El RGPD establece los requisitos específicos para empresas y organizaciones sobre recogida, almacenamiento y gestión de los datos personales. Se aplican tanto a las organizaciones europeas que tratan datos personales de ciudadanos en la UE como a las organizaciones que tienen su sede fuera de la UE y cuya actividad se dirige a personas que viven en la UE.
¿Cuándo se aplica el Reglamento general de protección de datos (RGPD)?
El RGPD se aplica cuando:
la empresa trata datos personales y tiene su sede en la UE, independientemente de dónde se traten de hecho los datos
la empresa tiene su sede fuera de la UE pero trata datos personales relativos a ofertas de bienes o servicios a ciudadanos en la UE, o supervisa el comportamiento de ciudadanos en la UE.
Las empresas que no tienen sede dentro de la UE y que tratan datos de ciudadanos de la UE deben nombrar un representante en la UE.
¿Cuándo no se aplica el Reglamento general de protección de datos (RGPD)?
El RGPD no se aplica cuando:
el interesado ha fallecido
el interesado es una persona jurídica
el tratamiento de datos es efectuado por una persona que actúa con fines ajenos a sus actividades comerciales, empresariales o profesionales
¿Qué son los datos personales?
Los datos personales son cualquier información relacionada con una persona identificada o identificable, también denominada » el interesado». Ejemplos de datos personales:
nombre y apellidos
dirección
número de documento de identidad/pasaporte
ingresos
perfil cultural
dirección de protocolo internet (IP)
datos en poder de hospitales o médicos (que identifican únicamente a una persona con fines sanitarios).
Categorías especiales de datos
No se pueden tratar datos personales sobre:
origen racial o étnico
orientación sexual
opiniones políticas
convicciones religiosas o filosóficas
afiliación sindical
datos genéticos, biométricos o sanitarios, salvo en casos específicos (por ejemplo, cuando se da un consentimiento explícito o cuando el tratamiento es necesario por razones de interés público esencial, sobre la base del Derecho nacional o de la UE)
condenas e infracciones penales, a menos que lo autorice el Derecho nacional o de la UE.
¿Quién efectúa el tratamiento de los datos personales?
Durante el tratamiento, los datos personales pueden pasar por diferentes empresas u organizaciones. En ese proceso, hay dos figuras principales que gestionan el tratamiento de datos personales:
El responsable del tratamiento de los datos, que decide el fin y la forma en que se tratan los datos.
El encargado del tratamiento de los datos, que conserva y trata los datos en nombre de un responsable del tratamiento.
¿Quién supervisa cómo se tratan los datos personales dentro de una empresa?
El delegado de protección de datos, que puede ser nombrado por la empresa, es responsable de supervisar cómo se tratan los datos personales y de informar y aconsejar a los empleados que tratan los datos sobre sus obligaciones. El delegado de protección de datos coopera también con la autoridad de protección de datos y sirve de punto de contacto entre estas autoridades y los ciudadanos.
¿Cuándo se debe nombrar a un delegado de protección de datos?
Una empresa tiene la obligación de nombrar a un delegado de protección de datos cuando:
supervise periódica o sistemáticamente a los ciudadanos o trate categorías especiales de datos
el tratamiento de datos sea una actividad empresarial principal
efectúe el tratamiento de datos a gran escala.
Por ejemplo, si los datos personales se tratan para orientar la publicidad de los motores de búsqueda en función del comportamiento de las personas, la empresa debe contar con un delegado de protección de datos. Si, no obstante, la empresa solo envía material publicitario a sus clientes una vez al año, no es necesario un delegado de protección de datos. Del mismo modo, si un médico recoge datos sobre la salud de sus pacientes, probablemente no se necesite un delegado de protección de datos. Pero si se tratan los datos personales sobre genética y salud para un hospital, entonces sí es necesario un delegado de protección de datos.
