Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

RGPD (Reglamento general de protección de datos): Guía 2022

El RGPD o Reglamento General de Protección de Datos es la normativa que regula el tratamiento de datos personales en toda la Unión Europea. Esta ley ha supuesto un importante cambio en las obligaciones y derechos de empresas y usuarios. En esta guía te contamos todo lo que necesitas saber sobre el RGPD y qué requisitos son obligatorios para cumplirlo.

¿Qué es el Reglamento Europeo de Protección de Datos (RGPD)?

El Reglamento General de Protección de Datos (RGPD) es la normativa que regula el tratamiento de datos personales en el ámbito geográfico de la Unión Europea. Fue publicado el 17 de abril de 2016, derogando la antigua Directiva 95/46/CE.

El RGPD establece las obligaciones y requisitos que deben adoptar los responsables y encargados del tratamiento, y define los derechos que asisten a los ciudadanos en la protección de sus datos personales.

Esta normativa es una ley general, y no impide que cada país miembro de la UE pueda desarrollar su propia normativa nacional (por ejemplo, en España se ha desarrollado la LOPDGDD que sustituye a la antigua LOPD), siempre y cuando no contravenga lo indicado por la ley RGPD.

Objeto del RGPD

El artículo 1 del reglamento RGPD se refiere al objeto de esta ley, indicando que “establece las normas relativas a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y las normas relativas a la libre circulación de tales datos“.

Añade que el Reglamento “protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales“.

Por último, señala que “la libre circulación de los datos personales en la Unión no podrá ser restringida ni prohibida por motivos relacionados con la protección de las personas físicas en lo que respecta al tratamiento de datos personales“.

¿Qué países han adoptado la normativa RGPD?

La normativa RGPD se aplica en todos aquellos países que forman parte de la Unión Europea, a los que habría que sumar a Islandia, Noruega y Suiza. Aparte, también se aplica a aquellas empresas que tienen su sede fuera de la UE, pero que dirigen sus actividades a personas que viven dentro de las frontera de la UE.

Aplicación del RGPD en España. ¿Cuándo se aplica y cuándo NO?

El nuevo Reglamento General de Protección de Dstos (RGPD) se aplica a todas aquellas organizaciones, profesionales, instituciones, o entidades públicas que realicen un tratamiento de datos personales de terceros. Por ejemplo, organizaciones que manejen datos de clientes, empleados o proveedores.

Por otro lado, el RGPD también hace referencia a determinados casos en los que la ley no se aplica:

  • Cuando los ficheros mantenidos por personas físicas son para un uso exclusivamente personal o doméstico. Por ejemplo las agendas personales, contactos personales de correo electrónico, etc.
  • Aquellos ficheros sometidos a la normativa sobre protección de materias clasificadas. Estos ficheros se rigen por una normativa distinta, más específica.
  • Tampoco se aplica a los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.

¿Cómo saber si cumples con las obligaciones del R.G.P.D.?

Para saber si cumplimos con el RGPD es necesario fijarse en una serie de cuestiones:

  • Identifica la base jurídica de los tratamientos que se realizan: es necesario que exista una base legal para el tratamiento. El RGPD establece como dichas bases el consentimiento, la existencia de una relación contractual, el cumplimiento de intereses vitales del interesado o de otras personas, el interés público, el ejercicio de poderes públicos o la existencia de intereses legítimos del responsable o de terceros a quienes se comunican los datos.
  • Chequea el suministro de información a los interesados: el artículo 13 del RGPD indica la información que se debe facilitar al interesado cuando los datos hayan sido obtenidos directamente de él; mientras que el artículo 14 hace referencia a la información que se debe facilitar cuando los datos NO hayan sido obtenidos directamente del interesado.
  • Establece un registro actualizado de actividades de tratamiento: el responsable o encargado del tratamiento ha de llevar un registro de actividades del tratamiento en el que se indique el nombre del responsable, la finalidad del tratamiento, las categorías de datos tratadas, el plazo de conservación de los datos, si los datos van a ser cedidos a terceros, o las medidas técnicas y organizativas aplicadas para su protección,
  • Prevé el ejercicio de derechos de los interesados: se debe garantizar a los interesado los derechos ARSULIPO o antiguos ARCO, esto es, el derecho de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
  • Cuenta con las medidas de seguridad que garanticen la integridad de la información: los responsables del tratamiento han de aplicar las medidas técnicas y organizativas necesarias para garantizar la seguridad e integridad de los datos.

