El Reglamento General de Protección de Datos ha cambiado la manera que las empresas deben tratar la información personal de sus usuarios. El problema es que la mayoría de las empresas desconocen cómo pueden adaptarse a la nueva normativa legal, de hecho, un estudio realizado por HubSpot revela que solo el 42% de las empresas de marketing online están en condiciones de cumplir con el reglamento.
Este es el motivo por el que hemos decidido preparar este documento con las preguntas y respuestas que debes conocer para que tu empresa no sea multada por no estar al día con el RGPD. No le pierdas la pista porque lo iremos actualizando periódicamente.
¡Conoce cómo cumplir con la ley en materia de protección de datos!
¿Qué diferencia hay entre directiva y reglamento?
Antes de lanzar las preguntas y respuestas para evitar el incumplimiento del GDPR, conviene realizar una pequeña distinción de dos conceptos de Derecho comunitario, que suelen confundirse.
-
La directiva
La directiva es una disposición normativa de la Unión Europea que vincula a los Estados miembros, o al destinatario, para la consecución de resultados u objetivos. Requiere de una norma nacional que la transponga para que sea aplicable.
-
El reglamento
Es un acto jurídico comunitario que obliga a todos sus destinatarios sin necesidad de otra norma que la desarrolle. Es decir, a diferencia de la directiva, no necesita norma que lo transponga, ya que es directamente aplicable.
¿Qué es el RGPD?
Es el Reglamento General de Protección de Datos, también conocido como General Data Protection Regulation (GDPR), es una regulación europea que obliga a los Estados miembros, empresas y personas responsables del tratamiento de datos, a cumplir unas directrices relacionadas con la seguridad de la información personal de los usuarios.
Al ser un reglamento europeo es directamente aplicable, como ya hemos visto arriba.
¿Cuándo entrará en vigor el RGPD?
Curiosamente, en esta norma la fecha de entrada en vigor no se corresponde con la fecha en la que surtirán efectos sus preceptos.
-
¿Qué día entró en vigor el RGPD?
La mayoría de las webs comenten un error al interpretar este concepto jurídico. El reglamento entró en vigor el día 24 de mayo de 2016, 20 días después de su publicación. Eso no quiere decir que surtiera efectos desde esa fecha.
-
¿Qué día comienza a producir efectos el RGPD?
A pesar de que entró en vigor en el 2016, sus efectos fueron suspendidos hasta el 25 de mayo de 2018, que es cuando resulta directamente aplicable y de obligado cumplimiento.
¿Qué pasará con la LOPD después del RGPD?
La actual LOPD quedará derogada en parte, pero seguirán siendo de aplicación los principios que no contradigan el RGPD y sirvan para proteger los derechos de los usuarios.
-
La nueva LOPD
El legislador español está trabajando en una nueva Ley Orgánica de Protección de Datos que desarrolle el reglamento, mientras tanto se aplicará directamente el RGPD y aquellos artículos de la actual LOPD que no lo contradigan.
¿Quién es la autoridad que controla el cumplimiento de la protección de datos?
-
AEPD:
Para evitar las sanciones por incumplir el RGPD hay que atender a las directrices de la AEPD.
La agencia española de protección de datos, por carácter general, es la encargada de velar por el cumplimento en esta materia. No obstante, la Agencia catalana y la vasca también tienen competencias dentro de su ámbito de aplicación.
-
ApdCat:
La autoridad Catalana de Protección de Datos garantiza el cumplimiento de la protección datos en el ámbito de las competencias de la Generalitat en colaboración con la AEPD.
-
AVPD:
La Agencia Vasca de Protección de Datos tiene ámbito de actuación en la Comunidad Autónoma del País Vasco.
¿Qué derechos existen en protección de datos?
Son ocho los derechos que los usuarios tienen para proteger su intimidad en lo relativo al uso de su información personal por terceros. Todos ellos pueden ser ejercitados ante la Agencia Española de Protección de Datos, siempre y cuando no haya sido posible hacerlo frente al responsable del tratamiento.
