Las empresas tech y retail normalmente suponen la recogida de datos personales de interesados en la UE o Reino Unido, lo cual requiere un análisis detallado de las obligaciones de cumplimiento normativo. Esta es una guía sobre la normativa de protección de datos en la UE y Reino Unido.
La protección de datos es uno de los principales aspectos que deben abordar las empresas, especialmente aquellas que operan en la industria tech y retail. Todas las empresas tecnológicas y la mayoría de las empresas de comercio al por menor o retail tratan grandes cantidades de datos personales. La progresiva incorporación de la Inteligencia Artificial (IA), el empleo de técnicas de marketing intrusivas y el creciente número de ciberataques y brechas de datos personales hace esencial que las empresas comprendan todas sus obligaciones en este ámbito y cuenten con los medios necesarios al tratar datos personales de interesados en la UE y Reino Unido.
Tanto la UE como Reino Unido han desarrollado un marco normativo de protección de datos sólido para proteger los datos personales de los interesados y asegurar una gestión óptima de los mismos. Para las empresas tech es primordial priorizar la privacidad por diseño y por defecto, mientras que para las empresas del sector retail es muy importante garantizar prácticas de tratamiento transparentes e implementar medidas de seguridad adicionales para datos financieros y de salud. En Aphaia analizamos las necesidades individuales de cada empresa para diseñar un plan de acción adaptado a las mismas.
El RGPD es la ley principal de protección de datos en la UE, que obliga a las empresas a cumplir con una serie de principios como la licitud, lealtad y transparencia, la minimización de datos, la exactitud de los mismos, la limitación del plazo de conservación y la implementación de una serie de medidas de seguridad.
El RGPD, que comenzó a aplicarse en mayo de 2018, es la principal ley de protección de datos en la UE. Su objetivo es harmonizar los requisitos y obligaciones de protección de datos en todos los Estado Miembro y reforzar los derechos de los interesados. El RGPD se aplica a todas las empresas que traten datos personales de ciudadanos europeos o en el contexto de un establecimiento en la UE. Dada la naturaleza de los datos tratados y el contexto en el que operan, las empresas tech y retail, especialmente aquellas que traten grandes cantidades de datos, deben implementar un estricto plan de cumplimiento del RGPD.
Es importante que las empresas se adhieran a ciertos principios definidos por el RGPD cuando traten datos personales. Estos principios incluyen la licitud, lealtad y transparencia hacia los interesados. Además, los datos pueden tratarse solo con finalidades específicas y no pueden utilizarse con ningún otro objetivo que no sea compatible. Asimismo, la minimización de datos será determinante en relación con la cantidad y categorías de datos personales que pueden tratarse. La precisión de los datos personales también deberá regir las decisiones y actividades de tratamiento, y será necesario poner medidas para corregir imprecisiones. Por último, los datos podrán conservarse únicamente mientras sea preciso y se requiere implementar las medidas de seguridad que sean necesarias para proteger a los datos de cualquier acceso no autorizado o pérdida.
El RGPD también exige a las empresas que sean capaces de demostrar cumplimiento con la normativa. Este aspecto implicará elaborar y conservar todos los documentos que sean necesarios, incluidos el registro de actividades de tratamiento y las evaluaciones de impacto. En consecuencia, es muy importante que todas las empresas y su personal comprendan estos principios y los apliquen. Muchas empresas optan por delegar estas funciones en un Delegado de Protección de Datos que supervise y asegure el cumplimiento con la normativa. Una infracción del RGPD puede derivar en elevadas sanciones, incluidas multas de hasta el 4% del beneficio anual de la empresa.
La Data Protection Act 2018 (DPA) de Reino Unido también requiere que las empresas tech y retail implementen una serie de medidas para proteger los datos personales y asegurar un tratamiento legítimo y el respeto por los derechos de los interesados.
