El Reglamento General de Protección de Datos (RGPD) o GDPR, por sus siglas en inglés, es la normativa que establece los requisitos específicos para empresas y organizaciones sobre recogida, almacenamiento y gestión de los datos personales. Se trata de una ley comunitaria con disposiciones que obligan a las empresas y organizaciones a proteger los datos personales y la privacidad de los ciudadanos de la UE en las transacciones que se realizan en los estados miembro.
Muchos lo consideran el estándar de protección de datos más fuerte del mundo, ya que mejora la forma en que las personas pueden acceder a su información y los límites que las organizaciones deben cumplir al tratar los datos personales.
Índice de temas
¿En qué consiste el GDPR? Su propósito.
El Reglamento General de Protección de Datos (RGPD) o GDPR, por sus siglas en inglés, que regula los datos personales que custodian las empresas, sustituyó en España a la anterior LOPD (Ley Orgánica de Protección de Datos) y tiene como principal propósito preservar la privacidad de los datos personales de los ciudadanos comunitarios y evitar el libre flujo de esta información sin consentimiento de esas personas físicas.
Las empresas solo pueden usar los datos recopilados y almacenados por ellos con fines específicos, explícitos y legítimos. No se les permite usarlo de ninguna manera que sea incompatible con el propósito para el que fue recolectado. Además, si planean transferir o compartir los datos con otra empresa, deben asegurarse de contar con el consentimiento de la persona para hacerlo.
Además, establece normas muy estrictas, que rigen lo que sucede si se viola el acceso a datos personales y las consecuencias (penalidades) que las organizaciones pueden sufrir en tal caso.
¿A quién aplica el GDPR?
El RGPD o GDPR se aplica en los casos siguientes:
- La empresa que trata datos personales como parte de las actividades de una de sus sucursales establecidas en la Unión Europea (UE), independientemente del lugar donde sean tratados los datos
- Todas las empresas de más de 250 empleados
- Entidades que tratan los datos de los residentes de la UE aunque la empresa no tenga presencia en la región
- Empresa establecida fuera de la UE y ofrece productos o servicios (de pago o gratuitos) u observa el comportamiento de las personas en la UE.
En el reglamento se ordena el mantenimiento seguro de los datos personales y se requiere que las organizaciones los protejan contra el procesamiento no autorizado o ilegal, daños, destrucción y pérdida accidental. Esto incluye muchas actividades relacionadas con el ransomware y el malware.
También identifica los motivos para recopilar datos personales y especifica que deben ser para un propósito particular y legítimo, y las organizaciones no pueden usarlos más allá de esa intención. La regulación se dirige a poner límites en cuanto a cuántos datos pueden recopilar las organizaciones y las empresas. Se estipula que la recopilación de datos se limita a lo necesario para los fines para los que una organización procesa y utiliza los datos.
Muchas empresas con sede en la Unión Europea utilizan datos personales de sus clientes y por eso deben ser especialmente cuidadosos con el tratamiento de esa información. Entre los ejemplos de ese tipo de empresa se pueden incluir todas aquellas empresas que realizan actividades comerciales donde solicitan datos personales de sus potenciales clientes.
Componentes del GDPR
Datos personales
Los usuarios deben dar su consentimiento a las organizaciones y empresas que deseen recopilar y utilizar sus datos personales. En este caso, los datos personales se refieren a la información sobre una persona física viva, identificada o identificable, a menudo llamada un titular de datos y pueden incluir la siguiente información:
- Nombre y apellidos
- Dirección
- Número de documento de identidad/pasaporte
- Ingresos
- Perfil cultural
- Dirección de protocolo internet (IP)
- Datos en poder de hospitales o médicos (que identifican únicamente a una persona con fines sanitarios).
El tratamiento de los datos personales
Las normas de protección de datos de la UE establecen que los datos deben tratarse de manera justa y lícita para un fin específico y legítimo y solo deben tratarse los necesarios para alcanzar ese objetivo. La empresa debe cerciorarse de que se cumple una de las siguientes condiciones para el tratamiento de los datos personales:
- el interesado ha dado su consentimiento
- los datos personales son necesarios para respetar una obligación contractual con el interesado
- los datos personales son necesarios para cumplir una obligación legal
- los datos personales son necesarios para proteger los intereses vitales del interesado
- los datos personales se tratan para una misión de interés público
- se actúa en interés legítimo de la empresa, siempre que en el tratamiento de los datos del interesado no se vean gravemente afectados los derechos y libertades fundamentales de este; si los derechos de esa persona prevalecen sobre los intereses de la empresa, no se pueden tratar sus datos personales.
¿Cómo afecta el GDPR a las empresas?
El Reglamento afecta muy directamente a las empresas porque exige que se notifique a los ciudadanos la finalidad en el uso de los datos personales. También deben informar con transparencia y responsabilidad sobre el uso y seguimiento de esos datos y contratar a un responsable de la protección de los datos (DPO) si fuera necesario.
