RGPD, Reglamento General de Protección de Datos

RGPD son las siglas del nuevo Reglamento General de Protección de Datos (también conocido por sus siglas en inglés: GDPR). Entró en vigor el 25 de mayo de 2016 y el pasado 25 de mayo de 2018 es cuando su aplicación fue definitiva definitivamente.

El RGPD es de obligado cumplimiento para todas las Instituciones Europeas, organizaciones y personas que tratan con datos personales. Pero también se aplica a entidades de países fuera de la UE y que gestionen datos personales de ciudadanos de la Unión.

Está dirigido a Organismos de la Unión Europea y empresas pero también afecta a cualquiera que un tratamiento de datos personales de terceros.

El RGPD no afecta almacenamiento y uso que cada uno hacemos de nuestros contactos personales. Pero si, por ejemplo, tienes un blog en el que has incluido un sistema de comentarios y/o un formulario de contacto desde el cual guardas los datos personales de quienes lo rellenan y envían, entonces sí estás obligado a cumplir con el RGPD. Si, además, utilizas estos datos obtenidos para enviarles comunicaciones por email, boletines o newsletters con mayor razón debes asegurarte de cumplir con este reglamento. En la mayoría de estos casos los datos que vas a tratar son los que la AEPD considera de bajo riesgo.

No será así si solo publicas contenido en el Blog y no guardas datos personales de nadie.

Si necesitas ayuda para adaptarte al RGPD, ya sea en tu blog, sitio web, tienda online, en la gestión de notificaciones o boletines a tus clientes o contactos puedes escribirnos usando el formulario de contacto

Entre las novedades que incluye el RGPD hay una que brilla con luz propia: la cuantía de las multas por el incumplimiento de este reglamento puede llegar a los 20 millones de euros o al 4% del volumen de negocio total anual del ejercicio financiero anterior.

El RGPD afecta a cualquier persona física o jurídica que desarrolle una actividad económica y que procese datos de carácter personal, incluidas entidades como sociedades, instituciones benéficas o clubes. Es indiferente si están reconocidas legalmente o no.

Según la AEPD más del 50% de las empresas españolas no conocen como les afecta el RGPD o ni siquiera han oído hablar de él.

La LOPD y el RGPD

Dado que el RGPD será aplicable a partir del 25 de mayo próximo aunque este reglamento entró en vigor 2 años atrás siguen siendo de aplicación tanto la Directiva 95/46/CE como las normas internas de cada país miembro de la UE, incluida la Ley Orgánica de Protección de Datos en España.

Algunas novedades incluidas en el RGPD

El RGPD incluye conceptos, principios y mecanismos similares a los establecidos por la Directiva 95/46 y por las normas nacionales RGPDque la aplican. Por ello, las organizaciones que en la actualidad cumplen adecuadamente con la LOPD española tienen una buena base de partida para evolucionar hacia una correcta aplicación del nuevo Reglamento.

El Consentimiento

Este es un principio que se refuerza en el RGPD de forma que no podrá realizarse el tratamiento de los datos personales de ningún individuo que no haya expresado su conformidad y permiso a que se guarden y traten sus datos personales.

El consentimiento afecta directamente, entre otros, a la obtención de datos personales en formularios web ya que deberá obtenerse un consentimiento explícito de todas las personas de las que se obtienen y manejan sus datos. Por supuesto esto es solo necesario si no se ha obtenido ya ese consentimiento anteriormente.

Tratamiento de Datos Personales

Se amplia el concepto de lo que hasta ahora se conoce como Datos Personales. Cualquier información relacionada con la identificación del individuo queda incluida dentro de la definición de “datos personales”. Con esto, dentro de la consideración de datos personales podemos contemplar el nombre, la dirección personal o de trabajo, una foto, las direcciones de email, detalles bancarios, publicaciones en redes sociales, información médica, la dirección IP de un ordenador, datos biométricos y genéticos.

Dentro del RGPD se especifica que

Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientaciones sexuales de una persona física.

Con la excepción de cuando el interesado haya dado su consentimiento explícito.

Derechos individuales

Se han fortalecido los derechos de las personas incluyendo los derechos de acceso, rectificación, se incluye el concepto de derecho al olvido así como la portabilidad de datos personales.

Los gestores encargados de los datos deben comunicar de forma clara estos derechos a los individuos de los que obtienen sus datos:

  • Cuánto tiempo se guardará la información
  • Si la información será transferida
  • Información de como acceder a los datos personales y a su rectificación
  • Información sobre el derecho del interesado a que su información sea borrada

Además se han reforzado las condiciones de control para la obtención de datos personales. Las empresas o cualquiera que recabe datos personales ya no podrán utilizar Términos y Condiciones largos e incompresibles, llenos de jerga legal. El consentimiento deberá ser concedido mediante un formulario que incluya las condiciones de una manera fácil de entender y de acceder y en el que se indique la finalidad de los datos. La acción de otorgar el consentimiento debe incluir un texto claro y fácil de distinguir y de entender para cualquier persona. Además, este consentimiento debe ser tan fácil de revocar como de dar. Y, muy importante, el consentimiento no puede ser pre-aceptado, por ejemplo, en un formulario en una web en la que se recogen datos personales se incluirá una casilla para otorgar el consentimiento, con las explicaciones mencionadas anteriormente, y esa casilla NUNCA debe de esta marcada de antemano.

Brechas o fallos de seguridad

En caso de producirse una brecha en el sistema de seguridad donde se almacenan los datos personales obtenidos o, incluso, si se detecta cualquier incidencia que pueda hacer pensar que se ha producido un fallo en su seguridad e integridad, esto debe comunicarse a la Autoridad de Conrol en un plazo máximo de 72 horas para que se puedan tomar las medidas adecuadas.

El Delegado de Protección de Datos

Las empresas deberán designar un Delegado de Protección de Datos cuando:

  1. el tratamiento lo lleve a cabo una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  2. las actividades principales del responsable o del encargado consistan en operaciones de tratamiento que, en razón de su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala, o
  3. las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 (Tratamiento de categorías especiales de datos personales) y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10 (Tratamiento de datos personales relativos a condenas e infracciones penales).

Artículo 37: Designación del Delegado de Protección de Datos

El tratamiento a gran escala de datos de categorías especiales incluye aquellos datos personales como los religiosos, raciales, genéticos, etc. El Delegado de Protección de datos tendrá entre sus funciones la de supervisar el cumplimiento de lo dispuesto en la normativa relativa a la protección de datos.

El Delegado de Protección de Datos puede ser un empleado de la empresa o una persona o entidad externa que debe de tener la formación adecuada, los conocimientos legales y de protección de datos necesarios. No es necesario que sea un jurista o que disponga de la certificación.

Enlaces de interés

 

Comentarios

Escribe una respuesta

XHTML: Puedes usar estas etiquetas: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.