RGPD: Estas obligaciones se aplican a las empresas
El RGPD es la principal fuente de normativa sobre protección de datos en la Unión Europea. Desde entonces, se aplican normas uniformes en todos los Estados miembros de la UE en materia de protección y seguridad de datos.
Esto significa más uniformidad y claridad en términos de comercio global, pero también conlleva algunos retos para las empresas. Las empresas tienen más obligaciones que cumplir debido al RGPD y los consumidores más derechos. También se han incrementado las sanciones, lo que hace aún más urgente que las empresas apliquen correctamente la normativa de protección de datos.
Pero, ¿qué implica exactamente el RGPD? ¿Qué obligaciones afectan a su empresa? ¿Cómo aplicarlas correctamente? ¿Y qué derechos tienen los afectados? En este artículo respondemos a las preguntas más importantes sobre el RGPD.
Los hechos más importantes en resumen
- Desde el 25 de mayo de 2018, el RGPD está en vigor en toda la UE. Esto se asocia con normas uniformes y estrictas para la protección de datos personales.
- Las empresas deben abordar los cambios en detalle para evitar sanciones elevadas. Se pueden imponer sanciones de hasta 20 millones de euros o el 4% del volumen de negocios anual alcanzado en el ejercicio anterior.
- El RGPD ha otorgado a los consumidores derechos de gran alcance, como el derecho a acceder a sus datos o a eliminarlos. También es nuevo el derecho a la portabilidad de los datos.
- Los datos personales, es decir, los que proporcionan información sobre la identidad de las personas físicas, gozan de especial protección.
¿Qué es el RGPD de la UE?
El Reglamento General de Protección de Datos, que entró en vigor en mayo de 2018, afecta a todos los países de la UE. Se aplica a todas las empresas cuyos productos se venden a los consumidores en la UE y cuyos datos personales se almacenan, procesan o transfieren con este fin.
Es bueno saberlo: El RGPD también se aplica a las empresas con sede fuera de la UE o del EEE pero que ofrecen y venden productos en la Unión Europea. El Reglamento de la UE garantiza así la protección integral de los datos personales de los ciudadanos de la UE.
No se distingue entre datos personales en los sectores público, profesional o privado. Por ejemplo, los datos de los empleados de una empresa están sujetos al RGPD, al igual que los datos en el sector B2B cuando los socios comerciales intercambian datos personales. Esto significa que prácticamente todas las empresas que operan en la UE deben cumplir, en principio, las disposiciones del RGPD.
Al mismo tiempo, pretende garantizar un intercambio de datos seguro y responsable.Al mismo tiempo, pretende garantizar un intercambio de datos seguro y responsable. La anterior Directiva de Protección de Datos de la UE no había logrado este objetivo, por lo que el legislador europeo se sintió obligado a promulgar un reglamento.
Digresión: El RGPD es un acto jurídico en forma de reglamento. A diferencia de las directivas, los reglamentos se aplican directamente a todos los Estados miembros de la UE. En el caso de las directivas, sin embargo, los Estados miembros individuales deben aplicarlas en su propia legislación. Sin embargo, en el caso de los reglamentos, los miembros pueden mantener o completar sus propias normas.
¿Qué son los datos personales?
Por datos personales se entiende toda información que permita extraer conclusiones sobre una persona física. Esto incluye, en particular
- Datos generales de la persona física (como nombres, fechas de nacimiento, números de teléfono, direcciones)
- Números de identificación (como números de la seguridad social, números de identificación fiscal, números de documento de identidad)
- Datos bancarios
- Datos en línea (como direcciones IP, ubicaciones, contraseñas)
- Características físicas (como color de piel, talla de ropa, sexo)
- Datos de propiedad (como escrituras de propiedades, matrículas de vehículos)
- Datos de clientes (por ejemplo, pedidos, datos de cuentas)
- Documents (e.g., testimonials, deeds, certificates)
Los datos considerados sensibles por el legislador están sujetos a una protección especial. Entre ellos figuran la religión, la salud, la afiliación sindical, la sexualidad, el origen étnico o las convicciones políticas.
Por tratamiento en este contexto se entiende cualquier tipo de procesamiento de datos, ya sea con ordenadores, escáneres, cámaras digitales o teléfonos inteligentes, así como recopilaciones de datos analógicos como archivos. Sin embargo, esto afecta a la mayoría de las áreas y recopilaciones de datos en empresas y autoridades públicas, por lo que el RGPD es omnipresente.
