Reglamento General de Protección de Datos (RGPD) de la UE

Qué es y cómo afecta el RGPD a la industria iGaming

El proceso ha sido largo pero ya ha llegado a su fin. Después de años de preparación y debate, (fue aprobado el 14 de abril de 2016 por el Parlamento Europeo), el Reglamento General de Protección de Datos (RGPD) para todos los estados miembros de la UE ya ha entrado en vigor.

¿Está preparada tu empresa para afrontar los nuevos retos del Marketing?

RGPD. Nueva situación desde el 25 de Mayo

El Reglamento General de Protección de Datos (RGPD) de la UE reemplaza a la Directiva de Protección de Datos 95/46/ EC en un claro propósito por armonizar las leyes de privacidad de datos en Europa. El objetivo no es otro que la protección y la privacidad de todas las personas de la UE.

Estos cambios afectan especialmente a la industria de servicios B2C online…en la cual incluimos por supuesto la industria de casinos online y sus afiliados. 

¡Problemas para aquellos que la incumplan!
 
El pasado 25 de mayo de 2018 fue la fecha en la que el nuevo régimen jurídico y sus normas de protección de datos son directamente aplicables a todos los Estados miembros del CEE. Todo aquel que las incumpla puede enfrentarse a fuertes multas de 20 millones de euros.

En este artículo vamos a analizar las clave del nuevo RGPD, así como su impacto en el marketing online y la industria iGaming.

Aspectos y conceptos importantes para entender el RGPD

► ¿A qué nos referimos con ‘información personal’?

Def: Cualquier información relacionada con una persona física o 'sujeto de datos', que se puede utilizar para identificar directa o indirectamente a la persona. 

Puede ser cualquier cosa: desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales, información médica o una dirección IP de tu ordenador personal, laptop o dispositivo móviles conectados a Internet con una dirección de email insertada.

► ¿Qué pasa con los sujetos menores de 16 años?

En este caso, se requerirá el consentimiento de los padres para procesar los datos personales de los niños menores de 16 años que puedan o vayan a ser objeto de campañas de marketing online. Los estados miembros de la UE pueden legislar por una edad más baja de consentimiento, pero SIEMPRE deberá ser de un mínimo de 13 años.

► ¿Cuál es la diferencia entre un ‘reglamento’ y una ‘directiva’?

La principal diferencia es que un reglamento es un acto legislativo vinculante. Debe aplicarse en su totalidad en toda la UE, mientras que una directiva es un acto legislativo que establece un objetivo que todos los países de la UE deben alcanzar. Sin embargo, ne este caso, corresponde a cada país decidir cómo.

Es importante señalar que el RGPD es un reglamento, en contraste con la legislación anterior, que era una directiva.

Qué dice la DGOJ al respecto

La Dirección General de Ordenación de Juego española (DGOJ) se ha mostrado optimista al respecto: “Tenemos una visión positiva sobre la ley orgánica que ha sido aprobada por el Congreso. Servirá para situar el sector como una industria puntera en protección y circulación de datos de carácter personal”, aseguraba el Subdirector General de Regulación de la DGOJ, Guillermo Olagüe.

En alusión al lugar que ocupa ahora la DGOJ tras la entrada en vigor del RGPD, ha señalado que: “la DGOJ no es un organismo supervisor, sino un regulador. Y, en este sentido, no podrá sancionar pero sí apercibir y reprobar a las empresas que no la cumplan”.

Cómo afectará el RGPD a la industria del juego online

Como decíamos al comienzo, todas las empresas dedicadas al B2C o compañías 100% online serán especialmente sensibles al nuevo reglamento de la RGPD por tener un elevado volumen de datos. Y este es el caso del sector del juego online y las iGaming.

► ¿Qué pasa ahora con la LOPD?

La nueva RGPD sustituirá a la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y su Reglamento de desarrollo, aprobado por Real Decreto 1720/2007, de 21 de diciembre.

¡El nuevo reglamento al que deberán acogerse es el RGPD!

► ¿El RGPD afecta solo a la UE?

El RGPD no solo se aplica a organizaciones ubicadas dentro de la UE, sino que también se aplica para organizaciones ubicadas fuera de la UE que ofrecen bienes o servicios o bien que manejan datos o los 'monitorean' en relación a cualquier personas que sea de la UE.

Por tanto, se aplica a todas las empresas que procesan y mantienen los datos personales de los residentes en la Unión Europea, independientemente de donde esté situada la head office de la empresa.

► ¿Cuáles son las sanciones por incumplimiento?

Las organizaciones pueden recibir multas de hasta el 4% de la facturación global anual o de 20 millones de € por infringir el RGPD. Esta es la multa máxima que se puede imponer por las infracciones más graves, por ejemplo, no tener suficiente consentimiento del cliente para procesar sus datos.

Hay que decir que existe un enfoque escalonado para multas. Por ejemplo, una empresa puede recibir una multa del 2% de su facturación anual por simplemente ‘no tener sus registros en orden (artículo 28)’.

* Es importante tener en cuenta que estas reglas se aplican tanto a los ‘controladores’ como a los ‘procesadores’, lo que significa que las 'nubes' no estarán exentas de la aplicación del RGPD.