El delegado de protección de datos puede pertenecer a la plantilla de la organización o puede haber sido contratado externamente a través de un contrato de servicios. Un delegado de protección de datos puede ser un particular o formar parte de una organización.
Tratamiento de datos para otra empresa
Un responsable del tratamiento de los datos solo puede recurrir a un encargado del tratamiento que ofrezca garantías suficientes, que deberán incluirse en un contrato escrito entre las partes implicadas. Además, el contrato deberá recoger una serie de cláusulas obligatorias, por ejemplo que el encargado del tratamiento solo podrá tratar datos personales cuando se lo encargue el responsable del tratamiento de los datos.
Transferencia de datos fuera de la UE
Cuando los datos personales se transfieran fuera de la UE, la protección ofrecida por el RGPD acompañará a los datos. Eso significa que si los datos se exportan al extranjero, la empresa debe garantizar que se cumpla una de las siguientes condiciones:
La protección de datos del país no miembro de la UE se considera adecuada.
La empresa toma las medidas necesarias para proporcionar las oportunas salvaguardias, como la inclusión de cláusulas específicas en el contrato celebrado con el importador no europeo de los datos personales.
La empresa se basa en motivos específicos para la transferencia (excepciones), como el consentimiento del interesado.
¿Cuándo está permitido el tratamiento de datos?
Las normas de protección de datos de la UE establecen que los datos deben tratarse de manera justa y lícita para un fin específico y legítimo y solo deben tratarse los necesarios para alcanzar ese objetivo. La empresa debe cerciorarse de que se cumple una de las siguientes condiciones para el tratamiento de los datos personales:
el interesado ha dado su consentimiento
los datos personales son necesarios para respetar una obligación contractual con el interesado
los datos personales son necesarios para cumplir una obligación legal
los datos personales son necesarios para proteger los intereses vitales del interesado
los datos personales se tratan para una misión de interés público
se actúa en interés legítimo de la empresa, siempre que en el tratamiento de los datos del interesado no se vean gravemente afectados los derechos y libertades fundamentales de este; si los derechos de esa persona prevalecen sobre los intereses de la empresa, no se pueden tratar sus datos personales.
Autorizar el tratamiento de datos: consentimiento
El Reglamento general de protección de datos aplica normas estrictas para el tratamiento de datos basadas en el consentimiento. El objetivo de estas normas es garantizar que el interesado comprenda lo que está consintiendo. Eso significa que el consentimiento debe darse de manera libre, específica, informada e inequívoca, mediante una solicitud presentada en un lenguaje claro y sencillo. El consentimiento se expresará mediante un acto afirmativo, como marcar una casilla online o firmar un formulario.
Cuando una persona consienta el tratamiento de sus datos personales, solo se podrán tratar para los fines para los que haya dado su consentimiento. También debe ofrecérsele la posibilidad de retirar su consentimiento.
Proporcionar información transparente
Los interesados deben recibir información clara sobre quién trata sus datos personales y por qué. Deben saber al menos lo siguiente:
la identidad del responsable
por qué se tratan sus datos personales
la base jurídica del tratamiento
quién recibirá los datos (si procede).
En algunos casos, la información proporcionada también debe incluir:
la información de contacto del delegado de protección de datos (en su caso)
los intereses legítimos de la empresa si se acoge a esta base jurídica para efectuar el tratamiento
las medidas aplicadas para la transferencia de los datos a un país no perteneciente a la UE
el periodo de almacenamiento de los datos
los derechos del interesado en materia de protección de datos (por ejemplo, acceso, rectificación, supresión, limitación, oposición, portabilidad, etc.)
el derecho a retirar el consentimiento (cuando el consentimiento sea la base jurídica para el tratamiento)
si la comunicación de datos es un requisito legal o contractual
en caso de decisiones automatizadas, información sobre la lógica aplicada, la importancia y las consecuencias de la decisión.
Toda la información debe presentarse en un lenguaje claro y sencillo.
