsable del tratamiento y en su caso, del Encargado, deben llevar a cabo un registro de actividades de tratamiento efectuadas bajo su responsabilidad.

La obligación de elaborar un registro de actividades de tratamiento,  no se aplicará a aquellas empresas que empleen a menos de 250 personas, salvo que:

  • Pueda entrañar un riesgo para los derechos y libertades de los interesados.
  • No sea ocasional (con esto las incluye a todas).
  • O, incluya categorías especiales de datos personales.

El contenido básico del Registro de actividades de tratamiento debe ser el siguiente:

  • Nombre y datos de contacto del responsable y, en su caso del corresponsable, representante del responsable y del delegado de protección de datos.
  • Finalidades del tratamiento.
  • Categoría de interesados y categoría de datos personales.
  • Categoría de destinatarios a quienes se comunicaron o comunicarán datos personales, así como, terceros países u organizaciones internacionales.
  • Transferencias de datos personales a un tercer país o una organización internacional.
  • Plazos previstos para la supresión de los datos, cuando sea posible.
  • Descripción general de las medidas técnicas y organizativas de seguridad.

 

Derechos ARCO LOPD ampliados: Estos son los nuevos derechos RGPD

Los derechos otorgados a los ciudadanos sobre su información personal  no cambian, se amplían.

A los tradicionales derechos ARCO incluidos en la LOPD (Acceso, Rectificación, Cancelación y Oposición),  se suman otros nuevos:

  • Derecho al olvido
  • Limitación
  • Portabilidad

Todo esto suena muy bien como literatura, pero muchas veces, cuesta comprender cómo se aplican estos nuevos derechos y en que nos benefician.

Para que puedas ver su aplicación práctica y cómo las empresas tuvieron que arremangarse, te voy a traer un ejemplo tan real como Facebook:

“Cómo puedo ejercer mis derechos en virtud del RGPD?

De conformidad con el Reglamento General de Protección de Datos, tienes derecho a acceder a tus datos, rectificarlos y suprimirlos, así como a obtener su portabilidad. Obtén más información sobre estos derechos y consulta cómo puedes ejercerlos en la configuración de Facebook y de Instagram. Además, tienes derecho a oponerte al tratamiento de tus datos y a restringir el alcance de esta práctica, Estas opciones incluyen:

  • El derecho a oponerte al tratamiento de tus datos para fines de marketing directo. Puedes ejercer este derecho mediante el enlace “Cancelar suscripción” que figura en las comunicaciones de marketing.
  • El derecho a oponerte al tratamiento de tus datos cuando realicemos una misión en interés público o de intereses legítimos nuestros o de un tercero. Puedes ejercer este derecho en Facebook e Instagram.”

Facebook tuvo que habilitar mecanismos para ejercer nuestros derechos de forma directo, por ejemplo, el derecho a acceder u oponernos a un tratamiento, algo impensable antes del RGPD, de hecho, gracias a estas nuevas opciones, ahora podemos saber muchísimo más sobre la información que recaba la plataforma sobre nosotros y cómo la utiliza, también podemos tomar más decisiones.

Vemos cómo podemos acceder a la información que facebook almacena sobre nosotros  y administrar nuestra propia información.

Cómo podemos acceder a la información que facebook almacena sobre nosotros y administrar nuestra propia información - LEXblogger

Cómo podemos acceder a la información que facebook almacena sobre nosotros y administrar nuestra propia información - LEXblogger

Cómo podemos acceder a la información que facebook almacena sobre nosotros y administrar nuestra propia información - LEXblogger

 

¿Que pretenden los derechos RGPD?

El objetivo de estos nuevos derechos es el de ofrecer un mayor control a los ciudadanos sobre su propia información personal.

Aquí puedes aprender más sobre los derechos RGPD y cómo ejercerlos.

El RGPD pretende que como ciudadanos, tengamos más herramientas para controlar nuestra información, incluyendo mayor transparencia sobre el uso y tratamiento que realizan las empresas y mecanismos para poder decidir sobre este uso.

Seguramente habrás visto como facebook y otros colosos del datos han tenido que integrar en sus plataformas, secciones nuevas para que podamos consultar todo lo relativo a los datos que tratan, con quién con los comparten, como los utilizan , etc. También han tenido que habilitar herramientas para que podamos ejercitar nuestros derechos de forma directa y tener más opciones sobre nuestra privacidad.