¿Cómo cumplir con el RGPD?

A continuación vemos cuáles son los requisitos que debe cumplir cualquier empresa o profesional para la adaptación al RGPD:

Cumplir RGPD

¿Cómo cumplir el RGPD?

Para gestionar con más facilidad todos estos requisitos y obligaciones, las empresas pueden recurrir a un software RGPD, ya que cuenta con funciones que permiten llevar un mejor control sobre el grado y nivel de cumplimiento de cada uno de ellos, de manera que el responsable del tratamiento sepa en todo momento qué acciones debe llevar a cabo en materia de protección de datos y respecto a los tratamientos que realiza la empresa.

Determinar las responsabilidades

El responsable del tratamiento es el encargado de velar por el cumplimiento de la normativa y las exigencias de la ley. El encargado del tratamiento se encarga de tratar los datos de acuerdo a lo estipulado del responsable del tratamiento. El encargado del tratamiento no podrá ceder dicho tratamiento a otro encargado sin la autorización del responsable.

Deber de informar

El responsable del tratamiento debe informar a los interesados acerca de:

  • La identidad del responsable del tratamiento.
  • Las categorías de datos que se van a tratar.
  • La base jurídica y la finalidad de dicho tratamiento.
  • Si los datos se van a ceder a terceros.
  • El plazo de conservación de los datos.
  • Las vías a través de las cuáles los interesados pueden ejercer sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

Los Nuevos derechos de RGPD

El derecho de supresión es uno de los nuevos derechos RGPD que llega para sustituir al antiguo derecho a la cancelación de los datos. Este derecho implica que la persona afectada por el tratamiento puede dirigirse al responsable para solicitar la eliminación de sus datos o el cese del tratamiento.

Otro derecho de nuevo cuño el el derecho al olvido, que permite a los interesados solicitar a los motores de búsqueda que dejen de indexar aquellos datos que no estén actualizados, que no sean pertinentes o que resulten excesivos.

El nuevo RGPD también incluye la posibilidad a que el interesado se oponga al tratamiento automatizado de sus datos para la elaboración de perfiles que la afecten de manera significativa. Este derecho no podrá ser ejercido cuando el tratamiento esté fundamentado en el consentimiento del usuario o sea necesario para la ejecución de un contrato entre las partes.

Por otro lado, la limitación del tratamiento introduce el derecho a que el interesado solicite que sus datos no se dejen de tratar completamente, pero que dicho tratamiento se realce de forma limitada. Por ejemplo, cuando los datos ya no son necesarios para el tratamiento, pero sí lo son para la formulación o ejercicio de futuras reclamaciones.

El derecho a la portabilidad es otra de las novedades del RGPD. Se entiende como el derecho a que las personas que han dado sus datos a un responsable del tratamiento soliciten la transmisión de dichos datos a otros responsable.

Novedades RGPD

Novedades en el RGPD

Análisis de riesgos

Las responsables del tratamiento han de realizar una auditoría RGPD para determinar los riesgos que pudiera suponer para el interesado el tratamiento de sus datos personales, y de esa manera aplicar las medidas técnicas y organizativas pertinentes para garantizar la seguridad de la información, como pudieran ser la seudonimización y la anonimización.

Evaluación de Impacto

Aparte del análisis de riesgos, el RGPD establece que será obligatorio elaborar una evaluación de impacto cuando la organización vaya a realizar un tratamiento de datos de forma masiva o se traten categorías especiales de datos que puedan suponer un alto riesgo para los derechos o libertades de los interesados.

El Registro de actividades

Desde la entrada en vigor del RGPD ya no será necesario comunicar los ficheros a la Agencia Española de Protección de Datos (AEPD), pero sí será obligatorio llevar un registro de las actividades del tratamiento, en el que se incluyan ficheros separados según los tipos o categorías de datos tratados, la finalidad del tratamiento, o las medidas adoptadas para garantizar la seguridad.

