the art of being legal


¿Qué es el reglamento general de protección de datos (rgpd) y cómo me afecta?

El Reglamento General de Protección de Datos (RGPD) es una ley de la Unión Europea que regula la forma en que las empresas procesan y utilizan los datos personales que recogen de los consumidores. Es un acto legislativo vinculante, no es una directiva, por lo que no necesitaba ser implementada por cada uno de los estados de la UE. Entró en vigor el 25 de mayo de 2018 y es la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales la que adapta el ordenamiento jurídico español al RGPD.

Abigail Sked-circulo-1Redactado por Abigail Sked

Paralegal 

Saber más

 

¿SE ME APLICA EL RGPD?

El RGPD se aplica claramente a usted si está establecido en el Espacio Económico Europeo (EEE) y procesa datos personales. También se aplica a quienes no están establecidos en el EEE pero que:

  • Ofrezcan bienes o servicios a interesados que residan en la Unión.
  • Controlan el comportamiento de dichos interesados, en la medida en que este tenga lugar en la Unión.
  • Están establecidos en un lugar en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

 

¿QUÉ SE ENTIENDE POR "DATOS PERSONALES"?


Los datos personales son toda información sobre una persona física identificada o identificable (el interesado). Esto incluye tanto los datos que pueden hacer que alguien sea identificado directamente (por medio de esos datos) o indirectamente (por medio de esos datos en combinación con otros datos).

El RGPD protege especialmente a los niños, por lo que debe tenerlo en cuenta si va a tratar datos de menores.

 

¿Cuáles son los principios del RGPD?

El RGPD establece 7 principios, recogidos en el artículo 5 y resumidos a continuación.

Los datos personales serán:

  1. "tratados de manera lícita, leal y transparente en relación con el interesado".
    • Aquí es donde entran en juego las bases jurídicas (explicadas a continuación). Debe asegurarse de elegir la base jurídica correcta antes de iniciar el tratamiento y de tratar a los interesados de forma justa y transparente.
  2. "recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines".
    • Debes limitar los fines para los que utiliza los datos, así que hay que asegurarse de dejar claro a los interesados sobre los posibles usos de sus datos desde el principio.
  3. "adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados"
    • Debe minimizar la cantidad de datos que procesa, recopilando y procesando sólo los necesarios.
  4. "exactos y, si fuera necesario, actualizados".
    • Debe tomar medidas para identificar y corregir los datos incorrectos. Esto está relacionado con algunos de los derechos de los interesados (explicados a continuación).
  5. "mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales".
    • Debe limitar el tiempo de conservación de los datos personales.
  6. "tratados de tal manera que se garantice una seguridad adecuada de los datos personales".
    • Debe utilizar medidas técnicas y organizativas de seguridad adecuadas.

 

Y, por último, "el responsable del tratamiento será responsable del cumplimiento de [los principios antes mencionados] y capaz de demostrarlo".

  • Asegúrese de que esos otros 6 principios se incluyen en la política y la práctica desde el principio y de que puede demostrar que es así.

¿SOY RESPONSABLE DEL TRATAMIENTO, ENCARGADO DEL TRATAMIENTO O DELEGADO DE PROTECCIÓN DE DATOS?

  • El responsable del tratamiento es la persona o entidad que ha decidido tratar datos personales (o ha hecho que otra entidad los trate) y que decide la finalidad y los medios de la operación. Ejerce un juicio sobre el tratamiento de los datos personales.
  • El encargado del tratamiento sigue instrucciones de otra parte (el responsable del tratamiento) en relación con el tratamiento de datos personales. No decide qué datos tratar, por qué tratarlos, de quién recopilarlos, etc.
  • El delegado de protección de datos (DPD) es un cargo necesario únicamente en los casos en que el tratamiento lo lleve a cabo una autoridad o entidad público o cuando las actividades principales del responsable o del encargado del tratamiento consistan bien en un tratamiento que requiera un seguimiento regular y sistemático de los interesados a gran escala o de las actividades principales del responsable, bien en un tratamiento a gran escala de categorías especiales de datos con conformidad al artículo 9 o de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10. El DPD informa y asesora al responsable o al encargado del tratamiento, supervisa el cumplimiento del RGPD, asesora sobre las evaluaciones de impacto y se comunica y coopera con las autoridades de control.

 

¿CUÁLES SON MIS OBLIGACIONES COMO PERSONA QUE TRATA DATOS PERSONALES?

En resumen, está obligado a seguir los principios del RGPD siempre que trate datos personales, pero veamos en detalle algunas obligaciones específicas.

