RGPD

Es aplicable desde el 25 de mayo de 2018 el Reglamento (UE) 2016/679 de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos – RGPD. 

¿Qué es RGPD?

Este diploma se aplica al tratamiento total o parcialmente automatizado de datos personales, así como al tratamiento no automatizado de datos personales y tiene por objeto defender los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales. Y por datos personales, se entiende la información sobre una persona física identificada o identificable – el interesado – se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador. Estos identificadores pueden ser, por ejemplo, un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.

En la práctica, el RGPD se aplica cuando se realiza una de las siguientes actividades con datos personales: recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. Significa, por lo tanto, que el RGPD se aplica en general a la gran parte de las empresas.

¿Y el responsable del tratamiento de datos ya no puede tratar datos personales?

Sí, el responsable del tratamiento de datos (Organización) puede hacerlo de forma lícita, bajo ciertas condiciones. Estas condiciones son de forma genérica el consentimiento de forma libre, específico, informado e inequívoco; para el cumplimiento de sus obligaciones legales o contractuales; entre otras condiciones específicas previstas en el RGPD.

¿Cuáles son los principios del tratamiento de datos?

El tratamiento de datos por una determinada Organización está sujeto a los siguientes principios: limitación de la finalidad para que los datos personales han sido recogidos, transparencia, licitud, lealtad, integridad, confidencialidad, minimización y exactitud de los datos, e limitación del plazo de conservación de los datos personales.

¿Cuáles son los derechos del interesado?

Los derechos del interesado son varios:

– Acceso: derecho a solicitar gratuitamente acceso a los datos personales y que estén en posesión de una organización;

– Rectificación: si una organización tiene datos personales que son incorrectos, incompletos o inexactos, el interesado puede solicitar la respectiva corrección;

– Supresión: el interesado tiene el derecho de obtener del responsable del tratamiento la supresión de sus datos personales en determinadas condiciones previstas en el propio RGPD;

– Oposición: si una organización efectúa el tratamiento de sus datos personales, el interesado tiene el derecho de oponerse, pudiendo en algunas circunstancias, excepciones. También tiene el derecho de oponerse en cualquier momento a la recepción de comunicaciones de marketing directo.

El interesado tiene también el derecho a la información, a la portabilidad de los datos, limitación del tratamiento y al contacto y reclamación.

¿Y las Organizaciones tienen que tener un responsable para el RGPD?

Sólo en los siguientes casos, es que las Organizaciones tienen que tener un delegado de protección de datos (DPO – Data Protection Officer):

– El tratamiento lo lleve a cabo una autoridad u organismo público;

– Si las actividades principales de la empresa requieran una observación habitual y sistemática de interesados a gran escala;

– Si las actividades principales consistan en el tratamiento a gran escala de categorías especiales de datos personales y de datos relativos a condenas e infracciones penales.

¿Y hay otras obligaciones para las Organizaciones?

La organización responsable del tratamiento tiene varias obligaciones, y una de las principales es la responsabilidad por el cumplimiento de los principios relativos al tratamiento de datos y la obligación de poder comprobarlo – Accountability.

Entre otras obligaciones el responsable del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Si es aplicable, efectuar la evaluación de impacto (Privacy Impact Assessment), garantizar la protección de datos desde el diseño y por defecto, notificar a la autoridad nacional responsable en caso de una violación del reglamento, registro de las actividades de tratamiento para organizaciones que empleen al menos a 250 personas.

Las implicaciones del RGPD son diversas para las organizaciones, sea en la gestión, en la relación con los clientes, proveedores y prestadores de servicios, en los departamentos de recursos humanos, marketing y sistemas de información e incluso con la autoridad reguladora nacional.

Puede consultar aquí más información sobre este reglamento, o también en el sitio del grupo de trabajo del artículo 29 con orientaciones y notas interpretativas sobre el reglamento, disponible aquí.

Esta información no dispensa la consulta del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016.