El RGPD es la principal fuente de normativa sobre protección de datos en la Unión Europea. Desde entonces, se aplican normas uniformes en todos los Estados miembros de la UE en materia de protección y seguridad de datos.
Esto significa más uniformidad y claridad en términos de comercio global, pero también conlleva algunos retos para las empresas. Las empresas tienen más obligaciones que cumplir debido al RGPD y los consumidores más derechos. También se han incrementado las sanciones, lo que hace aún más urgente que las empresas apliquen correctamente la normativa de protección de datos.
Pero, ¿qué implica exactamente el RGPD? ¿Qué obligaciones afectan a su empresa? ¿Cómo aplicarlas correctamente? ¿Y qué derechos tienen los afectados? En este artículo respondemos a las preguntas más importantes sobre el RGPD.
El Reglamento General de Protección de Datos, que entró en vigor en mayo de 2018, afecta a todos los países de la UE. Se aplica a todas las empresas cuyos productos se venden a los consumidores en la UE y cuyos datos personales se almacenan, procesan o transfieren con este fin.
Es bueno saberlo: El RGPD también se aplica a las empresas con sede fuera de la UE o del EEE pero que ofrecen y venden productos en la Unión Europea. El Reglamento de la UE garantiza así la protección integral de los datos personales de los ciudadanos de la UE.
No se distingue entre datos personales en los sectores público, profesional o privado. Por ejemplo, los datos de los empleados de una empresa están sujetos al RGPD, al igual que los datos en el sector B2B cuando los socios comerciales intercambian datos personales. Esto significa que prácticamente todas las empresas que operan en la UE deben cumplir, en principio, las disposiciones del RGPD.
Al mismo tiempo, pretende garantizar un intercambio de datos seguro y responsable.Al mismo tiempo, pretende garantizar un intercambio de datos seguro y responsable. La anterior Directiva de Protección de Datos de la UE no había logrado este objetivo, por lo que el legislador europeo se sintió obligado a promulgar un reglamento.
Digresión: El RGPD es un acto jurídico en forma de reglamento. A diferencia de las directivas, los reglamentos se aplican directamente a todos los Estados miembros de la UE. En el caso de las directivas, sin embargo, los Estados miembros individuales deben aplicarlas en su propia legislación. Sin embargo, en el caso de los reglamentos, los miembros pueden mantener o completar sus propias normas.
Por datos personales se entiende toda información que permita extraer conclusiones sobre una persona física. Esto incluye, en particular
Los datos considerados sensibles por el legislador están sujetos a una protección especial. Entre ellos figuran la religión, la salud, la afiliación sindical, la sexualidad, el origen étnico o las convicciones políticas.
Por tratamiento en este contexto se entiende cualquier tipo de procesamiento de datos, ya sea con ordenadores, escáneres, cámaras digitales o teléfonos inteligentes, así como recopilaciones de datos analógicos como archivos. Sin embargo, esto afecta a la mayoría de las áreas y recopilaciones de datos en empresas y autoridades públicas, por lo que el RGPD es omnipresente.
El tratamiento de datos personales se caracteriza siempre por la responsabilidad hacia las personas físicas. Cualquiera que quiera trabajar con estos datos debe aceptar que ello conlleva ciertas obligaciones a la hora de tratarlos.
En este contexto, las obligaciones pueden ser muy diversas. Explicarlas todas en detalle iría más allá del alcance de este artículo. En nuestro Centro de Conocimientos encontrará artículos e información detallada sobre todas las obligaciones que impone el RGPD a las empresas.
Las empresas deben adoptar medidas técnicas y organizativas para proteger mejor los datos de los afectados. Estas varían en función del sector, las categorías de datos, los factores de riesgo y los tipos de tratamiento.
Se trata de sopesar qué medidas son necesarias y razonables para proteger de la mejor manera posible los datos recogidos. Para ello, es necesario llevar un registro de las actividades de tratamiento y, en su caso, realizar evaluaciones de impacto sobre la protección de datos.
Muchas empresas están obligadas a emplear a un delegado interno de la protección de datos o a nombrar a un delegado externo.
Debe nombrarse un delegado de la protección de datos, independientemente del número de empleados, si la empresa o el encargado del tratamiento procesa datos que requieren una evaluación de impacto de la protección de datos o procesa datos con fines de transferencia (por ejemplo, con fines de investigación).
Por regla general, la base de todas las medidas organizativas, y de un concepto de protección de datos que funcione en general, es el inventario. Para ello, el RGPD prevé un registro de actividades de tratamiento (RAT).
Con dicho registro, las empresas comprueban sus actividades y procesos para ver si se recopilan, almacenan o procesan datos personales. Todos los procesos en los que así ocurre se enumeran y documentan en el RAT
Se debe registrar la siguiente información:
El registro de tratamiento no es un registro público; nadie tiene acceso a la información que contiene. Por último, el registro interno también contiene secretos comerciales y procesos confidenciales que deben protegerse. No obstante, el registro debe mostrarse a la autoridad de control competente cuando ésta lo solicite.
