RGPD UE 2016/679

Reglamento General de Protección de Datos UE 2016/679

La política de protección de datos ya no es una opción sino una obligación

Las Políticas de Protección de Datos ya no son una opción para las empresas o entidades, públicas o privadas, sino una obligación que no se puede eludir bajo pena de recibir cuantiosas sanciones que pueden alcanzar los 20 millones de euros, El RGPD es de obligado cumplimiento desde el pasado 25 de mayo de 2018.

La adecuación al Reglamento Europeo de Protección de Datos, también conocido como “RGPD” o “GDPR”, introduce nuevos supuestos que es importante conocer.

Además, no hay que olvidar las obligaciones de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSICE).

Los servicios de consultoría en Protección de datos de NETConseil pueden hacer mucho por las empresas, puesto que permiten implementar la nueva normativa con garantías de éxito. Por una parte, respondiendo con rapidez, y por la otra, sabemos cómo adaptar ante esos supuestos que, en ocasiones, resultan complejos.

El asesoramiento es la mejor alternativa para evitar problemas en un futuro derivados de no cumplir correctamente con lo que establece la ley.

En NETConseil ofrecemos un servicio integral de consultoría de Protección de Datos y somos expertos en orientar y ayudar a Pymes, micro pymes, autónomos y tiendas online para implementar con éxito la normativa de protección de datos. Nos adaptamos a los diferentes casos para dar soluciones personalizadas con éxito garantizado.

El Reglamento Europeo de Protección de Datos es la principal referencia que las empresas y particulares tienen que conocer en lo referente al uso y tratamiento de los datos personales.

El objetivo de la nueva normativa es reforzar la seguridad de los usuarios y garantizar un uso correcto de los datos personales, ahondando en la autorregulación de los responsables del tratamiento. Este es el motivo por el que se crean figuras de supervisión como el Delegado de Protección de Datos (DPD/DPO), de adopción obligatoria en según qué empresas y entidades que traten datos personales.

Es conveniente que conozcamos las novedades que introduce la normativa en cuanto a los principios de tratamiento de datos, derechos y obligaciones para empresas y usuarios. Aunque el texto se promulgó el 2016, desde el pasado 25 de mayo de 2018 la adopción es obligatoria para todas las empresas y entidades que realicen algún tratamiento de datos.

Por lo tanto, y para una aplicación consciente de la nueva normativa, hay que conocer cuáles son los principios que establece esta normativa, las diferencias con respecto a la LOPD y el régimen sancionador.

Artículo 4 UE RGDP "Definiciones", a efectos del presente Reglamento se entenderá por:

- Datos personales: toda información sobre una persona física identificable «el interesado», toda persona cuya identidad pueda determinarse, directa o indirectamente, como por ejemplo un nombre, DNI/NIE, etc.

- Tratamiento: cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no.

- Responsable del tratamiento, "Responsable": la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

- Encargado del tratamiento "Encargado": la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

- Consentimiento del interesado: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.

- Empresa: persona física o jurídica dedicada a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que desempeñen regularmente una actividad económica.

- Autoridad de control: cada Estado miembro establecerá que sea responsabilidad de una o varias autoridades independientes supervisar la aplicación del presente Reglamento, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de datos personales.

Artículo 5 UE RGDP "Principios relativos al tratamiento", , los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado.

La recogida de datos se tiene que realizar por medios legales, con consentimiento por parte del interesado e informando del tratamiento. Tan solo en el caso de interés legítimo habría espacio para la utilización de datos sin consentimiento. En caso de duda, el responsable tendrá que actuar teniendo en cuenta los derechos del usuario.

Hay que recordar que para que el tratamiento de datos sea legal, el consentimiento ha de ser explícito, y debidamente custodiado para una posible posterior comprobación.

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados con otros fines.

El RGPD obliga a limitar el uso de los datos a aquel fin para el que se le han solicitado al usuario, absteniéndose de utilizarlos para otros fines. No se puede realizar un uso indiscriminado de la información facilitada.

c) adecuados, pertinentes y limitados a lo necesario, en relación con los fines para los que son tratados.

Solo se tendrán que obtener los datos que sean estrictamente necesarios. Por ejemplo, si con el nombre, apellidos y correo electrónico es suficiente, no hay por qué pedir la dirección ni el número de teléfono. Este principio responde también al objetivo de promover la autorregulación de las empresas y organismos públicos que gestionen datos personales.

d) exactos y, si fuera necesario, actualizados, se adoptarán las medidas razonables para que se supriman o rectifiquen sin dilación, aquellos datos personales que sean inexactos.

La exactitud está relacionada con la obligatoriedad legal del responsable de recoger los datos de forma veraz y real. En el caso de que exista algún error en el registro de datos que impida cumplir con la finalidad, hay que ofrecer al usuario la posibilidad de rectificación o cancelación automática.

e) mantenidos de manera que la identificación de los interesados, sólo se permita durante el tiempo necesario.

El mantenimiento de los datos se ha de limitar al tiempo necesario para cumplir la finalidad por la que se obtuvieron para evitar la acumulación de esta información. En el caso de que la empresa o entidad pública ya no los necesite, está obligada a eliminarlos de su base en un periodo de tiempo razonable.