Cómo consultar todo lo relativo a los datos que trata facebook - LEXblogger

Cómo ves, el RGPD pretende acabar con la opacidad y arbitrariedad con que las empresas han utilizado nuestra información hasta ahora, a la vez, pretende que como ciudadanos, seamos más conscientes y responsables a la hora de facilitar nuestra información personal y para ello, se les exige a las empresas que no sólo sean más cristalinas informando, también se les pide que abandonen las prácticas intrusivas de recabar datos y hagan un esfuerzo en el permiso, es decir, en asegurarse que solo el permiso inequívoco del usuario habilita el tratamiento.

Ya habrás visto como los formularios online empiezan a transformarse incluyendo cláusulas informativas visibles en un primer plano  y mecanismos para recabar ese permiso, como check box de consentimiento.

 

Banner sidebar adecuado al RGPD - LEXblogger

 

Banner teaser adecuado al RGPD - LEXblogger

 

Verás como poco a poco van desapareciendo los pop-up o banner en dónde sólo debías incluir tu nombre y un correo para pertenecer a una lista o las casillas premarcadas para darte de alta en una herramienta o aceptar el envío de publicidad.

El RGPD pone fin a los consentimientos tácitos o por omisión para comunicaciones comerciales o cesiones de datos.

Por eso, hay varias acciones imprescindibles que deberás realizar siempre que te propongas abordar comercialmente a alguien, como explicamos en el gráfico siguiente:

 

Infografia requisitos marketing legal - LEXblogger

 

LOPD ¿merece la pena no cumplir?

Hay un cambio muy significativo en la manera de establecer las sanciones del RGPD respecto a la LOPD.

El la LOPD se tipificaban las sanciones en leves, graves y muy graves.

  • Infracción leve, la cuantía de la sanción se establecía entre 900 y 40.000 euros.
  • Infracción grave, la sanción oscilaba  entre los 40.001 euros a los 300.000 euros.
  • Infracciones muy graves, sanciones de 300.001 a 600.000 euros.

En el caso del RGPD, la cosa es bastante distinta. En el real decreto que comentaba en el punto anterior, concretamente en el  Capítulo II, se articula un nuevo y reforzado régimen sancionador establecido en el Reglamento General de Protección de Datos (RGPD), que reemplaza los tipos de infracciones contenidas Ley Orgánica 15/1999 .Las cuantías de las sanciones por incumplimiento se incrementan notablemente pudiendo llegar a los 20 millones de euros o el 4% de la facturación global anual , es decir, que el tope de sanción de la LOPD establecido en 600.000 pasa a ser de 20 millones de euros con el RGPD o el 4% de la facturación anual, la que sea mayor.

También se delimitan los sujetos que pudieran incurrir en la responsabilidad derivada de la aplicación de dicho régimen sancionador, incluyendo a los encargados de tratamiento y  los plazos de prescripción de las infracciones y sanciones previstas en la norma europea.

Por otra parte, el RGPD también prevé en su artículo 82, el derecho de indemnización del afectado que transcribimos a continuación:

Artículo 82

UE RGDP

“Derecho a indemnización y responsabilidad”

=> razón: 146, 147

1. Toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos.
2. Cualquier responsable que participe en la operación de tratamiento responderá de los daños y perjuicios causados en caso de que dicha operación no cumpla lo dispuesto por el presente Reglamento. Un encargado únicamente responderá de los daños y perjuicios causados por el tratamiento cuando no haya cumplido con las obligaciones del presente Reglamento dirigidas específicamente a los encargados o haya actuado al margen o en contra de las instrucciones legales del responsable.

=> Artículo: 28

3. El responsable o encargado del tratamiento estará exento de responsabilidad en virtud del apartado 2 si demuestra que no es en modo alguno responsable del hecho que haya causado los daños y perjuicios.

=> Artículo: 5

4. Cuando más de un responsable o encargado del tratamiento, o un responsable y un encargado hayan participado en la misma operación de tratamiento y sean, con arreglo a los apartados 2 y 3, responsables de cualquier daño o perjuicio causado por dicho tratamiento, cada responsable o encargado será considerado responsable de todos los daños y perjuicios, a fin de garantizar la indemnización efectiva del interesado.

=> Artículo: 26, 28

5. Cuando, de conformidad con el apartado 4, un responsable o encargado del tratamiento haya pagado una indemnización total por el perjuicio ocasionado, dicho responsable o encargado tendrá derecho a reclamar a los demás responsables o encargados que hayan participado en esa misma operación de tratamiento la parte de la indemnización correspondiente a su parte de responsabilidad por los daños y perjuicios causados, de conformidad con las condiciones fijadas en el apartado 2.

=> razón: 150

6. Las acciones judiciales en ejercicio del derecho a indemnización se presentarán ante los tribunales competentes con arreglo al Derecho del Estado miembro que se indica en el artículo 79, apartado 2.

