Yulia Landbo
En la presente guía profundizaremos en los aspectos específicos de esta ley de protección de datos, explicando qué es el RGPD, sus principios fundacionales, su fecha de entrada en vigor, sus conceptos principales y los roles implicados. Además, ofreceremos información muy valiosa: una guía paso a paso sobre cómo las empresas pueden garantizar el cumplimiento de esta ley.
Empecemos aclarando este acrónimo y explorando algunos detalles del concepto.
El Reglamento general de protección de datos (RGPD) es una normativa de privacidad y seguridad de la legislación de la Unión Europea que establece las directrices para la recogida, el tratamiento, el almacenamiento y la transferencia de datos personales de las personas que viven en el Espacio Económico Europeo.
Este reglamento europeo de protección de datos se considera uno de las más estrictas del mundo. Aunque esta ley de protección de datos europea se aplica en la Unión Europea, también obliga a las empresas de todo el mundo a cumplirla. La aplicación del RGPD se pone en marcha en el momento en que una empresa comienza a interactuar con los datos personales de usuarios de la UE de una manera que incumple cualquiera de sus numerosas cláusulas.
La complejidad y amplitud de este documento de cien páginas, combinadas con las severas sanciones, hacen que el cumplimiento del Reglamento General de Protección de Datos sea un reto importante. Incluso con la ayuda de herramientas de software especializadas, este Reglamento ha demostrado ser una fuente de ingresos considerable para la UE, con una contribución de al menos 4.000 millones de dólares procedentes de 1.653 incidentes sancionadores.
Según el art. 83, infringir los principios fundamentales de protección de datos personales estipulados en el RGPD puede acarrear graves sanciones de hasta 20 millones de dólares, o hasta el 4% de los ingresos anuales globales de la empresa. Esta última opción puede ser sustancialmente superior en algunos casos, como demuestran las multas impuestas a Meta y Amazon.
Las infracciones relacionadas con las actividades de control, tratamiento, certificación y supervisión pueden dar lugar a multas de hasta 10 millones de dólares o hasta el 2 % de los ingresos anuales de la empresa.
Tanto el art. 2 como el art. 3 definen el ámbito material y territorial de aplicación del RGPD.
El RGPD afecta a todas las empresas o cualquier otra entidad que trate datos personales (hablaremos un poco de este concepto más adelante) de ciudadanos o residentes en la Unión Europea o el Espacio Económico Europeo, ofreciéndoles productos o servicios. No importa dónde esté ubicada su empresa, a qué jurisdicción pertenezca o si estos productos o servicios son de pago.
Existen algunos supuestos en los que el RGPD no es aplicable:
a cualquier actividad de tratamiento de datos realizada por particulares con fines personales o domésticos;
al tratamiento de datos con fines policiales y cubiertos por la Directiva sobre aplicación de la ley (LED) Directiva sobre protección de datos en el ámbito penal;
a las actividades de tratamiento de datos relacionadas con fines de seguridad nacional; y
al tratamiento de datos personales de no residentes en la UE por parte de organizaciones no pertenecientes a la UE.
Una parte fundamental de la ley del RGPD que ya hemos mencionado anteriormente son los datos personales. A continuación definiremos este concepto y repasaremos los principales tipos de datos personales según el Reglamento General de Protección de Datos. Puede encontrar esta y otras definiciones esenciales en el art. 4.
Según el RGPD, los datos personales son cualquier información relativa a una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador.
En otras palabras, los datos personales son cualquier información que pueda atribuirse a una persona identificable, incluida la dirección, el nombre, la dirección de correo electrónico, el número de teléfono, el número de identificación fiscal, fotos, etc. Como puede observar, los datos personales pueden abarcar una gran variedad de tipos de información. En el siguiente bloque, repasaremos las categorías en las que se dividen.
En general, todos los datos personales contemplados en el RGPD pueden dividirse en dos categorías: datos ordinarios y datos especiales (o sensibles).
Se considera que un dato personal es ordinario cuando puede atribuirse, directa o indirectamente, a una persona física identificable o ya identificada. Esta categoría de datos personales incluye:
nombres y apellidos;
cualquier número de identificación como números de identificación fiscal, carnés de conducir, etc;
datos sobre una ubicación, como coordenadas GPS, dirección postal o dirección IP;
información de contacto, incluidos números de teléfono, direcciones de correo electrónico o perfiles de servicios de mensajería;
identificadores en línea como credenciales, nombres de usuario, etc; e
información sobre el aspecto físico, como fotos o descripciones de texto.
