El Reglamento General de Protección de Datos (RGPD), que entra en vigor el 25 de mayo, regula la protección de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de los mismos. Este Reglamento no sólo introduce nuevas normas, sino también elevadas multas en caso de incumplimiento, lo que exige una cuidadosa atención por parte de las organizaciones que manejan datos personales.
El gran reto es garantizar el control de la privacidad de los datos en nuestra sociedad de la información, donde la creciente adopción de Internet, las redes sociales y los modelos de negocio digitales crean una dualidad. Por un lado, las personas se sienten atraídas por los datos de su vida personal y los comparten; por otro, las organizaciones captan cada vez más información sobre sus clientes, normalmente con el objetivo de ofrecer más y mejores servicios, o como forma de monetizar la información.
El RGPD representa un cambio fundamental en la forma en que la UE considera el tratamiento de los datos personales y el acceso a los mismos, en un nuevo enfoque que mantiene la atención en la autorresponsabilidad de las organizaciones. En la UE se cree que las empresas explotan los datos personales en exceso y principalmente en beneficio propio, con un déficit de transparencia sobre la forma y la finalidad del tratamiento.
La nueva normativa es de cierta complejidad, lo que supone un reto para todas las empresas y organizaciones, públicas y privadas, que tendrán que implantar herramientas de control y procedimientos específicos para la gestión y protección de los datos de sus clientes.
En este artículo técnico, le proponemos conocer las principales especificidades que aporta el marco reglamentario del RGPD.
Ámbito de aplicación
El RGPD regula el tratamiento de datos personales, ya sea por medios total o parcialmente automatizados o por medios no automatizados.
Excepciones:
- no sujetos a la legislación de la UE;
- personas físicas en el ejercicio de actividades personales o domésticas;
- autoridades, con fines de prevención, investigación, detección y enjuiciamiento de delitos o de ejecución de sanciones.
Es aplicable en establecimientos de la UE, o incluso de fuera de la UE, que: a) ofrezcan bienes o servicios dentro del espacio europeo, ya sean ciudadanos europeos o nacionales de terceros países; b) controlen el comportamiento de ciudadanos dentro del espacio europeo.
Conceptos clave
- Datos personales
"una información relativa a un interesado personal" "cualquier información relativa a una persona física identificada o identificable a través de dicha información"
- Datos sensibles
"convicciones filosóficas o políticas, afiliación a partidos o sindicatos, fe religiosa, vida privada y origen racial o étnico, datos relativos a la salud y a la vida sexual, datos genéticos".
- Tratamiento de datos
"operación o conjunto de operaciones que se llevan a cabo sobre datos de carácter personal", a saber, "recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción".
- Responsable del tratamiento
- persona física o jurídica
- individualmente o junto con otros
- determina los fines y medios del tratamiento de datos personales
- Subcontratista
- persona física o jurídica
- trata datos personales por cuenta del responsable del tratamiento
- Violación de datos
- accidental o ilegalmente
- cause destrucción, pérdida, alteración, divulgación, acceso no autorizado
Derechos de los titulares (Nuevo)
- Transparencia y lenguaje sencillo (más información, más comunicación, más ejercicio de los derechos)
- Derecho a la información
- Derecho de acceso
- Derecho a corregir, borrar (olvidar) y limitar
- Derecho de oposición
- Derecho a no ser objeto de decisiones automatizadas
- Derecho a la portabilidad
- Comunicación de una violación de datos personales al interesado
Obligaciones del responsable del tratamiento
- Legalidad del tratamiento:
- Consentimiento: se convierte en consentimiento libre, específico, informado y explícito (opt-in), frente a las actuales opciones prevalidadas o el silencio (opt-out).