Obligaciones en virtud del Reglamento General de Protección de Datos de la UE
El tratamiento de datos personales se caracteriza siempre por la responsabilidad hacia las personas físicas. Cualquiera que quiera trabajar con estos datos debe aceptar que ello conlleva ciertas obligaciones a la hora de tratarlos.
En este contexto, las obligaciones pueden ser muy diversas. Explicarlas todas en detalle iría más allá del alcance de este artículo. En nuestro Centro de Conocimientos encontrará artículos e información detallada sobre todas las obligaciones que impone el RGPD a las empresas.
Medidas técnicas y organizativas
Las empresas deben adoptar medidas técnicas y organizativas para proteger mejor los datos de los afectados. Estas varían en función del sector, las categorías de datos, los factores de riesgo y los tipos de tratamiento.
Se trata de sopesar qué medidas son necesarias y razonables para proteger de la mejor manera posible los datos recogidos. Para ello, es necesario llevar un registro de las actividades de tratamiento y, en su caso, realizar evaluaciones de impacto sobre la protección de datos.
Delegado de protección de datos
Muchas empresas están obligadas a emplear a un delegado interno de la protección de datos o a nombrar a un delegado externo.
Debe nombrarse un delegado de la protección de datos, independientemente del número de empleados, si la empresa o el encargado del tratamiento procesa datos que requieren una evaluación de impacto de la protección de datos o procesa datos con fines de transferencia (por ejemplo, con fines de investigación).
Registro de actividades de tratamiento
Por regla general, la base de todas las medidas organizativas, y de un concepto de protección de datos que funcione en general, es el inventario. Para ello, el RGPD prevé un registro de actividades de tratamiento (RAT).
Con dicho registro, las empresas comprueban sus actividades y procesos para ver si se recopilan, almacenan o procesan datos personales. Todos los procesos en los que así ocurre se enumeran y documentan en el RAT
Se debe registrar la siguiente información:
- Descripción del proceso: ¿A qué proceso se refiere (por ejemplo, expediente de personal)?
- Responsable: ¿Quién es el responsable del tratamiento automatizado y quién es la persona de contacto?
- Finalidad del tratamiento: ¿Por qué se tratan los datos?
- Categorías de afectados (empleados, clientes) y categorías de datos personales.
- Categorías de destinatarios, si los datos personales se comunican a terceros.
- Transferencias a terceros países, incluida la designación del país y del destinatario u organización
- Plazos de borrado: ¿cuánto tiempo pueden conservarse los datos?
- Medidas técnicas y organizativas para proteger los datos
El registro de tratamiento no es un registro público; nadie tiene acceso a la información que contiene. Por último, el registro interno también contiene secretos comerciales y procesos confidenciales que deben protegerse. No obstante, el registro debe mostrarse a la autoridad de control competente cuando ésta lo solicite.
Evaluaciones del impacto sobre la protección de datos
Si una operación de tratamiento plantea un mayor riesgo para los derechos y libertades de los afectados debido a su tecnología, forma o manera, debe llevarse a cabo una evaluación del impacto sobre la protección de datos.
Una evaluación del impacto analiza si un tratamiento extenso es realmente necesario, cuáles son los riesgos para los datos afectados y las personas, y si la finalidad y el riesgo están equilibrados. Sólo podrá llevarse a cabo el tratamiento si la evaluación de riesgos es favorable al mismo.
Operaciones de tratamiento por encargo
Si el tratamiento de datos no lo realizan las propias empresas, sino terceros, siempre debe celebrarse con ellos un contrato de tratamiento. Este contrato debe especificar cómo van a tratarse los datos, qué mecanismos de protección se aplican y cómo pueden almacenarse.
Las normas del RGPD deben incluirse y respetarse en este contrato.
Planes de emergencia
En caso de fuga o violación de datos, las empresas deben contar con planes de contingencia con los que los empleados estén familiarizados. De este modo se garantiza que, en caso de emergencia, puedan volver a cumplirse lo antes posible los requisitos del RGPD.
La autoridad de control competente debe ser informada en un plazo de 72 horas en caso de alto riesgo para los afectados.
El RGPD garantiza más derechos a los consumidores
No sólo se han diversificado las obligaciones de las empresas, sino que los afectados también han adquirido más derechos. Esto se debe principalmente al principio de autodeterminación informativa. Esto significa que cada persona es libre de decidir qué información revela y cuál no.
El RGPD da así a consumidores, clientes, proveedores y empleados más control sobre su propia información personal. Se reducirá así la opacidad de las empresas que utilizan o recopilan estos datos y los procedimientos serán más transparentes. Las empresas que quieran trabajar con información personal también tendrán que cumplirlo.