Existen varios tipos de datos personales más sensibles que requieren una mayor protección. La regla general es tratar los datos solamente cuando se den condiciones especiales, como el consentimiento especial del interesado o la petición por parte de una autoridad legal. A continuación se indican las principales categorías de datos sensibles:
información sobre el origen racial o étnico;
creencias o afiliaciones políticas personales;
creencias religiosas y filosóficas;
afiliación a sindicatos;
datos genéticos y biométricos;
cualquier historial médico;
datos sobre actividad y orientación sexual.
La información sobre condenas e infracciones penales también se considera datos personales con arreglo al Reglamento General de Protección de Datos. Esta información únicamente puede ser tratada por responsables públicos del tratamiento de datos en caso de que sea estrictamente necesario para tareas públicas o regulatorias. Los únicos supuestos que justifican la divulgación de estos datos son el consentimiento explícito del interesado y la salvaguardia de intereses privados o públicos que prevalezcan sobre el secreto y la intimidad.
Hemos mencionado una entidad denominada "interesado" que no hemos explicado. Ahora es el momento de revisar este y otros roles principales dentro del RGPD con el fin de entenderlos y mantener el cumplimiento del RGPD.
Como ya habrá adivinado, el interesado es simplemente una persona física identificable o ya identificada cuyos datos personales se recogen y tratan. Por persona física se entiende aquí un individuo vivo, no una persona jurídica (que es una empresa o cualquier otra organización).
El interesado, que desempeña un papel central en el RGPD, cuenta con algunos derechos específicos. Estos derechos deben ser respetados por las organizaciones que recopilan, almacenan o procesan sus datos personales.
Derecho de acceso. En el momento en que se procesa cualquier dato personal, su titular tiene derecho a ser informado del tratamiento, su lugar y finalidad, así como a recibir gratuitamente una copia de todos los datos tratados.
Derecho de rectificación. Este derecho implica que los interesados tienen la capacidad de solicitar la corrección o la cumplimentación de sus datos personales en caso de que sean incorrectos o estén incompletos.
Derecho de supresión. Los interesados tienen derecho a solicitar la supresión de sus datos personales en casos concretos.
Derecho de limitación del tratamiento. Del mismo modo, los interesados también tienen derecho a restringir el tratamiento de sus datos personales en algunos casos.
Derecho a la portabilidad de los datos. Los interesados siempre podrán solicitar sus datos personales en un formato legible por ordenador, así como trasladar los datos a otro proveedor.
Derecho de oposición. El tratamiento de datos personales con fines exclusivamente comerciales requiere inicialmente el consentimiento especial del interesado. Y viceversa, los interesados tienen derecho a negarse al tratamiento de sus datos personales con fines comerciales, en cualquier momento.
Derecho a no ser objeto de decisiones individuales automatizadas, incluyendo la elaboración de perfiles. Los interesados pueden oponerse a que otros tomen decisiones relacionadas con ellos, basadas en el tratamiento automatizado de datos personales, incluida la elaboración de perfiles. Sin embargo, este derecho solo es válido cuando tales decisiones les afecten significativamente o produzcan efectos jurídicos.
El siguiente actor fundamental es el responsable del tratamiento: una persona física o jurídica, incluidas las autoridades y organismos públicos, que determina los fines y medios del tratamiento de datos personales.
La principal responsabilidad de este puesto es la adopción de medidas eficaces para garantizar que el tratamiento se ajusta al RGPD y demostrárselo a los interesados. Las medidas seleccionadas deben basarse en diferentes parámetros de tratamiento, incluidos su alcance, naturaleza, objetivos, antecedentes y riesgos.
Los responsables pueden unir sus esfuerzos, lo que se denomina corresponsables del tratamiento. Estos responsables deben distribuir sus responsabilidades de forma transparente, estableciendo un acuerdo especial a tal efecto.
Los responsables del tratamiento de datos recurren a menudo al arsenal de terceros interesados en lo que respecta al tratamiento de datos personales. En el Reglamento General de Protección de Datos, estos sujetos se denominan encargados del tratamiento.