Diferencia entre un ‘procesador’ y un ‘controlador’ de datos

Un controlador es la entidad que determina los propósitos, condiciones y medios del procesamiento de datos personales, mientras que el procesador es una entidad que procesa datos personales en nombre del controlador.

¿Los procesadores de datos necesitan un consentimiento del sujeto al que pertenecen esos datos?

Desde la web oficial de la UE responden a esta pregunta de manera tajante y directa:


“Las condiciones para el consentimiento se han fortalecido, ya que las empresas ya no podrán utilizar largos términos ilegibles y condiciones plenas de jerga legal, ya que la solicitud de consentimiento debe darse en una forma inteligible y de fácil acceso, con el fin de procesar los datos adjuntos a ese consentimiento, lo que significa que debe ser inequívoco.”

En resumen: ¡UN CLARO SÍ!

RGPD: preguntas frecuentes

1. ¿Mi empresa necesita designar a un Oficial de Protección de Datos (OPD)?

El OPD o persona encargada de supervisar en la empresa que en todo momento se cumple con la reglamentación establecida por el RGPD debe ser nombrada en el caso de ser:

  • Autoridades públicas.
  • Organizaciones que participan en el monitoreo sistemático a gran escala.
  • Organizaciones que participan en el procesamiento a gran escala de datos personales.

Si tu organización no se encuentra en una de estas categorías, entonces no necesita designar a un OPD. ¡Esto dice el art.37!

2. ¿Cómo afecta el RGPD a las políticas relacionadas con las violaciones de datos?

Las regulaciones propuestas que rodean las infracciones de datos se relacionan principalmente con las políticas de notificación de las empresas que han sido violadas. Las infracciones de datos que puedan representar un riesgo para las personas deben notificarse a la Autoridad Nacional para el Control de Datos de Carácter Personal (DPA) dentro de las 72 horas y a las personas afectadas sin demora indebida.

3. ¿RGPD establecerá un marco único para la regulación de privacidad de datos?

Las discusiones en torno al principio de ‘marco único’ se encuentran entre las más debatidas y aún no están claras ya que las posiciones son muy variadas. El texto de la Comisión tiene una sentencia bastante simple y concisa a favor del principio, el Parlamento también promueve un DPA principal y agrega una mayor participación de otras DPA interesadas, la opinión del Consejo diluye aún más la capacidad del principal DPA.

La RGPD y los Nuevos derechos de los ciudadanos

La LOPD Ley Orgánica de Protección de Datos establecía 4 derechos para los interesados (conocidos en España como derechos ARCO):

  1. Acceso
  2. Rectificación
  3. Cancelación
  4. Oposición

Pues bien, con el nuevo Reglamento Europeo de Protección de Datos (RGPD), además de los derechos ARCO, se amplían con los siguientes nuevos derechos de los ciudadanos:

  • Art. 12. Derecho a la transparencia de la información
  • Art. 17. Derecho de supresión (derecho al olvido)
  • Art. 18. Derecho de limitación
  • Art. 20. Derecho de portabilidad

Vamos a ver un poco más en detalle dos de estos por su importantes consecuencias prácticas en la industria iGaming y las campañas de marketing digital como el caso emailing.

El Derecho al olvido en el nuevo marco europeo

El derecho al olvido es un concepto relacionado con el Habeas Datas (el derecho de cualquier persona física o jurídica a solicitar y obtener la información existente sobre su persona, y de solicitar su eliminación o corrección si fuera necesaria o estuviera desactualizada).

El derecho al olvido también está relacionado con la protección de datos personales, el derecho al honor, la intimidad y la imagen. En aplicación de este concepto, se hacen solicitudes de supresión, bloqueo o desindexación de información que se considera cierta pero obsoleta o no relevante por el transcurso del tiempo.

* IMP. ¡Ojo porque este concepto puede en ocasiones colisionar con la libertad de expresión e información!


Resumen:

El nuevo RGPD establece que cualquier persona tendrá derecho a que su información personal sea eliminada de los proveedores de servicios de Internet cuando así lo desee, siempre y cuando quien posea esos datos no tenga razones legítimas para denegar esa petición.

Su objetivo es conseguir eliminar de la red y de los buscadores cualquier rastro que haya de los datos de la persona que quiere ser “olvidada” de manera definitiva.


Derecho de portabilidad en el nuevo marco jurídico europeo

El Derecho a la Portabilidad viene recogido en el artículo 20 del Reglamento General de Protección de Datos (RGPD) del siguiente modo: 

“el interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado”.


Es decir…

En el nuevo RGPD se facilita la posibilidad de transmitir los datos de un responsable a otro, de forma que el interesado tenga derecho a que sus datos personales se evíen directamente cuando sea técnicamente posible.

* Ejemplo. Esta situación la vemos a diario cuando una persona se quiere cambiar de operador de telefonía móvil o de compañía eléctrica. En este caso, la portabilidad le permite al usuario final que sus datos personales como particular se transfieran directamente a la nueva compañía escogida, de forma ágil y sencilla.


Además de incorporar estos nuevos derechos, el RGPD también exige que se creen procedimientos visibles, accesibles y con un lenguaje sencillo para facilitar al interesado el ejercicio de sus derechos. Además tendrá que ser posible a través de medios electrónicos (VERSIÓN DIGITAL). 


SrCasino.es