Reino Unido introdujo la Data Protection Act 2018 (DPA), es decir, su normativa nacional de protección de datos, para adaptar su marco normativo de protección de datos con el RGPD. La DPA ofrece detalles adicionales y exenciones específicas aplicables en el contexto de Reino Unido. También establece la Oficina del Comisionado de la Información (ICO) como la autoridad de supervisión responsable para aplicar las leyes de protección de datos en Reino Unido. Cabe recordar que después del Brexit el RGPD es aún aplicable en Reino Unido a través del “UK GDPR” y las empresas que operen en este país, incluidas las empresas tech y retail, deberán cumplir tanto con el UK GDPR como con la DPA, lo cual incluye la implementación de medidas técnicas y organizativas apropiadas para proteger los datos personales, la elaboración de evaluaciones de impacto de protección de datos, la designación de delegados de protección de datos (DPO) y la notificación a la ICO de las brechas de datos personales en el plazo de 72 horas cuando sea necesario.
Entre todos los requisitos aplicables, es especialmente importante para las empresas tratar los datos personales de manera legítima y clara, con transparencia y una base legal válida. Los interesados tienen múltiples derechos sobre sus datos personales, incluido el derecho de acceso, de rectificación y de supresión, entre otros. En lo que respecta a las bases de tratamiento, el consentimiento es un aspecto crucial dado que debe ser libre, específico, informado y claro, y además tendrá que obtenerse antes de que el tratamiento tenga lugar, y tanto durante como después los interesados podrán retirar su consentimiento en cualquier momento.
La Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales de España (LOPDGDD)
La Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) tiene una doble finalidad: por un lado, actualiza el marco normativo nacional en conformidad con el RGPD y establece una serie de especificaciones adicionales; por otro lado, crea una serie de derechos digitales, incluidas, entre otras, provisiones sobre el derecho a la educación digital, la protección de menores en internet, el derecho a la privacidad en el ámbito laboral en relación a la utilización de sistemas de videovigilancia y de geolocalización.
En consecuencia, cualquier empresa que deba cumplir con la LOPDGDD tendrá que adecuarse no sólo a los requisitos del RGPD sino también implementar medidas en relación con los derechos digitales. Algunos de estos derechos son especialmente importantes para el sector tech y retail, como el derecho al olvido en servicios de redes sociales y la protección de menores. Este último aspecto es también esencial para aquellas empresas que operen en Reino Unido, puesto que deberán tener en cuenta el Código de los Niños.
Las empresas tech que tratan datos personales cuentan en particular con múltiples obligaciones, incluida la integración de la privacidad en sus productos y servicios, la obtención de consentimiento cuando sea necesario y la implementación de medidas adicionales para transferencias internacionales de datos.
Las empresas tech, al tratar grandes cantidades de datos personales, se enfrentan a retos únicos en lo que respecta al cumplimiento con la normativa de protección de datos. Uno de ellos es el concepto de “privacidad por diseño y por defecto” introducido por el RGPD. Este principio requiere que las empresas integren medidas de privacidad en sus productos y servicios desde la fase de diseño. Será necesario por tanto que los ajustes de privacidad estén configurados al máximo y que se obtenga el consentimiento del usuario cuando sea necesario, como por ejemplo para utilizar cookies que no sean estrictamente necesarias.
Otro elemento importante para las empresas y en concreto para las tecnológicas la transferencia internacional de datos personales. El RGPD restringe la transferencia de datos personales a terceros países que no tengan un nivel adecuado de protección. Las empresas tech que operan globalmente deberán implementar las garantías necesarias, como cláusulas contractuales tipo.
La normativa de protección de datos en la industria del retail tiene un impacto significativo en las relaciones con el consumidor, el marketing dirigido y el comercio electrónico.
En el sector retail la normativa de protección de datos tiene un gran impacto en las relaciones con el cliente, el marketing dirigido y las actividades de comercio electrónico. Es posible que en algunos casos estas empresas requieran del consentimiento de los interesados para tratar sus datos personales con finalidades distinta a las necesarias conforme a lo definido en el contrato. Asimismo, la transparencia juega también un papel fundamental, pues los interesados tienen que contar con información clara sobre cómo se tratarán sus datos personales y cuáles son sus derechos, incluido el derecho de acceso, de rectificación y de supresión.
El RGPD requiere que las empresas cuenten con las prácticas y procedimientos adecuados para responder y accionar las solicitudes de derechos dentro del plazo establecido. Además, las empresas retail deberán aplicar medidas adicionales en lo que respecta a la transmisión y almacenamiento seguro de los datos personales, en concreto de los pagos online.