Entre los derechos más importantes de los afectados por los datos figuran:
- Acceso a los datos: Toda persona tiene derecho a acceder a los datos almacenados y a saber qué datos se recogen y cómo se utilizan. Las empresas deben facilitar una copia de esta información de forma gratuita y en formato electrónico si el afectado así lo solicita.
- Derecho de revocación: si el afectado deja de ser cliente o retira su consentimiento, la empresa debe borrar estos datos sin demora (si no existe obligación legal de conservarlos, etc.). Los afectados tienen derecho a ordenar el borrado de los datos.
- Portabilidad de los datos: los afectados pueden solicitar que los datos se transfieran de un proveedor de servicios a otro.
- Rectificación: Los clientes deben poder hacer rectificar los datos en cualquier momento si están incompletos, no están actualizados o son incorrectos.
- Restricción del uso de los datos: los particulares tienen derecho a restringir el uso de los datos. En este caso, los datos no seguirán tratándose, pero tampoco se suprimirán.
- Oposición: Los particulares pueden prohibir a las empresas que utilicen sus datos para marketing directo. Los consumidores deben ser informados previamente de este derecho.
- Notificación de violación de datos: si se produce un incidente de violación de datos, como una fuga de datos o similar, los afectados de alto riesgo tienen derecho a ser informados sobre la fuga de datos.
¿Dónde se aplica el RGPD?
El RGPD se aplica en los Estados miembros de la UE y fuera de ella. En los países afectados, el RGPD tiene prioridad. Sin embargo, precedencia no significa necesariamente que las leyes nacionales sean reemplazadas por el RGPD.
Como en muchas normativas, también hay cláusulas en el RGPD que permiten a los estados hacer sus propias normativas o concretar las ya existentes. De este modo, a pesar de la base jurídica uniforme, tienen la posibilidad de regular ámbitos concretos y concretar el RGPD de forma independiente.
También es importante señalar que el RGPD no solo es relevante para las empresas con sede en la UE. La información sobre el ámbito de aplicación del RGPD viene dada por el llamado principio del lugar de mercado: todos los datos personales relacionados con ventas y servicios dentro de la Unión Europea solo pueden ser procesados por la entidad procesadora dentro de las normas del RGPD.
Plataformas como las de Google, Facebook u otros canales de medios sociales también deben cumplir el RGPD si quieren controlar el comportamiento de los ciudadanos de la UE, por ejemplo para utilizar estos datos con fines publicitarios.
¿A quién afecta el RGPD?
En principio, todas las empresas que almacenan, procesan o transfieren datos personales dentro de la UE deben cumplir las normas del RGPD. Esto significa que, básicamente, todas las autoridades públicas y todas las empresas están afectadas por las normas del RGPD.
Sólo las actividades personales o familiares no se ven afectadas por el RGPD (la llamada exención doméstica). Las conversaciones privadas, los contactos por correo electrónico o los chats básicamente no están sujetos a las obligaciones del RGPD. Por otro lado, debe tener cuidado al compartir fotos privadas en plataformas públicas. También en este caso se aplica el RGPD, con la consecuencia de que todos los afectados deben dar su consentimiento a la publicación.
También pueden excluirse las actividades que, en primer lugar, no están cubiertas por la legislación de la UE. Esto se aplica, por ejemplo, a las actividades que tienen lugar en el ámbito de la política exterior y de seguridad común, por ejemplo en el cumplimiento de la ley. También hay normas distintas para las instituciones de la UE.
Conclusión
El RGPD establece muchas medidas y normas para proteger los datos personales de la mejor manera posible. Para las empresas, esto significa mucho trabajo, que se aborda mejor con un sistema como la Plataforma de Protección de Datos de Priverion. El RGPD exige que se cree un registro de procesamiento desde el principio, es decir, que se realice una especie de inventario de los procesos existentes.
Además de los numerosos gastos, el RGPD también ofrece la oportunidad de revisar las estructuras existentes en la empresa y posiblemente incluso hacerlas más eficientes y respetuosas con los datos. Esto no solo reduce el riesgo de una violación de datos y, por tanto, de daños a la imagen de la empresa y multas, sino que también garantiza procesos de trabajo mejores y más sencillos, lo que puede incluso aumentar el volumen de negocio. Por lo tanto, las empresas también deberían ver el RGPD como una oportunidad para reformar y mejorar su negocio.