Si una operación de tratamiento plantea un mayor riesgo para los derechos y libertades de los afectados debido a su tecnología, forma o manera, debe llevarse a cabo una evaluación del impacto sobre la protección de datos.
Una evaluación del impacto analiza si un tratamiento extenso es realmente necesario, cuáles son los riesgos para los datos afectados y las personas, y si la finalidad y el riesgo están equilibrados. Sólo podrá llevarse a cabo el tratamiento si la evaluación de riesgos es favorable al mismo.
Si el tratamiento de datos no lo realizan las propias empresas, sino terceros, siempre debe celebrarse con ellos un contrato de tratamiento. Este contrato debe especificar cómo van a tratarse los datos, qué mecanismos de protección se aplican y cómo pueden almacenarse.
Las normas del RGPD deben incluirse y respetarse en este contrato.
En caso de fuga o violación de datos, las empresas deben contar con planes de contingencia con los que los empleados estén familiarizados. De este modo se garantiza que, en caso de emergencia, puedan volver a cumplirse lo antes posible los requisitos del RGPD.
La autoridad de control competente debe ser informada en un plazo de 72 horas en caso de alto riesgo para los afectados.
No sólo se han diversificado las obligaciones de las empresas, sino que los afectados también han adquirido más derechos. Esto se debe principalmente al principio de autodeterminación informativa. Esto significa que cada persona es libre de decidir qué información revela y cuál no.
El RGPD da así a consumidores, clientes, proveedores y empleados más control sobre su propia información personal. Se reducirá así la opacidad de las empresas que utilizan o recopilan estos datos y los procedimientos serán más transparentes. Las empresas que quieran trabajar con información personal también tendrán que cumplirlo.
Entre los derechos más importantes de los afectados por los datos figuran:
El RGPD se aplica en los Estados miembros de la UE y fuera de ella. En los países afectados, el RGPD tiene prioridad. Sin embargo, precedencia no significa necesariamente que las leyes nacionales sean reemplazadas por el RGPD.
Como en muchas normativas, también hay cláusulas en el RGPD que permiten a los estados hacer sus propias normativas o concretar las ya existentes. De este modo, a pesar de la base jurídica uniforme, tienen la posibilidad de regular ámbitos concretos y concretar el RGPD de forma independiente.
También es importante señalar que el RGPD no solo es relevante para las empresas con sede en la UE. La información sobre el ámbito de aplicación del RGPD viene dada por el llamado principio del lugar de mercado: todos los datos personales relacionados con ventas y servicios dentro de la Unión Europea solo pueden ser procesados por la entidad procesadora dentro de las normas del RGPD.
Plataformas como las de Google, Facebook u otros canales de medios sociales también deben cumplir el RGPD si quieren controlar el comportamiento de los ciudadanos de la UE, por ejemplo para utilizar estos datos con fines publicitarios.
En principio, todas las empresas que almacenan, procesan o transfieren datos personales dentro de la UE deben cumplir las normas del RGPD. Esto significa que, básicamente, todas las autoridades públicas y todas las empresas están afectadas por las normas del RGPD.
Sólo las actividades personales o familiares no se ven afectadas por el RGPD (la llamada exención doméstica). Las conversaciones privadas, los contactos por correo electrónico o los chats básicamente no están sujetos a las obligaciones del RGPD. Por otro lado, debe tener cuidado al compartir fotos privadas en plataformas públicas. También en este caso se aplica el RGPD, con la consecuencia de que todos los afectados deben dar su consentimiento a la publicación.
También pueden excluirse las actividades que, en primer lugar, no están cubiertas por la legislación de la UE. Esto se aplica, por ejemplo, a las actividades que tienen lugar en el ámbito de la política exterior y de seguridad común, por ejemplo en el cumplimiento de la ley. También hay normas distintas para las instituciones de la UE.
El RGPD establece muchas medidas y normas para proteger los datos personales de la mejor manera posible. Para las empresas, esto significa mucho trabajo, que se aborda mejor con un sistema como la Plataforma de Protección de Datos de Priverion. El RGPD exige que se cree un registro de procesamiento desde el principio, es decir, que se realice una especie de inventario de los procesos existentes.
Además de los numerosos gastos, el RGPD también ofrece la oportunidad de revisar las estructuras existentes en la empresa y posiblemente incluso hacerlas más eficientes y respetuosas con los datos. Esto no solo reduce el riesgo de una violación de datos y, por tanto, de daños a la imagen de la empresa y multas, sino que también garantiza procesos de trabajo mejores y más sencillos, lo que puede incluso aumentar el volumen de negocio. Por lo tanto, las empresas también deberían ver el RGPD como una oportunidad para reformar y mejorar su negocio.