-
Derecho de información:
Se trata de un derecho de transparencia, consistente en que las empresas encargadas del tratamiento de datos personales, proporcionen mayor información a los usuarios, la cual deberá realizarse de una manera sencilla, comprensible y completa. De esta manera, todos podrán entender que uso de le dará a la información que hayan proporcionando y cómo ejercitar sus derechos.
-
Derecho al olvido:
Es el derecho a impedir que se difunda información personal por Internet cuando no esté ya justificado. Es decir, que la publicación no cumpla con los requisitos de adecuación y pertinencia previstos en la ley. A través de este derecho se puede limitar la difusión universal e indiscriminada de datos en los buscadores cuando ya no son relevantes o son antiguos.
-
Derecho a limitar el tratamiento:
El usuario puede bloquear de manera temporal, parcial y completamente, el tratamiento de sus datos personales cuando no se esté seguro de que el tratamiento sea lícito.
-
Derecho de portabilidad de los datos:
Llevaba años en uso en las compañías telefónicas, aunque ahora su uso parece ampliado. Se permite al usuario solicitar la transferencia de datos personales de una empresa a otra, sin necesidad de que previamente pasen por él.
Para ello, el tratamiento debe realizarse por medios automatizados, basarse en un contrato o consentimiento y solicitarse para sus propios datos, no para terceros.
-
Derecho de acceso:
Forma parte de los derechos ARCO, establecidos en la Ley Orgánica de Protección de Datos.
Es el derecho de las personas a solicitar información al responsable del tratamiento para conocer si sus datos personales están siendo tratados, con qué finalidad y el origen de estos.
No es necesario justificar su uso, siempre y cuando no se haya ejercido -con la misma empresa- en los últimos 12 meses.
-
Derecho de rectificación
Es el derecho de los usuarios a solicitar la modificación de los datos inexactos o incompletos.
A la hora de ejercerlo es necesario hacer referencia a los datos implicados y aportar la documentación requerida para justificar la rectificación.
-
Derecho de oposición
Es el derecho de una persona a oponerse al tratamiento de sus datos o al cese de éstos.
Solo podrá ejercerse cuando los datos en cuestión no requieran de un consentimiento o sean para fines publicitarios.
Nada más que podrá ejercerlo la persona afectada.
-
Derecho de cancelación
El afectado por el tratamiento de unos datos inadecuados o excesivos puede solicitar la supresión de esos datos.
Requiere que se justifique el motivo por el que se pretende la cancelación e identificar los datos afectados.
El consentimiento es necesario para la realización de cualquier trámite. Incluso para cuando se contacta con un abogado para reclamar gastos hipoteca. De igual forma cuando se termine cualquier relación contractual se puede solicitar la supresión de los datos o ejercer cualquiera de los derechos reconocidos en la RGPD.
¿Cómo debe ser el consentimiento para el tratamiento de datos?
-
Consentimiento inequívoco
El RGPD exige para el tratamiento de los datos que el consentimiento sea prestado mediante una manifestación del interesado o mediante una clara acción afirmativa. Es decir, no se admite el consentimiento tácito o por omisión.
-
Consentimiento explícito
Es similar al anterior, pero sin dejar lugar a la libre interpretación. Debe ser recogido de manera clara y precisa.
Este consentimiento es necesario para el tratamiento de datos sensibles, adopción de decisiones automatizadas y transferencias internacionales.
-
Consentimiento implícito
Se admite el consentimiento implícito cuando se deduzca de una acción del interesado. Por ejemplo, cuando continúa navegando en la web se entiende que el usuario acepta las cookies.
¿Qué pasa con los consentimientos anteriores a la RGPD?
Los consentimientos seguirán siendo legítimos, pero solo si el consentimiento recibido para el tratamiento de los datos se hubiese realizado de acuerdo con los principios del RGPD. Es decir, existiendo una política de privacidad clara y un consentimiento inequívoco.
En caso de que no existiera una manifestación o acción afirmativa que legitimase el tratamiento, se deberá recabar un nuevo consentimiento.