El delegado de la protección de datos
La figura del delegado o responsable de la protección de datos (DPO) es el encargado de supervisar y evaluar todas las acciones dirigidas a garantizar la protección de los datos personales y a facilitar el acceso a la información de carácter personal de todos las personas que lo soliciten.
El delegado de protección de datos, que puede ser nombrado por la empresa, es responsable de supervisar cómo se tratan los datos personales y de informar y aconsejar a los empleados que tratan los datos sobre sus obligaciones. Esta figura también debe cooperar con la autoridad de protección de datos y sirve de punto de contacto entre estas autoridades y los ciudadanos.
Una empresa tiene la obligación de nombrar a un delegado de protección de datos cuando supervise periódica o sistemáticamente a los ciudadanos o trate categorías especiales de datos. También cuando el tratamiento de datos sea una actividad empresarial principal o efectúe el tratamiento de datos a gran escala.
Los requisitos del Reglamento de Protección de Datos en la Unión Europea
Tratamiento legal, leal y transparente
A las empresas que tratan datos personales se les pide que lo hagan de una forma legal con un fin legítimo y con responsabilidad.
Consentimiento expreso para la recogida de datos:
Aprobación por parte de los ciudadanos para la recogida de datos y que esta pueda darse de forma libre, informada, específica e inequívoca en un lenguaje claro y sencillo.
Registro de actividades de tratamiento
Las empresas deben mantener registros detallados acerca de las razones que justifican el tratamiento de los datos, categorías de organizaciones que reciben los datos personales, transferencia de datos personales a otro país u organización y descripción de las medidas de seguridad utilizadas en el tratamiento de los datos personales.
Derechos de los ciudadanos
También debe ofrecer la posibilidad de que los ciudadanos puedan solicitar la supresión de sus datos personales en el caso de que estos no sean ya necesarios para cumplir la finalidad del tratamiento. Además, cualquier persona puede solicitar la rectificación de sus datos personales sin retrasos injustificados y tener derecho a acceder a sus datos personales de forma gratuita.
Evaluación de impacto
Es obligatorio realizar una valoración siempre que el tratamiento previsto pueda representar un alto riesgo para los derechos y libertades de las personas.
Las multas del GDPR
Las sanciones por incumplir el GDPR pueden conllevar sanciones por valores de entre 10 y los 20 millones de euros o el 4% del volumen de facturación anual de la empresa. El régimen sancionador se aplica a los responsables y encargados del tratamiento, pero no se aplica al delegado de protección de datos. También se prevé la posibilidad de que la sanción económica sea sustituida por un apercibimiento.
Los datos de terceros en el GDPR, la ley europea de 2018
No toda comunicación o revelación de datos a un tercero implica una cesión de datos a efectos legales. En este sentido, cabe distinguir dos supuestos: la cesión de datos propiamente dicha y el acceso a los datos para la prestación de un servicio. Habrá una cesión de datos si el tercero que recibe los datos puede aplicarlos a sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento.
Para ceder datos de forma lícita su empresa deberá contar con alguna de estas bases jurídicas:
- Que cuente con el consentimiento previo, específico e inequívoco de los titulares de dichos datos.
- Que la cesión sea necesaria para la ejecución o desarrollo de una relación contractual.
- Que constituya una obligación legal para el cedente.
- Que obedezca a intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
- Que sirva para salvaguardar el interés vital del interesado o de otras personas.
Cómo adaptar el GDPR a la realidad de la empresa: Guía completa
De acuerdo con el RGPD o RGPD, toda empresa u organización es responsable del cumplimiento de todos los principios de protección de datos y debe demostrar dicho cumplimiento. El RGPD proporciona un conjunto de herramientas a las empresas u organizaciones para que puedan demostrar su responsabilidad, algunas de las cuales deben aplicarse obligatoriamente.
Clausulas y nuevos contratos
Todas las organizaciones deberán redactar nuevas cláusulas de protección de datos en los que aparecen nuevos derechos: derecho a la portabilidad y derecho al olvido. Será necesario redactar nuevos contratos con los encargados del tratamiento de datos, debido a que con el nuevo reglamento aparecen nuevas obligaciones para ellos
Todas las empresas deberán realizar un análisis de riesgos desde el punto de vista de la protección de datos.
Formación
Los empleados deberán recibir formación específica de concienciación sobre la seguridad de la información que será fundamental para garantizar que el personal conozca las políticas de la empresa, la normativa y los requisitos legales que se aplican a su función diaria.,
Gestión de políticas
Mediante el uso eficiente de un software de gestión de políticas, las organizaciones pueden agilizar los procesos internos, demostrar el cumplimiento de los requisitos legislativos y centrarse eficazmente en las áreas que presentan el mayor riesgo para la seguridad de los datos. A través de esta herramienta las organizaciones ofrecen una solución centralizada y fácil de usar para crear, almacenar y distribuir documentos políticos importantes.
Plan de respuesta a incidentes
El establecimiento de un plan de respuesta ante incidentes también ayudará a formar e informar al personal, mejorar las estructuras organizativas, mejorar la confianza de los clientes y las partes interesadas y reducir cualquier posible impacto financiero tras un incidente grave.