=> razón: 150

 

Para que comprendas mejor las principales diferencias entre la LOPD y el RGPD, aquí un esquema resumen:

 

Resumen LOPD RGPD - LEXblogger

Pero hay muchos otros riesgos derivados de la falta de adecuación:Riesgos de la falta de adecuacion al RGPD - LEXblogger

Conclusión ¿merece la pena cumplir con el RGPD?

Creo que la respuesta es bastante sencilla: merece mucho la pena por muchas razones:

  • Por respeto a tu audiencia, a tus colaboradores, a tus clientes.
  • Por responsabilidad: gestionar información personal es gestionar identidades digitales, debes garantizar su protección.
  • Por credibilidad: ser respetuoso y asumir el compromiso con la información personal te hará ganar mucha credibilidad.
  • Por competitividad: pretender crecer desatendiendo los derechos de tu audiencia es de una inocencia insoportable. Garantizarlos, te dará una importante ventaja competitiva.
  • Por superviviencia: dicen que no sobrevive el más fuerte sino el que mejor se adapta y en este caso, se trata de una adaptación clave a los nuevos paradigmnas de la era digital.

Conclusión: no merece la pena hacerse el sueco con el RGPD, ya, ¿pero como lo resuelvo sin complicaciones?

Descubre como la herramienta de LEXblogger puede facilitarte la vida con el RGPD.

5 comentarios en “¿Qué es la LOPD y por qué ya NO sirve?”

  1. Pues yo en los últimos meses he recibido más spam y phising que nunca… (aunque también va por rachas,: 15 días en septiembre insufribles) y resulta bastante difícil denunciarlo. Es decir, que al final seguro que puedes ir contra un pequeño para perjudicarle, que a por uno que realmente es fraudulento

    1. Hola Ana, se trata de una gran paradoja, pero sin duda, es importante denunciar dado que estas empresas se valen de la pasividad de los afectados para vulnerar derechos. La agencia Española de Protecciónd e datos, habilita muchos canales para que la denuncia sea sencilla.
      Gracias por comentar y esperamos que te haya gustado nuestro contenido.

      Un fuerte abrazo

    2. Guardia Civil 🇪🇸

      @guardiacivil
      Si das los datos de tu #DNI en páginas no seguras de la red los delincuentes pueden usarlo para:

      👉Registro en casas de apuestas
      👉Abrir cuentas
      👉Pedir créditos.
      👉Hacer compras/ventas #Cuidadín

  2. Hola Marina,

    Gracias por tu ¡Pedazo de post!

    Me gustaría preguntar si se debe poner alguna reseña especial cuando se trata de aulas virtuales en las que hay menores de 18 años. Por lo general, los alumnos tienen más de 15.

    Normalmente (en los centros educativos) se les pide que se den de alta en una plataforma e-learning, para ello se les pide una cuenta de correo electrónico, por lo general, de Gmail. Supongo que al ser menores de edad, se debe pedir una autorización a los padres o tutores. ¿hay algún documento que sea diferente al que ya tengo yo en mi blog y formularios del mismo?. Tengo vuestra app de lexblogger.

    Gracias por adelantado,

    1. Hola Menchu, gracias por esa valoración tan generosa del post.
      Respecto a tu consulta, lo correcto efectivamente es conseguir una autorización de los padres que sea acreditable, lo lógico es primero, tener un mecanismo para detectar a los menores e impedir el registro de información personal hasta contar con al autorización de los padres, podría ser un texto en donde los padres deben dar el consentimiento y adjuntar por ejemplo, el DNI.
      La app de LEXblogger en sus políticas, ya advierte sobre menores de edad y la necesidad de autorización, el texto se debería generar aparte.

      Un abrazo y gracias por comentar

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

He leído y acepto la política de privacidad *

LEXblogger te informa que los datos de carácter personal que nos proporciones rellenando el presente formulario serán tratados por Luz Soluciones TIC, S.L. como responsable de esta web.

La finalidad de la recogida y tratamiento de los datos personales que te solicitamos es para gestionar los comentarios que realizas en este blog.

Legitimación: Al marcar la casilla de aceptación, estás dando tu legítimo consentimiento para que tus datos sean tratados conforme a las finalidades de este formulario descritas en la política de privacidad.

Como usuario e interesado te informamos que los datos que nos facilitas estarán ubicados en los servidores de Raiola Networks (proveedor de hosting de LEXblogger) dentro de la UE. Ver política de privacidad de Raiola Networks.

Podrás ejercer tus derechos de acceso, rectificación, limitación y suprimir los datos en info@lexblogger.com, así como el derecho a presentar una reclamación ante una autoridad de control. Más información aquí.