Medidas de seguridad y organizativas

Como ya hemos señalado, el responsable del tratamiento debe actuar según el principio de responsabilidad proactiva y aplicar las medidas técnicas y organizativas para garantizar la seguridad de los datos de los interesados. Además, están obligados a notificar a la AEPD cualquier brecha de seguridad que se produzca, en un plazo máximo de 72 horas.

Consentimiento inequívoco

El RGPD establece que el consentimiento para el tratamiento de datos ha de ser expreso. Este consentimiento debe ser otorgado mediante una acción voluntaria e inequívoca del usuario, por ejemplo, marcando una casilla de verificación. Ya no sirve con el consentimiento tácito o por omisión. Los responsables que hayan obtenido datos de interesados mediante consentimiento tácito, deberán volver a solicitar el consentimiento a dichos interesados para que lo puedan dar de manera expresa. Asimismo, será necesario obtener consentimiento RGPD para cada una de las finalidades del tratamiento.

Legalidad de las páginas web

Las páginas web deben incluir una serie de textos legales, esto es, el aviso legal, política de privacidad y la política de cookies.

El aviso legal informa acerca de la identidad del propietario de la web. La política de privacidad indica cómo se tratan los datos personales en dicha web, las obligaciones del responsable y los derechos del interesado. Por último, la política de cookies indica que cookies instala la web en el navegador del usuario. Las webs que usen cookies deben mostrar un aviso de cookies la primera vez que el usuario ingresa en la página, para que pueda otorgar su consentimiento al usio de dichas cookies.

El Delegado de Protección de Datos

El artículo 37 del RGPD señala que será necesario que una organización cuenta con un delegado de protección de datos siempre que se de alguna de estas circunstancias:

  • El responsable del tratamiento sea una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  • Las actividades principales del responsable o del encargado consistan en operaciones que por su alcance, naturaleza o finalidad, requieran una observación habitual y sistemática de interesados a gran escala.
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.

resumen reglamento proteccion datos rgpd

¿Necesitas cumplir con RGPD? Escríbenos o llámanos al 914 896 419

Grupo Atico34 somos una consultoría RGPD con más de 12 años de experiencia en materia de protección de datos.

Durante todo este tiempo hemos ayudado a miles de organizaciones de todos los tamaños y sectores de actividad a cumplir con el RGPD para empresas.

Nuestro equipo de profesionales posee formación y experiencia específica, y una probada reputación en la materia.

Ofrecemos un servicio personalizado y adaptado a las necesidades y circunstancias de cada empresa.

También brindamos un soporte continuo y atención personalizada a nuestros clientes.

Si quieres contratar RGPD, ponte en contacto con nosotros, cuéntanos tu caso y pide presupuesto sin compromiso.

tarifas proteccion datos

Infracciones y sanciones por incumplimiento del Reglamento Europeo de Protección de Datos

Las sanciones RGPD pueden llegar a ser muy cuantiosas, según el volumen de la empresa, la gravedad del delito cometido, la persistencia en el tiempo, la reincidencia y otros factores.

Así, las sanciones puede llegar a:

  • Para infracciones graves: multa de hasta 10 millones de euros (o el 2% de la facturación anual, aplicando la cuantía que resulte más alta).
  • Para infracciones muy graves: multa de hasta 20 millones de euros (o el 4% de la facturación anual, aplicando la cuantía que resulte más alta).

Diferencias entre LOPD y RGPD

La Ley de Protección de Datos personales y Garantía de Derechos Digitales (LOPDGDD) y el Reglamento General de Protección de Datos (RGPD) son dos normativas muy similares, ya que la primera no es más que la adaptación española del segundo.

La LOPDGDD profundiza en algunas cuestiones que el RGPD solo nombra ” de pasada”, tales como:

  • Datos de contacto de empresarios y profesionales liberales
  • Sistemas de información crediticia
  • Operaciones mercantiles
  • Videovigilancia en el trabajo
  • Exclusión publicitaria
  • Denuncias internas
  • Función de estadística pública
  • Archivo de interés público
  • Infracciones y sanciones administrativas

Asimismo, la LOPDGDD también explica de forma mucho más clara la figura del Delegado de Protección de Datos e indica exactamente las empresas que están obligadas a tener uno.