El GDPR es la principal fuente de normativa sobre protección de datos en la Unión Europea. Desde entonces, en todos los Estados miembros de la UE se aplican normas uniformes en materia de protección y seguridad de datos.

Esto significa más uniformidad y claridad en relación con las líneas comerciales mundiales, pero también plantea algunos retos para las empresas. Las empresas tienen más obligaciones que cumplir debido al RGPD, y los consumidores tienen más derechos. También han aumentado las multas, lo que hace aún más imperativo que las empresas apliquen correctamente la normativa de protección de datos.

Pero, ¿cuál es exactamente el contenido del RGPD? ¿Qué obligaciones afectan a su empresa? ¿Cómo aplicarlas correctamente? ¿Y qué derechos tienen los afectados? En este artículo respondemos a las preguntas más críticas sobre el RGPD.

¿Necesita ayuda o tiene preguntas sobre el tema? Nuestro equipo está formado por expertos en legislación sobre protección de datos, informática y seguridad. Estaremos encantados de ayudarle a aplicar la normativa de protección de datos. Póngase en contacto con nosotros directamente para una consulta inicial sin compromiso.

Resumen de los hechos más importantes

  • Desde el 25 de mayo de 2018, el RGPDse aplica en toda la UE. Esto significa que existen normas uniformes y estrictas para la protección de los datos personales.
  • Las empresas deben abordar los cambios con detalle para evitar multas elevadas. Se pueden imponer multas de hasta 20 millones de euros o el 4% del volumen de negocios anual alcanzado en el ejercicio anterior.
  • El RGPD ha otorgado a los consumidores derechos de gran alcance, por ejemplo el derecho a la información o a la supresión de sus datos. El derecho a la portabilidad de los datos también es nuevo.
  • Sobre todo, se protegen los datos personales, es decir, los que proporcionan información sobre la identidad de las personas físicas. 

¿Qué es el RGPD de la UE?

El Reglamento General de Protección de Datos, que entró en vigor en mayo de 2018, afecta a todos los países de la UE. Se aplica a todas las empresas cuyos productos se venden a consumidores de la UE y cuyos datos personales se almacenan, procesan o transfieren con este fin.

Es bueno saberlo: El RGPD también se aplica a las empresas con sede fuera de la UE o del EEE pero que ofrecen y venden productos en la Unión Europea. El Reglamento de la UE garantiza así la protección integral de los datos personales de los ciudadanos de la UE.

No se distingue si se trata de datos personales del sector público, laboral o privado. Por ejemplo, los datos de los empleados de una empresa también están cubiertos por el RGPD, al igual que los datos en el sector B2B cuando los socios comerciales intercambian datos personales entre sí. Esto significa que casi todas las empresas que operan en la UE deben cumplir en principio las disposiciones del RGPD.

El objetivo del RGPD es proteger a las personas físicas en el tratamiento de datos personales. Al mismo tiempo, debe garantizarse un intercambio de datos seguro y responsable. La Directiva de Protección de Datos de la UE aplicable anteriormente no había logrado este objetivo, por lo que el legislador europeo se sintió obligado a promulgar un reglamento.

Excurso: El RGPD es un acto jurídico en forma de reglamento. A diferencia de las directivas, los reglamentos se aplican directamente a todos los Estados miembros de la UE. En cambio, las directivas deben ser aplicadas por cada Estado miembro en su propia legislación. No obstante, en el caso de los reglamentos, los miembros pueden mantener o complementar sus propias normas.

¿Qué son los datos personales?

Por datos personales se entiende toda información que permita extraer una conclusión sobre una persona física. Esto incluye, en particular

  • Datos generales de la persona física (como nombres, fechas de nacimiento, números de teléfono, direcciones)
  • Números de identificación (como el número de la seguridad social, el número de identificación fiscal o el número del documento de identidad)
  • Datos bancarios
  • Datos en línea (como direcciones IP, ubicaciones, contraseñas)
  • Características físicas (como color de piel, talla de ropa, sexo)
  • Datos sobre la propiedad (como escrituras de propiedades o matrículas de vehículos)
  • Datos de clientes (por ejemplo, pedidos, datos de cuentas)
  • Documentos (por ejemplo, testimonios, escrituras, certificados)

Los datos sensibles desde el punto de vista del legislador gozan de una protección especial. Esto incluye religión, salud, afiliación sindical, sexualidad, origen étnico u opiniones políticas.

Por tratamiento se entiende todo tipo de procesamiento de datos, por ejemplo, con ordenadores, escáneres, cámaras digitales o teléfonos inteligentes, así como recopilaciones de datos analógicos como archivos. Sin embargo, esto afecta a la mayoría de las áreas y recopilaciones de datos en empresas y autoridades públicas, por lo que el GDPR es omnipresente.