- Contrato
- medidas técnicas y organizativas adecuadas para garantizar y demostrar que el tratamiento se realiza de conformidad con el RGPD
- Privacidad por diseño:
- medidas técnicas y organizativas adecuadas, como la seudonimización y la anonimización
- garantías necesarias para el cumplimiento del GDPR (legalidad del tratamiento, políticas, procedimientos, códigos de conducta)
- Privacidad por defecto: medidas técnicas y organizativas, como minimización y control de acceso
- Notificación de la infracción a la Autoridad de Control, en un plazo de 72 horas
- Garantías adecuadas del subcontratista
- Empresa con más de 250 empleados: registro obligatorio de las actividades de tratamiento
- Evaluación de impacto sobre la privacidad: obligatoria si hay elaboración de perfiles, datos sensibles o tratamiento a gran escala. Es necesario consultar previamente a la CNPD
- Transferencias internacionales
RPD - Responsable de Protección de Datos
La existencia de un RPD es obligatoria en las siguientes organizaciones:
- Autoridad u organismo público (excepto tribunales y OCP)
- que se dedican al tratamiento de datos a gran escala
- con el tratamiento a gran escala de datos sensibles y/o datos relativos a delitos o condenas
Funciones del RPD:
- Información y sensibilización
- Control del cumplimiento del RGPD
- Asesoramiento y control de la realización de EIP - Evaluación del impacto sobre la privacidad
- Cooperación y punto de contacto con la Autoridad de Supervisión
Multas y autoridad supervisora
- Más independencia para la Autoridad
- Responsabilidad de supervisar la aplicación del RGPD
- Actividad preventiva para el controlador y/o procesador
- Armonización
- Solicitudes de autorización en distintos Estados miembros con decisiones diferentes
- Retraso en la obtención de una respuesta
- Armonización de las normas, en particular las relativas a las transferencias internacionales
- Más cooperación internacional entre las autoridades de los Estados miembros y la Comisión Europea
- Poder de investigación | poder de corrección | poder de conclusión y autorización
- Realización de auditorías
- Advertir, amonestar y ordenar la satisfacción de las solicitudes de ejercicio de derechos por parte de sus titulares
- Emitir dictámenes; autorizar tratamientos; aprobar códigos de conducta
Aplicación de sanciones
El límite máximo para la aplicación de multas fue definido por el GDPR, quedando a discreción de cada Estado miembro definir un tope mínimo. En Portugal, el marco aún no se ha definido, por lo que en este momento la aplicación de cualquier multa es ilegal e inconstitucional.
Límites máximos para la imposición de multas:
- Gravedad inferior: 10 millones de euros, o 2% de facturación anual (de las dos, la cifra más alta)
- Mayor gravedad: 20 millones de euros o 4% de facturación anual (de las dos, la cifra más alta)
Aparte de la aplicación de sanciones por parte de la autoridad competente, una de las principales cuestiones a las que probablemente se enfrenten las organizaciones es el derecho del titular a una indemnización por daños materiales y/o inmateriales.
Cumplir el RGPD, paso a paso
1. Fase de diagnóstico
Lea la normativa. Identifique qué datos existen en la empresa y cómo se procesan. ¿Qué tipos de datos existen? ¿Con qué fin? ¿Cuál es el periodo de conservación? Comprender los flujos de datos existentes. ¿Hay proveedores con acceso a ellos?
2. Fase de revisión
Revisar si existe consentimiento de los interesados para el uso y tratamiento de datos ya existentes. Verifique los documentos de consentimiento. Revise las políticas de privacidad y las condiciones de uso, así como los contratos con proveedores y otros subcontratistas. Adaptar toda la documentación al GDPR.
3. Fase RPD
Comprender si la empresa cumple los requisitos para tener que nombrar a un responsable de la protección de datos (RPD). Nombra a un RPD si es necesario e involúcralo en el proceso de preparación.
4. Fase de aplicación
Determinar las medidas que deben adoptarse. Evaluar si es necesario sustituir los sistemas informáticos. Adquirir los sistemas necesarios. Diseñar un plan de ejecución. Aplique las nuevas medidas y evalúe si todo es conforme.
5. Fase de cumplimiento
Formación de los empleados. Garantizar el cumplimiento continuo del RGPD. A partir del 25 de mayo, todo sigue igual.
Otras noticias
Concierte una reunión cara a cara.
Llámenos hoy mismo al(+351) 226001265
Le responderemos rápidamente.