LO FUNDAMENTAL DEL RGPD

Índice de contenido

 

¿A quién afecta la nueva normativa?

Derechos reconocidos

Análisis de la situación

El delegado de protección de datos

Responsable y encargado

¿Está obligado a notificar los ficheros a la AEPD?

Información y consentimiento

Comunicación de datos a terceros

El documento de seguridad

La web

 

¿A QUIÉN AFECTA LA NUEVA NORMATIVA?

A toda persona física o jurídica (autónomos y sociedades) que desarrollen una actividad empresarial y traten datos de personas físicas. Lo datos de personas jurídicas (sociedades anónimas, limitadas etc.) no se aplican en esta normativa.

 

DERECHOS RECONOCIDOS

La finalidad principal del RGPD es proteger el derecho fundamental a la protección de datos de carácter personal, pues se considera que la recogida, uso y la comunicación de este tipo de datos pueden suponer un riesgo para este derecho de las personas. Por esta razón la normativa recoge los siguientes derechos:

• El derecho a que se requiera el previo consentimiento inequívoco del afectado para la recogida y el uso de sus datos personales.
• El derecho del titular de los datos a ser informado sobre el destino de estos.
• Derechos de acceso, rectificación, cancelación y oposición.
• Derecho al olvido, limitación en el tratamiento, portabilidad de los datos.

 

ANÁLISIS DE LA SITUACIÓN

 

En la AEPD podemos comprobar en que situación y grado de cumplimiento estamos en cuanto al RGPD:

https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/i ndex–ides–idphp.php

En este enlace tenemos la herramienta Facilita_RGPD  Que no solo nos testea el grado de cumplimiento sino que además nos va a generar todos los documentos relacionados que debemos tener. Es necesario introducir todos los datos que nos va pidiendo el programa.

 

EL DELEGADO DE PROTECCIÓN DE DATOS

Los artículos 37 y 39 del Reglamento europeo regulan la figura del Delegado de Protección de Datos. La obligatoriedad de designación se establece en tres supuestos:

• Si el tratamiento de los datos corre a cargo de una autoridad u organismo público
• Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala
• Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas

RESPONSABLE Y ENCARGADO

Son figuras distintas reguladas en el RGPD:

• Responsable del tratamiento: Es quien decide sobre el contenido, uso y finalidad de los tratamientos de datos personales.
• Encargado del tratamiento: Es quien trata datos de carácter personal por cuenta del responsable del tratamiento.
• Usuarios: son las personas, internas o externas, que tengan acceso a los datos de carácter personal de la empresa.
• Interesados o afectados: son los titulares de los datos que la empresa gestiona (clientes, trabajadores, usuarios registrados en la web…)

¿ESTÁ OBLIGADO A NOTIFICAR LOS FICHEROS A LA AEPD?

Con el RGPD ya no se debe notificar la creación de los ficheros de datos a la AEPD como si era obligatorio.

Lo que si que hay que hacer es identificar estos ficheros y su tratamiento:

Origen de los datos	Categorías de los datos	Ficheros o soportes que los contienen	Comunicaciones de datos	Destrucción de datos
Atención al cliente, compras, Web	Clientes y/o proveedores	Tipos de datos Finalidades Soporte Ubicación	Identificar a las empresas u organismos a los que comunica los datos	Tiempo de conservación y forma de destrucción
Bases de datos de terceros, comerciales, Web	Clientes potenciales	Tipos de datos Finalidades Soporte Ubicación	Identificar a las empresas u organismos a los que comunica los datos	Tiempo de conservación y forma de destrucción
Selección de personal RRHH	Empleados y candidatos	Tipos de datos Finalidades Soporte Ubicación	Identificar a las empresas u organismos a los que comunica los datos	Tiempo de conservación y forma de destrucción
Web	Usuarios web	Tipos de datos Finalidades Soporte Ubicación	Identificar a las empresas u organismos a los que comunica los datos	Tiempo de conservación y forma de destrucción
Cámaras	Imágenes, videos, voz	Tipos de datos Finalidades Soporte Ubicación	Identificar a las empresas u organismos a los que comunica los datos	Tiempo de conservación y forma de destrucción

 

Aunque ya no es necesario comunicar los ficheros de datos a la AEPD para su inscripción, en algunos casos será necesario que se mantenga un registro de las actividades de tratamiento en el que se contenga la información que establece el RGPD:

• Si la empresa tiene más de 250 trabajadores
• Si la empresa realiza un tratamiento de datos que pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos.

INFORMACIÓN Y CONSENTIMIENTO

La obligación de informar corresponde a la empresa si actúa como responsable del tratamiento, tiene varias finalidades:

• Que el afectado pueda prestar su consentimiento (específico, informado e inequívoco) para que se traten sus datos personales.
• Que el afectado pueda ejercer los derechos de acceso, rectificación, limitación al tratamiento, supresión, portabilidad y oposición.