Obligaciones del Reglamento General de Protección de Datos de la UE

El tratamiento de datos personales se caracteriza siempre por la responsabilidad hacia las personas físicas. Cualquiera que quiera trabajar con estos datos debe aceptar que el tratamiento de los mismos también va acompañado de ciertas obligaciones.

En este contexto, las obligaciones pueden ser muy diversas. Explicarlas todas en detalle rebasaría el ámbito de este artículo. En nuestro centro de conocimiento, encontrará amplios artículos e información sobre todas las obligaciones que el RGPD impone a las empresas.

Medidas técnicas y organizativas

Las empresas deben adoptar medidas técnicas y organizativas para proteger mejor los datos del afectado. Varían en función del sector, las categorías de datos, el factor de riesgo y los tipos de tratamiento.

El objetivo es sopesar exactamente qué medidas son necesarias y útiles para proteger de la mejor manera posible los datos recogidos. Para ello, es necesario llevar un registro de las actividades de tratamiento y, en caso necesario, realizar evaluaciones de impacto.

Delegado de la protección de datos

Muchas empresas están obligadas a contratar un delegado interno de protección de datos o a nombrar a un delegado externo.

Si la empresa o el encargado del tratamiento tratan datos sujetos a una evaluación de impacto sobre la protección de datos o tratan datos con fines de transferencia (por ejemplo, con fines de investigación), debe nombrarse un delegado de la protección de datos, independientemente del número de empleados.

Registro de las actividades de tratamiento

La base de todas las medidas organizativas, y de un concepto de protección de datos que funcione en general, suele ser el inventario. El RGPD prevé un registro de las actividades de tratamiento para este fin.

Las empresas comprueban sus actividades y procesos con dicho registro para ver si se recogen, almacenan o procesan datos personales. Todos los procesos en los que así ocurre se enumeran y documentan en el ROPA.

Debe registrarse la siguiente información:

  • Descripción del proceso: ¿A qué proceso se refiere (por ejemplo, expediente de personal)?
  • Persona responsable: ¿Quién es el responsable del tratamiento automatizado y quién es la persona de contacto?
  • Finalidad del tratamiento: ¿Por qué se tratan los datos?
  • Categorías de afectados (empleados, clientes) y categorías de datos personales.
  • Categorías de destinatarios si los datos personales se comunican a terceros.
  • Transferencias a terceros países, incluida la designación del país y del destinatario u organización
  • Plazos de supresión: ¿Cuánto tiempo pueden almacenarse los datos?
  • Medidas técnicas y organizativas para la protección de datos

El ROPA no es un registro público; nadie puede acceder a su información. Por último, los registros internos también contienen secretos comerciales y procesos confidenciales que deben protegerse. No obstante, el registro debe mostrarse a la autoridad de control responsable cuando ésta lo solicite.

Evaluaciones de impacto de la protección de datos

Supongamos que una operación de tratamiento presenta un mayor riesgo para los derechos y libertades de los interesados debido a su tecnología, forma o modo. En ese caso una evaluación de impacto debe llevarse a cabo.

Una evaluación de impacto analiza si el tratamiento extensivo es realmente necesario, cuáles son los riesgos para los datos afectados y las personas, y si la finalidad y el riesgo están equilibrados. Sólo podrá llevarse a cabo si dicha evaluación de riesgos es favorable al tratamiento.

Tratamiento por encargo

Si el tratamiento de datos no lo lleva a cabo la propia empresa, sino una parte externa, siempre debe concluirse un contrato de tratamiento con la parte externa. Este contrato debe especificar cómo van a tratarse los datos, qué mecanismos de protección se aplican y cómo pueden almacenarse.

Las normas del RGPD deben incluirse y cumplirse en este contrato.

Planes de emergencia

En caso de fuga o violación de datos, las empresas deben contar con planes de contingencia que los empleados conozcan. Con ello se pretende garantizar que los requisitos del RGPD puedan volver a cumplirse lo antes posible en caso de emergencia.

La autoridad de control competente debe ser informada en un plazo de 72 horas en caso de riesgo elevado para los afectados.

El RGPD garantiza más derechos a los consumidores

No sólo se han diversificado las obligaciones de las empresas, sino que los afectados también han adquirido más derechos. Esto se debe principalmente al principio de autodeterminación informativa. Esto significa que cada persona es libre de decidir qué información revela y cuál no.

El RGPD da así a consumidores, clientes, proveedores y empleados más control sobre su propia información personal. Así se reducirá la opacidad de las empresas que utilizan o recopilan estos datos y se harán más transparentes los procedimientos. Las empresas que quieran trabajar con información personal también tendrán que cumplir esta normativa.