 

DEMOSTRAR EL CUMPLIMIENTO

Lo primero que debe tener en cuenta antes de empezar a tratar datos es que debe cumplir el RGPD por diseño (lo que significa que debe asegurarse de tener en cuenta y aplicar los principios de protección de datos desde el inicio de cada proyecto) y por defecto (lo que significa que la aplicación de esos principios es su posición por defecto). El RGPD debe estar en la base de todo lo que haga en materia de tratamiento.

Sin embargo, no sólo tendrá que cumplir con el RGPD, sino que también tendrá que ser capaz de demostrar ese cumplimiento a un regulador. Esto incluye:

  • Mantener registros de todo el tratamiento realizado (por ejemplo, la finalidad del tratamiento, las categorías de interesados, con quién se comparten los datos, las medidas de seguridad que se aplican, etc.). Los requisitos de estos registros se establecen en el artículo 30 del RGPD.
  • Adoptar políticas y medidas internas que respalden el principio de protección de datos desde el diseño y por defecto.
  • Realizar evaluaciones de impacto relativa a la protección de datos en los casos en que sea probable que los procesos de tratamiento supongan un alto riesgo para los derechos y libertades de las personas físicas, y tomar medidas para minimizar esos riesgos.
  • Nombrar a un delegado de protección de datos si es necesario.

 

ESTABLEcer SUS BASES LEGALES PARA EL TRATAMIENTO DE DATOS

Existen 6 bases legales principales que puede utilizar para legitimar la recogida y el tratamiento de datos personales (detalladas en el artículo 6).

Sin embargo, tenga en cuenta que si está tratando alguna de las categorías especiales de datos, como salud o religión, debe consultar las 10 bases del artículo 9, y si está tratando datos relativos a condenas e infracciones penales, debe consultar el artículo 10.

 

LAS 6 BASES LEGALES PRINCIPALES PARA EL TRATAMIENTO SON:

  • Consentimiento
    • "El interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos"
  • Necesario para un contrato
    • "El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales"
  • Necesario por obligación legal
    • "El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento"
  • Necesario por interés vital
    • "El tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física"
  • Necesario para una misión de interés público o del poder público
    • "El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento"
  • Necesario por intereses legítimos
    • "El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño."

 

PROTEGER LOS DERECHOS DE LOS INTERESADOS

El RGPD refuerza los derechos de los interesados a consultar, controlar, rectificar y suprimir los datos de que disponga sobre ellos, por lo que debe asegurarse de que quede claro cómo pueden ejercer estos derechos y ayudarles a ejercerlos cuando decidan hacerlo. Algunos de estos derechos son absolutos, otros no, y encontrará más información al respecto en el Capítulo III del RGPD.

 

Tenga en cuenta que los interesados tienen derecho a ser informados sobre el tratamiento de sus datos personales que se está realizando o se va a realizar.  Por eso es tan importante redactar y poner a disposición de los interesados una política de privacidad fácilmente accesible y comprensible.  

 

PREPARARSE PARA LAS VIOLACIONES de la seguridad de los datos personales

Debe aplicar "medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo", protegiendo los datos que trata en la mayor medida posible. Por ejemplo, la seudonimización y el cifrado de datos personales, prevención de la pérdida o destrucción de datos, verificación periódica de las medidas de seguridad, etc.

Sin embargo, las violaciones de la seguridad ocurren, por lo que debe saber exactamente qué hará si le ocurre a usted. Tras enterarse de la violación de la seguridad de los datos personales, la violación debe documentarse y el responsable del tratamiento debe notificarla a la autoridad de control competente en un plazo de 72 horas, a menos que "sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas".

Si es probable que la violación suponga un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento también debe comunicarlo al interesado sin dilación indebida.

 

Con el aumento de los derechos y la protección de los interesados han aumentado las sanciones. Las multas máximas por incumplimiento de las obligaciones que impone el RGPD son de 20 millones de euros o el 4% de la facturación anual de la entidad, aplicando la cuantía que resulte más alta, a lo que hay que añadir el posible coste para la reputación.

Es muy importante tomarse en serio la protección de datos y tenerla en cuenta incluso antes de empezar a tratar datos personales. Si usted siente la necesidad de asistencia para crear y llevar a cabo el plan de protección de datos de su empresa, Conesa Legal puede ayudarle. Le asesoramos sobre cómo implantarlo legalmente en España.

Póngase en contacto aquí:

 

Abigail Sked

 

Fecha de publicación: 2 agosto 2023

Última actualización: 26 abril 2024

Protección de Datos
Abigail Sked

Abigail Sked

Buscar

    Entradas Recientes

    Categorías

    Ver todo

    © Conesa Legal, S.L.P.U.