Normas específicas para menores
Cuando se recogen datos personales de menores que se basan en el consentimiento, por ejemplo para utilizar una red social o para una cuenta de descarga de contenidos, es preciso obtener primero la autorización parental, por ejemplo enviando una notificación al padre, madre o tutor. La edad hasta la cual una persona se considera menor varía según el país de residencia, pero se sitúa entre los 13 y los 16 años de edad.
Derecho de acceso y derecho a la portabilidad de los datos
Los ciudadanos deben tener derecho a acceder a sus datos personales gratuitamente. Cuando se recibe una petición de este tipo es necesario:
indicar si se están tratando los datos personales
informar sobre el tratamiento (finalidad, categorías de datos personales, destinatarios de los datos, etc.)
entregar una copia de los datos personales objeto de tratamiento (en un formato accesible).
Cuando el tratamiento se base en el consentimiento o en un contrato, el interesado también puede pedir que se le devuelvan sus datos personales o se transmitan a otra empresa. Es lo que se conoce como derecho a la portabilidad de los datos. Los datos deben facilitarse en un formato utilizado habitualmente y de lectura automática.
Derecho de rectificación y derecho de oposición
Si una persona considera que sus datos personales son incorrectos, incompletos o inexactos, tiene derecho a rectificarlos o completarlos sin demoras indebidas.
En ese caso, se debe notificar a todos los destinatarios de los datos personales si alguno de los datos compartidos con ellos se ha modificado o suprimido. Si los datos personales compartidos son incorrectos, puede ser necesario también informar a todos los que los hayan consultado (a menos que se considere que supone un esfuerzo desproporcionado).
Una persona también puede oponerse en todo momento al tratamiento de sus datos personales para un uso específico si la empresa los trata sobre la base de un interés legítimo o para una actividad de interés público. La empresa debe dejar de tratar los datos personales a menos que el interés legítimo prevalezca sobre el interés del interesado.
Del mismo modo, una persona puede solicitar que se limite el tratamiento de sus datos personales mientras se determina si el interés legítimo de la empresa prevalece sobre su interés individual. No obstante, en caso de fines comerciales directos, la empresa siempre tiene la obligación de dejar de tratar los datos personales si lo solicita el interesado.
Derecho de supresión (derecho al olvido)
En determinadas circunstancias, una persona puede solicitar al responsable del tratamiento que suprima sus datos personales, por ejemplo si los datos ya no son necesarios para cumplir la finalidad del tratamiento. Sin embargo, la empresa no tiene la obligación de hacerlo si:
el tratamiento es necesario para respetar la libertad de expresión y de información
deben conservarse los datos personales para cumplir una obligación legal
existen otras razones de interés público para almacenar los datos personales, como de salud pública o con fines de investigación científica e histórica
deben conservarse los datos personales para emprender una acción legal.
Decisiones automatizadas y elaboración de perfiles
Los interesados tienen derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado. No obstante, hay algunas excepciones a esta regla, como en los casos en que se haya dado un consentimiento explícito a la decisión automatizada. Salvo cuando una decisión automatizada se base en una ley, la empresa debe:
informar al interesado sobre las decisiones automatizadas
dar al interesado el derecho a que una persona revise la decisión automatizada
dar al interesado la posibilidad de impugnar la decisión automatizada.
Por ejemplo, si un banco automatiza su decisión de conceder o no un préstamo a una persona, esta debe ser informada de la decisión automatizada y tener la posibilidad de impugnar la decisión y solicitar la intervención humana.
Violación de datos: proporcionar la notificación adecuada
Se considera violación de datos la divulgación accidental o ilegal a destinatarios no autorizados de datos que sean responsabilidad de una empresa, así como su indisponibilidad temporal o su modificación.
Si se produce una violación de datos que representa un riesgo para los derechos y las libertades individuales, es preciso notificarlo a la autoridad de protección de datos competente en un plazo de 72 horas a partir del momento en que se conozca la infracción.