El principal criterio de selección es que los encargados del tratamiento de datos estén en condiciones de establecer todo lo necesario para cumplir íntegramente los requisitos previstos en los reglamentos. Y la obligación del encargado del tratamiento es garantizarlo. Otro requisito importante es que el encargado no puede contratar a ningún otro encargado sin la autorización escrita del responsable del tratamiento. Si la autorización es general, el encargado también debe notificar al responsable del tratamiento cualquier cambio previsto respecto a la incorporación o sustitución de encargados del tratamiento.
Con frecuencia, el tratamiento de datos personales precisa de la figura adicional del delegado de protección de datos (DPD). Esta persona debe ser designada por el responsable o el encargado del tratamiento de los datos para ayudar a garantizar el cumplimiento del RGPD. Las situaciones en las que se requiere un DPD son tres:
Cuando las autoridades públicas (excepto los tribunales) desempeñan el papel de responsable, encargado del tratamiento o ambos.
Cuando el tratamiento guarde relación con el seguimiento a gran escala de interesados dentro de categorías especiales o de información delictiva.
Cuando las actividades principales requieran un seguimiento habitual de los interesados a gran escala.
Hay algunos matices significativos en el uso del DPD que regula el RGPD. En primer lugar, varios responsables y encargados del tratamiento pueden designar un único DPD en caso de que el especialista pueda acceder a sus datos de forma remota. En segundo lugar, el delegado debe ser designado en función de sus competencias profesionales. En tercer lugar, puede ser tanto un empleado interno como un proveedor de servicios externo.
Para más información sobre los delegados de protección de datos, consulte el art. 37.
Como decíamos antes, el Reglamento General de Protección de Datos es complejo y exhaustivo, e incluye varios términos jurídicos que vamos a intentar desgranar aquí. Una vez definidas las funciones principales, continuemos con otros conceptos no menos importantes.
En virtud del RGPD, por tratamiento de datos se entiende una operación o conjunto de operaciones específicas efectuadas en relación con datos personales. El RGPD enumera una serie de operaciones, entre las que se incluyen las siguientes:
recopilación de datos;
registro de datos;
organización de datos;
estructuración de datos;
almacenamiento de datos;
adaptación o alteración de datos;
recuperación de datos;
consulta de datos;
uso de datos;
divulgación de datos por medio de su transmisión, difusión o cualquier otra forma que permita el acceso a los mismos;
alineación o combinación de datos;
restricción, supresión o destrucción de datos.
En pocas palabras, la protección de datos se define como un conjunto de medidas para mantener los datos a salvo de cualquier acceso no autorizado. La idea es seguir los siete principios fundamentales de protección de datos y responsabilidad que se describen en el siguiente bloque.
Los principios de la protección de datos mencionados anteriormente y expuestos en el art. 5 son parte esencial de la filosofía en la que se basa el reglamento, y los encargados del tratamiento de datos personales deben cumplirlos estrictamente.
Legalidad, equidad y transparencia. Los datos personales deben tratarse de forma lícita, justa y transparente en relación con el sujeto de los datos.
Limitación de la finalidad. Los datos personales solo deben recopilarse con fines previamente especificados, explícitos y legítimos.
Minimización de datos. Los datos a los que se refiere, además de ser pertinentes y adecuados, no deben exceder la cantidad necesaria.
Exactitud. Es necesario asegurarse de que los datos personales son correctos y están actualizados, procediendo de inmediato a rectificar todos los datos obsoletos o a suprimirlos si no es posible rectificarlos.
Limitación de almacenamiento. La información personal recopilada no debe almacenarse más tiempo del necesario para su finalidad general.
Integridad y confidencialidad. Los datos recogidos no podrán ser identificados, sustraídos, extraviados, destruidos, dañados o tratados ilícitamente por terceros.
Responsabilidad. El responsable del tratamiento de datos debe poder demostrar que respeta todos los principios anteriormente enunciados.
La identificación de una persona física también es posible mediante el análisis de algunos rasgos de comportamiento, físicos o fisiológicos de esta persona. Puede tratarse, por ejemplo, de huellas dactilares, imágenes faciales o escáneres del iris. En el marco del Reglamento General de Protección de Datos, estos rasgos reciben el nombre de datos biométricos.
Como sucede con los demás tipos de datos personales sensibles, la información biométrica también precisa medidas de protección adicionales. En general, esto supone la prohibición de tratar los datos biométricos con el único fin de identificar al sujeto de los datos. No obstante, existe una serie de excepciones, desde el consentimiento explícito del interesado hasta el interés público justificado. Encontrará una lista completa en el art. 9.