Entre los derechos más importantes de los afectados figuran los siguientes:

  1. Acceso a los datos: Toda persona tiene derecho a acceder a los datos almacenados y a saber qué datos se recogen y cómo se utilizan. Las empresas deben facilitar una copia de esta información de forma gratuita y en formato electrónico si el afectado lo solicita.
  2. Derecho de desistimiento: si el afectado deja de ser cliente o retira su consentimiento, la empresa debe suprimir estos datos sin demora (si no existe obligación legal de conservarlos). Los afectados tienen derecho a solicitar la supresión de los datos.
  3. Portabilidad de los datos: los afectados pueden solicitar que los datos se transfieran de un proveedor de servicios a otro.
  4. Rectificación: Los clientes deben poder corregir en cualquier momento los datos incompletos, obsoletos o incorrectos.
  5. Restricción del uso de datos: Los particulares tienen derecho a restringir el uso de los datos. En este caso, los datos no se seguirán tratando, pero no se suprimirán.
  6. Presentar una objeción: Los afectados pueden prohibir a las empresas que utilicen sus datos para mercadotecnia directa. Los consumidores deben ser informados previamente de este derecho.
  7. Notificación de violación de datos: si se produce un incidente de violación de datos, como una fuga de datos o similar, los afectados tienen derecho a ser informados sobre la fuga de datos si el riesgo es alto.

¿Dónde se aplica el RGPD?

El RGPD se aplica en los Estados miembros de la UE y fuera de ella. En los países afectados, prevalece el RGDP. Sin embargo, la precedencia no significa necesariamente que las leyes nacionales sean sustituidas por el RGPD.

Como en muchas normativas, también hay cláusulas en el RGPD que permiten a los Estados elaborar su propia normativa o especificar la normativa existente. De este modo, a pesar de la base jurídica uniforme, tienen la posibilidad de seguir regulando ámbitos individuales y especificar de forma independiente el RGPD.

También es importante señalar que el RGPD no solo es pertinente para las empresas con sede en la UE. La información sobre el ámbito de aplicación del RGPD viene dada por el denominado principio del lugar de mercado: todos los datos personales relacionados con ventas y servicios dentro de la Unión Europea sólo pueden ser procesados por la entidad procesadora dentro de las normas del RGPD.

Plataformas como Google, Facebook u otros canales de medios sociales también deben cumplir el RGPD si desean supervisar el comportamiento de los ciudadanos de la UE, por ejemplo, para utilizar estos datos con fines publicitarios.

¿A quién afecta el RGPD?

En principio, todas las empresas que almacenan, procesan o transfieren datos personales dentro de la UE deben cumplir las normas del RGPD. Esto significa que básicamente todas las autoridades públicas y todas las empresas se ven afectadas por las normas del RGPD.

Sólo las actividades personales o familiares no se ven afectadas por el RGPD (la llamada exención doméstica). Las conversaciones privadas, los contactos por correo electrónico o los chats básicamente no están sujetos a las obligaciones del RGPD. Por otro lado, debes tener cuidado al compartir fotos privadas en plataformas públicas. También en este caso se aplica el RGPD, con la consecuencia de que todos los afectados deben dar su consentimiento a la publicación.

También pueden excluirse actividades que, en primer lugar, no están cubiertas por la legislación de la UE. Esto se aplica, por ejemplo, a las actividades que tienen lugar en el ámbito de la política exterior y de seguridad común, por ejemplo en el cumplimiento de la ley. También hay normas distintas para las instituciones de la UE.

Conclusión

El RGPD establece muchas medidas y normas para proteger los datos personales de la mejor manera posible. Para las empresas, esto supone mucho trabajo que se gestiona mejor con un sistema como la Plataforma de protección de datos Priverion. El RGPD exige que se cree un registro de las actividades de tratamiento desde el principio, es decir, que se haga primero una especie de inventario de los procesos existentes. 

Además de los muchos esfuerzos que implica, el RGPD también ofrece la oportunidad de revisar las estructuras existentes en la empresa y hacerlas más eficientes y respetuosas con los datos. Esto no solo reduce el riesgo de una violación de datos y, por tanto, de daños a la imagen de la empresa y multas, sino que también garantiza flujos de trabajo mejores y más sencillos que pueden incluso aumentar las ventas. Por lo tanto, las empresas también deben ver el RGPD como una oportunidad para reformar y mejorar su negocio.

¿Tiene preguntas sobre la protección de datos y la certificación? Nuestro personal, con formación jurídica y técnica, le asesorará ampliamente sobre todas las cuestiones relativas a la ley de protección de datos. No dude en contactarnos en cualquier momento.

Artículos relacionados

Solicitar una demostración

+41 44 586 97 90

hello@www.priverion.com