En caso de que la violación de datos personales entrañe un alto riesgo para las personas afectadas, la empresa también puede estar obligada a informar a todos los afectados.
Responder a las solicitudes
Si la empresa recibe una solicitud de un particular que desea ejercer sus derechos, debe responder a la solicitud sin demoras indebidas y, en cualquier caso, en el plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse por un periodo de dos meses en caso de solicitudes complejas o múltiples, siempre y cuando se informe de la prórroga al interesado. Las solicitudes se tramitan gratuitamente.
Si la empresa rechaza una solicitud, debe informar al interesado de las razones y de su derecho a presentar una reclamación ante la autoridad de protección de datos.
Evaluación de impacto
Es obligatorio realizar una evaluación de impacto sobre la protección de datos siempre que el tratamiento previsto pueda representar un alto riesgo para los derechos y libertades de las personas, por ejemplo cuando se utilizan nuevas tecnologías.
Existe ese alto riesgo cuando:
se utilicen el tratamiento automatizado y los mecanismos de elaboración de perfiles para evaluar a las personas
se observe a gran escala una zona de acceso público (por ejemplo con circuito cerrado de televisión)
se traten a gran escala categorías especiales de datos (por ejemplo, datos sanitarios) o datos personales relativos a condenas e infracciones penales.
Nota: las autoridades de protección de datos pueden considerar de alto riesgo otras categorías de tratamiento de datos.
Si las medidas indicadas en la evaluación del impacto sobre la protección no eliminan todos los altos riesgos identificados, debe consultarse a la autoridad de protección de datos antes de que se lleve a cabo el tratamiento.
Mantenimiento de registros
La empresa debe demostrar que actúa de conformidad con el Reglamento general de protección de datos y cumple todas las obligaciones aplicables, especialmente a petición o bajo la inspección de la autoridad de protección de datos.
Una manera de hacerlo es mantener registros detallados de aspectos tales como:
nombre y datos de contacto de la empresa que intervenga en el tratamiento de datos
razones para el tratamiento de los datos personales
descripción de las categorías de personas que proporcionan datos personales
categorías de organizaciones que reciben los datos personales
transferencia de datos personales a otro país u organización
periodo de almacenamiento de los datos personales
descripción de las medidas de seguridad utilizadas en el tratamiento de los datos personales.
La empresa debe también conservar, y actualizar periódicamente, las directrices y procedimientos escritos y darlos a conocer a sus empleados.
Si se trata de una pyme o una empresa más pequeña, no es necesario mantener registros de las actividades de tratamiento siempre que:
no se hagan habitualmente
no afecten a los derechos o libertades de los interesados
no traten datos confidenciales o registros de antecedentes penales.
Protección de datos desde el diseño y por defecto
La protección de datos desde el diseño significa que la empresa debe tener en cuenta la protección de datos desde las primeras etapas de la planificación de una nueva forma de tratamiento de los datos personales. Según este principio, un responsable del tratamiento debe adoptar todas las medidas técnicas y organizativas necesarias para aplicar los principios de protección de datos y proteger los derechos de las personas. Estas medidas pueden consistir, por ejemplo, en la seudonimización.
La protección de datos por defecto significa que la empresa debe siempre adoptar por defecto las configuraciones que más defiendan la privacidad. Por ejemplo, si dos configuraciones de privacidad son posibles y una de las configuraciones impide que accedan terceras personas a los datos personales, esta debería utilizarse como configuración por defecto.
Infracción de las normas y sanciones
El incumplimiento del Reglamento general de protección de datos puede dar lugar a multas de hasta 20 millones de euros o del 4% del volumen de negocios mundial de la empresa, en determinadas infracciones. La autoridad de protección de datos puede imponer medidas correctivas adicionales, como obligar a poner término al tratamiento de los datos personales.