Básicamente se debe informar a los interesados de:

1. De la identidad y la dirección de la empresa
2. De los datos del DPD (si lo hay)
3. De la finalidad del tratamiento de datos
4. De los destinatarios de la información (terceros)
5. De los plazos y criterios de conservación de la información
6. De la existencia de decisiones automatizadas
7. De la previsión de transferencias internacionales de datos
8. Del derecho a presentar reclamación ante la AEPD
9. Del carácter obligatorio u opcional de las respuestas a las preguntas que se planteen.
10. De las consecuencias de la obtención de datos o de la negativa a suministrarlos
11. De la posibilidad de ejercitar los derechos de acceso, rectificación, limitación del tratamiento, supresión, portabilidad y oposición.

 

COMUNICACIÓN DE DATOS A TERCEROS

No toda comunicación o revelación de datos a un tercero implica una cesión de datos a efectos legales. Cabe distinguir dos supuestos:

• La cesión de datos propiamente dicha
• El acceso a datos para la prestación de un servicio.

Habrá una cesión de datos si el tercero que recibe los datos puede aplicarlos a sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento.

EL DOCUMENTO DE SEGURIDAD

El RGPD no exige expresamente que se confeccione un documento de seguridad, aunque es conveniente que se haga.

LA WEB

Si la web incluye alguna de las siguientes situaciones:

• Un campo en el que se solicita la dirección de correo de los usuarios del sito web (para enviarles boletines, catálogos etc.)
• Un formulario de contacto que los usuarios tienen que completar para, por ejemplo, enviar consultas
• Si la web es de compra venta de productos y/o servicios, para lo cual los usuarios tienen que facilitar sus datos personales.

En todos estos casos, se están obteniendo datos personales de los usuarios de la web, por lo que es necesario insertar un aviso legal para dar cumplimiento al deber de información y consentimiento. Es necesario que los usuarios acepten expresamente ese aviso.

 

El Reglamento General de Protección de Datos (RGPD) es una legislación de la Unión Europea que entró en vigor el 25 de mayo de 2018. Su objetivo principal es proteger la privacidad y los derechos de los ciudadanos de la Unión Europea en relación con el tratamiento de sus datos personales:

1. Ámbito de Aplicación:
   • El RGPD se aplica a todas las empresas y organizaciones que procesan datos personales de ciudadanos de la Unión Europea, independientemente de la ubicación de la empresa.
2. Definición de Datos Personales:
   • Se considera «datos personales» cualquier información relacionada con una persona identificada o identificable. Esto incluye nombres, direcciones, direcciones de correo electrónico, números de identificación, datos de localización, y más.
3. Principios Rectores:
   • El RGPD establece principios rectores que deben cumplirse al procesar datos personales, como la transparencia, la limitación de la finalidad, la exactitud, la integridad y la confidencialidad.
4. Consentimiento del Titular de los Datos:
   • El tratamiento de datos personales requiere el consentimiento explícito del titular de los datos. Este consentimiento debe ser informado, específico y otorgado de manera libre y clara.
5. Derechos de los Titulares de Datos:
   • El RGPD otorga a los titulares de datos varios derechos, incluyendo el derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos, y oposición al tratamiento.
6. Responsabilidad y Responsable del Tratamiento:
   • Las empresas son responsables de garantizar el cumplimiento del RGPD. Se deben designar responsables del tratamiento y, en algunos casos, se requiere la realización de evaluaciones de impacto en la protección de datos.
7. Notificación de Violaciones de Datos:
   • En caso de una violación de datos que pueda poner en riesgo los derechos y libertades de los titulares de datos, las empresas están obligadas a notificar a la autoridad de supervisión y, en algunos casos, a los propios titulares de datos.
8. Evaluaciones de Impacto en la Protección de Datos (EIPD):
   • En ciertos casos, las empresas deben llevar a cabo EIPD para evaluar y mitigar los riesgos para la privacidad antes de llevar a cabo ciertos tipos de tratamiento de datos.
9. Transferencia Internacional de Datos:
   • Las transferencias de datos personales fuera de la Unión Europea están sujetas a restricciones, y las empresas deben garantizar un nivel adecuado de protección de datos en el país de destino.
10. Representante de Protección de Datos (DPO):
    • Algunas empresas deben designar un DPO (Data Protection Officer), especialmente aquellas que procesan grandes cantidades de datos personales o datos sensibles.
11. Sanciones por Incumplimiento:
    • El RGPD establece sanciones significativas por incumplimiento, que pueden incluir multas sustanciales dependiendo de la naturaleza de la infracción.
12. Enfoque de «Privacidad por Diseño»:
    • El RGPD promueve la integración de medidas de protección de datos desde el inicio del diseño de productos, servicios y procesos, siguiendo el principio de «privacidad por diseño».