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, mediante la aplicación de medidas técnicas u organizativas apropiadas.

Hay que garantizar la confidencialidad en el tratamiento de los datos e implementar medidas para evitar el tratamiento no autorizado o ilícito, su pérdida, destrucción o daño accidental. Los responsables de la gestión de datos personales están obligados a notificar a la AEPD en un máximo de 72 horas cualquier problema o incidencia que se haya originado en sus servidores o sistemas de almacenamiento.

2. El responsable del tratamiento será responsable del cumplimiento y capaz de demostrarlo.

Es importante que indiquemos que el incumplimiento de alguno de los preceptos generales es causa de sanción en grado máximo, de ahí que conocerlos, entenderlos y aplicarlos sea imprescindible.

Novedades del RGPD

Las principales novedades del nuevo RGPD estriban, sobre todo, en el protagonismo que se da a la autorregulación para los responsables de las bases de datos y la “no validez del consentimiento tácito”.

En materia de derechos, se han ampliado los supuestos que ya se contemplaban en la LOPD, denominados ARCO (acrónimo de Acceso, Rectificación, Cancelación y Oposición). Además, se instituye el derecho al olvido y a la portabilidad de los datos. Por otra parte, se matiza que la información que se facilite al usuario del tratamiento de sus datos sea concisa, transparente, inteligible y de fácil acceso, ampliando los requisitos con respecto a la anterior normativa.

El régimen sancionador se endurece, siendo este uno de los elementos más importantes a considerar con el objetivo de asegurar la correcta implementación de la nueva normativa. Dependiendo de la gravedad de la infracción, las sanciones pueden alcanzar los 20 millones de euros o el 4 % de la facturación de la empresa.

Hay que destacar que los supuestos que obligan a las empresas y entidades públicas aumentan y que esta normativa tendrá preferencia ante la legislación estatal. Esto implica que, en caso de conflicto entre el RGPD y la LOPD, prevalecerá el primero. De ahí que sea imprescindible conocer las novedades para aplicarlas.

No obstante, por regla general lo que sucede es que la normativa europea introduce nuevos supuestos que refuerzan la protección que ya establecía la legislación española directa o indirectamente.

Podemos resumir las nuevas exigencias legales del responsable del tratamiento de los datos en los siguientes puntos:

- Obligatoriedad general de obtener consentimiento expreso del interesado para tratar sus datos, eliminando el supuesto del consentimiento tácito, habitual con la LOPD.

- La autorregulación obligará a notificar a la AEPD en un máximo de 72 horas cualquier incidencia que se origine en el sistema.

- El nombramiento de un profesional que se encargue de monitorizar el cumplimiento del reglamento, el Delegado de Protección de Datos (DPD/DPO), que puede ser un profesional externo o interno de la compañía.

En el resto del articulado, lo que se hace es desarrollar lo ya establecido en los derechos ARCO de la LOPD, lo que supondrá, por ejemplo, que las empresas tendrán que renovar los formularios de tratamiento de datos para adecuarlos.

Los derechos que contempla el RGPD

El Reglamento Europeo de Protección de Datos asume los derechos para los usuarios que ya preveía la LOPD, introduciendo los supuestos de portabilidad de los datos y el derecho al olvido como desarrollo de última generación de los derechos de acceso y cancelación.

Derecho de acceso, la persona que ha facilitado sus datos tiene derecho a acceder a comprobar si se han registrado de forma correcta o si, efectivamente, constan en la base de datos de la empresa u organismo.

Con la nueva legislación, se tendrá que facilitar una copia del documento original de forma que sea fácilmente descargable y accesible, lo que se conoce como portabilidad. El derecho de rectificación, en caso de que exista algún error en el registro de los datos, el usuario tendrá derecho a que el organismo encargado del tratamiento de los datos los modifique.

El derecho de cancelación, también conocida como derecho al olvido, trata de que con excepción de los datos con interés informativo o estadístico, el interesado tenga derecho en cualquier momento a que sus datos se retiren del fichero en el que fueron incluidos.

El derecho de oposición garantiza la exigencia de consentimiento expreso que tiene la nueva normativa. la persona interesada se puede oponer al tratamiento de los datos cuando se le notifique esta intención.

Régimen sancionador Este es uno de los puntos en los que ha habido más cambios con respecto a la LOPD, sobre todo por la cuantía de las sanciones por incumplimiento de algún precepto. Cuando concurran casos graves y leves se aplicará la sanción más alta.

En los casos de vulneración de las responsabilidades que tienen el encargado y responsable respecto a sus obligaciones de control o de certificación, las sanciones podrán ser de hasta 10 millones de euros o el 2 % de la facturación.

Los casos más graves se refieren al incumplimiento de una resolución de las autoridades de protección de datos, transferencia de datos a terceros, incumplimiento de principios generales o vulneración de derechos. Las sanciones podrán alcanzar los 20 millones de euros o el 4 % de la facturación.

Cumplir y conocer la normativa del RGPD es fundamental para las empresas de hoy

Para más información

CONTACTO