Puntos clave del Reglamento General de Protección de Datos

El GDPR (Reglamento General de Protección de Datos), o RGPD en su acrónimo español, es una directiva europea aprobada en abril del 2016 y que será válida en todos los países europeos a partir del 25 de mayo del 2018.

En esta serie de posts sobre este reglamento intentaremos explicar de forma clara y entendible en qué consiste este reglamento.

Antes de todo, es importante distinguir entre Reglamento y Directiva europea. Una directiva es una disposición normativa para la consecución de resultados y objetivos que cada estado miembro podrá alcanzar implementando sus leyes nacionales.

Un reglamento, en cambio, es aplicado de forma directa a todos los estados miembros sin que sea necesaria una legislación nacional.

Ámbito de la ley

El GDPR se ocupa de las tipologías y formas de tratamiento que pueden llevar a cabo las empresas de los datos personales de los ciudadanos que residen en la UE.

El artículo 4 define qué es un dato personal:

“Toda información relativa a una persona física identificada o identificable («interesado»); una persona física identificable es aquel que puede ser identificado, directamente o indirectamente, en particular por referencia a un Identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o más factores específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona natural”.

Sanciones

Las sanciones de la ley son relevantes. El objetivo de tales sanciones es que las empresas no subestimen este reglamento y que actúen para cumplirlo.

  • En las faltas más graves, la sanción prevista es del 4% del facturado global o 20M€ (de los dos, el importe más grave).
  • En las demás faltas, la sanción prevista es del 2% del facturado global o 10M€ (de los dos, el importe más grave).

Compensación de los sujetos de datos

Será más fácil para las personas presentar reclamaciones contra las empresas. En particular:

  • Toda persona que haya sufrido un «perjuicio material o no material» como consecuencia de un incumplimiento del GDPR tendrá derecho a percibir una indemnización (artículo 82, apartado 1). La inclusión de daño "no material" significa que los individuos podrán reclamar compensación por angustia y sentimientos heridos incluso cuando no puedan demostrar pérdidas financieras.
  • Según el artículo 80 será posible crear class action por parte de asociaciones de consumidores. Demandando daños y prejuicios a las empresas. También los grupos de empleados podrán denunciar las empresas.

Pilares de GDPR

El GDPR está basado fundamentalmente en el consentimiento del procesamiento de datos: cada sujeto de datos tendrá que autorizar de forma explícita el propósito de procesamiento de datos. A la hora de ceder sus datos, el interesado tendrá que autorizar explícitamente en un formulario el consentimiento al uso de sus datos. A diferencia de las autorizaciones actuales, no valdrá tener una sola autorización de datos por parte de los sujetos para todos los tratamientos, sino que se tendrá que dar un consentimiento para cada propósito. Además, el consentimiento tendrá que ser realizado de forma explícita. No valdrá tener la autorización del consentimiento premarcada.

Entre los puntos más importantes destacan los siguientes:

Derecho de ser informado, transparencia (Art13): Las empresas tendrán que proporcionar un canal donde cada sujeto de datos podrá conocer de forma directa quién es delegado de tratamiento de datos y qué tipo de tratamiento se realizan por sus datos.

Derecho de acceso (Art 15): El interesado tendrá derecho a conocer tanto el propósito para el que se procesarán los datos como los intereses legítimos para el procesamiento. Entre ellos:

  • Con qué fin.
  • Qué categoría de datos se están tratando.
  • Los destinatarios que están tratando los datos personales.

Derecho de rectificación (Art 16): El interesado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan.

Derecho de borrado (Art 17): El interesado podrá pedir el borrado de sus datos personales de la base de datos de las empresas, así como retirar su consentimiento de tratamiento dado en precedencia.

Derecho de limitación de procesamiento de datos (Art 18): En cualquier momento, el sujeto de datos podrá solicitar la limitación del propósito de procesamiento de sus datos personales.

Derecho de portabilidad de datos (Art 20): El sujeto de datos tendrá derecho a solicitar que se le entreguen en un formato estructurado todos los datos que una empresa tiene acerca de él.

Derecho de Objeción (Art 21): El sujeto de datos tendrá derecho a oponerse en cualquier momento a que sus datos sean utilizados en una toma de decisiones y perfiles automatizados.

Principio de rendición de cuentas

Es muy importante considerar que en el reglamento está previsto el principio de rendición de cuentas. El artículo 5 (2) requiere que la empresa demuestre que cumple con los principios.

Es decir, que las empresas tendrán que implementar medidas técnicas y organizativas apropiadas que aseguren y demuestren que la empresa cumple con la regulación.

Tendrán que definir unos procesos internos bien documentados que indiquen que se están cumpliendo el reglamento.

Tendrán que definir políticas internas de protección de datos:

  • Capacitación del personal.
  • Auditorías internas de las actividades de procesamiento.
  • Revisiones de las políticas internas de RRHH.

Se tendrá que nombrar a un oficial de protección de datos (DPO).

Se tendrán que implementar medidas que cumplan los principios de protección de datos por diseño y protección de datos por defecto.

  • Minimización de datos.
  • Pseudonimización.

Violación de datos

Uno de los cambios más profundos que debe introducir el GDPR es un requisito a escala europea de notificar las violaciones de datos a las autoridades de supervisión y a las personas afectadas.

GDPR exige "al responsable del tratamiento, sin demora injustificada, y cuando sea posible, a más tardar 72 horas después de haber tenido conocimiento de ello, notificar [...] la infracción a la autoridad de supervisión" (Artículo 33.1). Cuando el incumplimiento de los datos personales pueda dar lugar a un alto riesgo para los derechos y libertades de las personas, el responsable del tratamiento también debe notificar a las personas afectadas "sin demora indebida" (artículo 34).

Categoría Especial de datos

El artículo 9 se ocupa de la categoría especial de datos: estos datos revelan el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical. Además de esta categoría de datos, se incluyen los datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

Los datos de esta categoría podrán ser tratados solo en una casuística muy limitada donde el tratamiento de esta categoría de datos sea para proteger intereses vitales o por razones de un interés público esencial.

 

¿Quieres saber cómo podemos ayudarte? Déjanos tus datos y en breve nos pondremos en contacto contigo.

¿Hablamos?

Fabio Cerioni

Fabio Cerioni

Fabio Cerioni es CTO y accionista de Techedge España & LATAM. Finalizó Ingenieria Informática cum Laude en 1994. Comienza su carrera en el campo aereospacial definiendo protocolos de comunicación de tierra, colaborando con el JPL y la ESA. En 1999 entra en Realtech Italia incorporándose al equipo de desarrollo. En 2001 se traslada a Realtech España como consultor. En 2004 es nombrado responsable del equipo de desarrollo e integración. En 2011 es nombrado Chief Technical Officer. Actualmente es responsable de la definición interna de producto, la innovación y la coordinación tecnológica en Techedge España & LATAM.

FOLLOW-ME