¿Pueden prestar consentimiento los menores?
El RGPD prevé que el consentimiento será válido para los mayores de 16, pero permite que los Estados reduzcan esa edad hasta los 13.
-
El consentimiento de menores en España
En España, de momento, será válido el consentimiento de los mayores de 14 años, tal y como se establece en la LOPD. Por debajo de esa edad se necesitará la autorización de los padres o tutores legales.
¿Qué es la responsabilidad proactiva de las empresas?
Se describe este principio como la necesidad de que los encargados del tratamiento de datos apliquen todas las medidas técnicas y organizativas que permitan demostrar que se actúa conforme al reglamento.
¿Qué es accountabilty?
Básicamente es lo mismo que lo anterior pero en inglés, que es el término que se usa en la versión anglosajona del GPRD.
¿Cómo acredito que cumplo con el RGPD?
En principio, bastaría con cumplir los principios del reglamento y ser organizado. Como requisitos legales se exige, además, que la empresa prepare una evaluación de los riesgos existentes para los datos y se adopten las medidas necesarias para su protección. Estos documentos deben estar realizados antes de la aplicación de la normativa europea y preparados para posibles inspecciones.
¿Mi empresa tiene que conseguir una "certificación RGPD"?
No, no es una obligación legal, aunque puede ayudar a su cumplimiento.
-
Empresas de auditoria cumplimiento protección de datos:
Hay empresas que se dedican a auditar y certificar que una determinada compañía cumple con el RGPD.
Esto puede ser de gran utilidad para demostrar a la Agencia de Protección de Datos que has trabajado en el cumplimiento normativo, sin embargo, hay que tener presente que no son certificaciones oficiales y, por lo tanto, por si solas no aseguran un informe favorable en una inspección.
¿Quién es el responsable del tratamiento?
El responsable del fichero o tratamiento es una persona jurídica o física que decide sobre el motivo, contenido y uso del fichero contenedor de los datos personales.
¿Qué es un encargado del tratamiento?
Es una persona física o jurídica, privada, autoridad pública u organismo de la administración, que presta un servicio al responsable del fichero por cuenta de éste. Por ejemplo, gestorías, agencias de marketing, hostings, etc.
¿Qué es la Evaluación de Impacto en la Protección de Datos Personales (EIPD)
Es un análisis de los riesgos que un determinado producto o servicio puede entrañar para los datos de los usuarios. Este documento ayudará a adoptar las medidas necesarias para eliminar o mitigar los riesgos.
¿Son obligatorias las EIPD en el nuevo reglamento?
No son obligatorias, pero sí constituye una práctica recomendable de cara a demostrar que se cumple con el reglamento, en virtud del principio de proactividad.
¿Sigue siendo necesario inscribir un fichero con la RGPD?
La LOPD establece la obligación de declarar los ficheros de datos ante el Registro de AEPD, sin embargo, el RGPD no contempla esta obligación. No obstante, conviene seguir haciéndolo, al menos hasta que el legislador español se pronuncie al respecto con la nueva regulación estatal.
¿Cuáles son las sanciones en materia de protección de datos?
La RGPD supone un incremento sustancial de la cuantía de las sanciones con respecto a los que se establecían en la LOPD.
Los incumplimientos se dividen en graves y muy graves.
-
Sanciones graves RGPD:
Los primeros tienen sanciones de la cuantía equivalente al 2% como máximo del volumen de negocio del ejercicio anterior, hasta un límite de 10 millones de euros.
-
Sanciones muy graves RGPD:
Los incumplimientos muy graves traerán multas equivalentes al 4% como máximo del volumen de negocio, hasta un límite de 20 millones.
¿Necesito una política de privacidad?
Sí, esto es una exigencia del derecho de información de los usuarios. La política de privacidad deberá proporcionarse de forma concisa, transparente, fácil de entender y accesible. En ella se explicará la legitimación para el tratamiento de los datos, los fines, el ejercicios de los derechos, etc.