El RGPD considera transferencias internacionales de datos todas aquellas transferencias de datos personales hacia o desde un país que no pertenece al Espacio Económico Europeo (EEE).
El requisito general para todas las transferencias internacionales es que solo pueden efectuarse si se cumple plenamente el RGPD. Esto significa que el nivel de protección debe mantenerse en el nivel exigido y que deben satisfacerse algunas condiciones:
los representantes de la UE deben decidir que el tercer país, territorio u organización internacional garantiza un nivel adecuado de protección de datos;
a falta de esta decisión, el responsable o el encargado del tratamiento podrá tratar los datos mediante transferencias internacionales tras establecer algunas medidas de protección y garantizar la existencia de recursos jurídicos efectivos y derechos exigibles a los interesados; y
en ausencia tanto de una decisión sobre la adecuación como de medidas de protección, los casos de uso de la transferencia internacional se limitan al consentimiento explícito del sujeto de los datos, al cumplimiento de un contrato, a razones de interés público, al establecimiento de reclamaciones legales, a la protección de intereses vitales o a la disponibilidad de un registro público.
El RGPD insta a las organizaciones que trabajan con datos personales a adoptar medidas adecuadas para protegerlos desde las primeras fases del ciclo de vida de desarrollo del producto o servicio.
En otras palabras, estas medidas de privacidad deben incorporarse a sus especificaciones de diseño, procesos operativos y entorno de trabajo. Estas medidas de privacidad deben proteger de forma eficaz los datos personales de los usuarios mediante la limitación de su recopilación, accesibilidad y tiempo de conservación, así como garantizar la exactitud de los datos.
Las sanciones por incumplimiento del RGPD son cuantiosas, por lo que resulta crucial analizar, detectar y mitigar los riesgos en materia de protección de datos. El proceso sistemático de gestión de riesgos de incumplimiento del RGPD se denomina evaluación del impacto en la protección de datos (EIPD).
El art. 35 describe los tres casos en los que es necesaria una EIPD:
en caso de un proceso automatizado y constante de evaluación de aspectos personales de personas físicas, cuyo resultado afecte a la persona física ya sea legalmente o de forma similar de una forma significativa;
dentro del tratamiento de categorías especiales de datos personales en masa; y
al realizar un control sistemático de datos accesibles al público a gran escala.
Conviene llevar a cabo el EIPD incluso antes de empezar a procesar los datos y, a continuación, revisarlo y actualizarlo periódicamente.
Uno de los principales deberes de los responsables del tratamiento de datos es mantener un registro de sus actividades de tratamiento. Todos y cada uno de los registros deben contener los siguientes datos:
nombre e información de contacto del responsable del tratamiento;
finalidad del tratamiento;
descripción de los datos personales y de las categorías de sujetos de los datos;
descripción de las categorías de los destinatarios de los datos;
transferencias a terceros países/organizaciones internacionales, con las salvaguardas correspondientes (cuando sea posible); y
plazos de almacenamiento de las distintas categorías de datos personales (cuando sea posible).
Encontrará una lista completa de los requisitos para el mantenimiento de registros en el art. 30.
Ahora es su turno para elaborar su propia lista de comprobación del cumplimiento del RGPD en su organización. Puede utilizar esta como referencia y modificarla en función de sus necesidades.
Nombre a un delegado de protección de datos (DPD)
Asegúrese de que todas las personas interesadas de su empresa conozcan la importancia y los requisitos del RGPD
Realice una auditoría de todos sus datos e identifique cuáles están amparados por el RGPD
Revise sus políticas de privacidad y adáptelas al RGPD
Establezca los procesos para atender los derechos de las personas y las solicitudes de sujetos de los datos
Identifique la base jurídica, documéntela y añádala a su política
Analice cómo solicita, obtiene y registra el consentimiento
Revise cómo trata los datos de los menores de edad
Establezca la protección de datos desde el diseño y protocolos de evaluación del impacto sobre la privacidad
Elabore o actualice sus protocolos para detectar, notificar e investigar las vulneraciones de datos
___________________________________________________________________________
Este artículo ha sido elaborado únicamente con fines informativos y no pretende ser un asesoramiento jurídico. Para obtener asesoramiento jurídico, contacte con su asesor de confianza. Como alternativa, Whistleblower Software puede ponerle en contacto con un experto jurídico local.
5/5 estrellas en G2
