A partir del pasado 25 de mayo de 2018 todas las empresas que ofrezcan servicios de forma online están obligadas a firmar un nuevo pacto con sus clientes: el de la confidencialidad. La Ley Orgánica de Protección de Datos (LOPD) que existía hasta el momento dejará de estar en vigor y entrará la nueva RGPD (Regulación General de Protección de Datos), en la que los protagonistas serán los clientes.
La RGPD o GDPR en inglés (General Data Protection Regulation), se ha creado para que todos los ciudadanos de la Unión Europea estén cubiertos por una misma ley de protección de datos independientemente de la procedencia de la empresa. Esto significa una mayor protección de la intimidad del cliente y de mayor control sobre los datos que ofrece y su uso.
RGPD: más protección para el usuario
Ya sea una empresa situada en la Unión Europea o en Estados Unidos tendrá que cumplir con las mismas obligaciones a la hora de utilizar los datos de sus clientes. Lo cual quiere decir que empresas como Google, Amazon o Apple tendrán que regirse por esta nueva normativa. Antes de este cambio, las empresas de la UE tenían que enfrentarse a casi 28 legislaciones diferentes para poder instalarse de forma digital en los países de la Unión.
La nueva ley GDPR prevé una serie de cambios importantes respecto a su predecesora. Las casillas premarcadas se suprimirán, es decir, que ya no se volverá a ver una casilla de publicidad o de cesión de datos ya marcada sin el consentimiento de la persona.
A partir de la fecha indicada, el 25 de mayo de 2018, las empresas están obligadas a informar del fin que tiene el uso de los datos que recogen. Esto significa que ahora se comenzará a ver más casillas sobre el uso de datos en lugar de una general que lo englobe todo, de esta manera la protección de datos será más detallada y más informativa. El motivo de este cambio es que el usuario conozca e identifique los datos que va a ceder y el uso que hará de ellos la empresa.
La protección de datos se extiende a los hackeos
Uno de los cambios más importantes de la ley RGPD es que a partir de ahora se informará si los datos han sido hackeados. Las brechas en la seguridad de las empresas que trabajan con datos personales son tan importantes como preocupantes. Por ello, con esta nueva legislación, la empresa deberá informar en un plazo de 72 horas si ha sufrido un hackeo, no solo a las autoridades que correspondan, sino también a los usuarios. Así se puede saber en un plazo corto de tiempo si alguno de los datos que se han cedido pueden haber estado comprometidos.
Además, las empresas deberán tener un responsable de datos o Chief Data Officer (CDO) quién se encargará de informar y asesorar a los empleados sobre sus obligaciones bajo la nueva ley y supervisar su cumplimiento. De esta manera se evita que se tapen este tipo de escándalos o que tarden años en saberse.
¿Y si una empresa no cumple con la nueva ley?
La ley GDPR o RGPD establece unos claros límites que, en caso de no ajustarse a ellos, las empresas recibirán unas sanciones importantes. Las organizaciones que no cumplan la ley, o no lo hagan de forma correcta, podrán ser sancionadas con un 4 % de su facturación anual o 20 millones de Euros como multa. Sin embargo, estas multas son escalonadas y dependen de la infracción que la empresa haya cometido. Por ejemplo, la máxima sanción estipulada de 20 millones de Euros se impondrá si no se tiene el consentimiento suficiente de un usuario para procesar sus datos. Otras infracciones como no tener en orden los registros acarrearía una multa del 2 % de la facturación anual.
¿Cómo afecta a los profesionales sanitarios?
Esta nueva legislación afecta a los profesionales de la salud en cuanto al reforzamiento del consentimiento que deben dar para la realización de distintos procedimientos, como investigaciones, por ejemplo.
La nueva ley GDPR considera los datos relativos a la salud entre las categorías especiales. Están sujetos a unas condiciones básicas que son: consentimiento explícito o sin consentimiento en caso de un tratamiento necesario (es decir, para proteger los intereses vitales de la persona afectada o alguien incapaz de consentir en ese momento). Pero también se considera en esta categoría el registro para fines de medicina preventiva, evaluaciones de las capacidades de un trabajador o asistencia.
Además, se especifican una serie de razones de interés público como proteger ante amenazas sanitarias y mantener un elevado nivel de calidad en los medicamentos. Por último, caben destacar los datos para fines de investigación o estadísticos siempre ajustándose a los requisitos formulados y respetando la protección de datos.
Mayor protección de datos también en una clínica
Con esta nueva legislación, los datos proporcionados en un software de una clínica o cualquier centro sanitario se regirán por una mayor protección, seguridad y confidencialidad. Los pacientes o usuarios deberán aceptar una serie de términos más específicos para el tratamiento y protección de datos. Este mayor control de los datos contempla las situaciones descritas previamente como la incapacidad del enfermo para dar su consentimiento, en este caso si es para salvar la vida del paciente, este control será más laxo, permitiendo actuar de forma más rápida.
La nueva ley GDPR o RGPD y los pasos hacia la mayor protección de datos
Esta nueva ley significa un paso hacia delante en la protección de datos digitales y online. Las empresas de la Unión Europea tendrán una sola legislación para todos los países y las empresas extranjeras deberán ajustarse a la GDPR para operar en la UE. Para los usuarios significa más protección de sus datos en una era digital donde la información que proporcionamos a las empresas puede servir para multitud de fines.
En definitiva, ahora los usuarios podrán conocer la finalidad del uso de sus datos y decidir si quieren dar su consentimiento o no. Bien sean datos sanitarios que afecten a la salud o el consentimiento expreso para realizar un procedimiento médico, los pacientes, clientes o usuarios tienen más derechos a la hora de ceder sus datos a terceros.