El Reglamento General de Protección de Datos (RGPD) regula en los estados miembros de la UE la protección de datos de las personas físicas. Entró en vigor el 25 de mayo de 2016, pero se aplicó una moratoria de dos años para la total adaptación, por lo que la fecha efectiva de obligado cumplimiento fue mayo de 2018.
En España, la adaptación de la legislación al RGPD se ha llevado a cabo mediante la modificación de la antigua LOPD, convertida ahora en LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales).
Conceptos
Los datos personales son cualquier información (imagen, video, audio, texto, etc.) concerniente a personas físicas identificadas o identificables. Los datos de las personas jurídicas no se consideran datos personales.
El tratamiento de los datos personales es cualquier tipo de operación automática o manual (consulta, modificación, transmisión, almacenamiento, etc.) realizada con datos personales.
El responsable del tratamiento es la entidad (persona física, jurídica, o ente público) que decide llevar a cabo un tratamiento de datos, y determina los propósitos y medios para realizarlo.
El encargado del tratamiento es la persona, empresa o ente público que procesa los datos personales en nombre del responsable.
El RGPD establece que para realizar cualquier tratamiento de datos personales es necesario acreditar un interés legítimo (por ejemplo, puede haber un interés legítimo en que un empresario conozca el apellido de sus trabajadores, pero no el nombre de sus hijos. Los derechos y libertades fundamentales del interesado prevalecen sobre los de la empresa).
Obligaciones
Consentimiento
Es fundamental obtener el requisito del interesado para tratar sus datos personales. El consentimiento ha de ser inequívoco (manifestado de manera clara) y explícito (una manifestación expresa del interesado, por ejemplo, marcar una casilla).
Deber de información
El nuevo Reglamento Europeo exige que se informe a los interesados, de una manera concisa y comprensible, sobre quién tratará sus datos, el uso que se les dará y si se realizará transferencias de datos a terceros.
Delegado de Protección de Datos
El RGPD obliga a que se designe un responsable del tratamiento (DPO) en los siguientes casos:
- En todas las organizaciones públicas
- En las empresas que utilicen los datos para hacer estudios de perfiles o comportamientos de usuario.
- Empresas que traten datos especialmente protegidos (ideología, etnia, orientación sexual, etc.).
Registro de actividades
Las empresas con más de 250 trabajadores y aquellas que están obligadas a nombrar un DPO, existe la obligación de mantener un registro de operaciones que contenga, entre otra, la siguiente información: qué datos que se recogen, finalidad, medidas de seguridad adoptadas, nivel de seguridad que corresponde, tipo de tratamiento (manual, mixto o automatizado), si se realizan cesiones o transferencias de datos.
Análisis de riesgos
Todos los responsables están obligados a realizar una evaluación de los posibles riesgos que existen en el tratamiento que realizan, con el fin de poder establecer medidas y de seguridad y protocolos de actuación.
Notificación de brechas de seguridad
EL RGPD establece la obligación por parte de los responsables del tratamiento de notificar a las Autoridades de control y a los afectados de las violaciones de seguridad que se produzcan en el tratamiento de datos en un plazo máximo de 72 horas.
Privacidad desde el diseño y por defecto
Los responsables deben adoptar medidas que garanticen que solo se traten los datos necesarios en lo relativo a la cantidad de datos tratados, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.
Derechos de los interesados
El RGPD mantiene los derechos ARCO (acceso, rectificación, cancelación y oposición) y añade otros derechos:
Derecho de Acceso: Los usuarios tienen derecho a conocer los datos personales que son tratados por las empresas.
Derecho de Rectificación: Los usuarios tienen derecho a solicitar la rectificación de aquellos datos que consideren incorrectos y/o inexactos.
Derecho de Cancelación: Los usuarios podrán solicitar la cancelación de sus datos cuando estos no sean necesarios para el mantenimiento de la relación con la empresa.
Derecho de Oposición: Los usuarios podrán oponerse al tratamiento de sus datos cuando los mismos no sean necesarios para el mantenimiento de la relación con la empresa. También es posible una oposición parcial: a recibir comunicaciones comerciales o publicidad, o a la cesión de los datos a terceras empresas.
Derecho al olvido. Prevé el derecho a impedir la difusión de información personal en Internet cuando la publicación no cumple los requisitos de adecuación y pertinencia previstos en la normativa.
Derecho a la portabilidad: regula la posibilidad de que los datos puedan serle entregados al interesado o traspasarlos, si así se solicita, a otra empresa en un formato estructurado, inteligible y automatizado.
El plazo para que el responsable de tratamiento responda a las solicitudes que quieran ejercer cualquier de estos derechos es de un mes (excepcionalmente, se puede ampliar a dos meses).
Infracciones y sanciones
En el RGPD establece un fuerte régimen sancionador que puede alcanzar, en los casos más graves, el 4% del volumen anual de facturación de una compañía o los 20 millones de euros.