Conoce Atico34 - Solicita presupuesto
LOPDGDD & RGPD

RGPD (Reglamento general de protección de datos)

El RGPD o Reglamento General de Protección de Datos supuso un importante cambio en las obligaciones y derechos de las organizaciones y usuarios en lo que al uso y gestión de los datos personales se refiere. Si bien, con más de cuatro años desde su entrada en vigor en España, ya no podemos hablar del nuevo reglamento de protección de datos, en esta guía explicaremos qué es el RGPD y qué requisitos son obligatorios para cumplirlo.

¿Qué es el Reglamento General de Protección de Datos (RGPD)?

El RGPD es la normativa que regula el tratamiento de datos personales en el ámbito geográfico de la Unión Europea. Fue publicado el 17 de abril de 2016, derogando la antigua Directiva 95/46/CE.

El RGPD establece las obligaciones y requisitos que deben adoptar los responsables y encargados del tratamiento, y define los derechos que asisten a los ciudadanos en la protección de sus datos personales.

Esta normativa es una ley general y no impide que cada país miembro de la UE pueda desarrollar su propia normativa nacional; por ejemplo, si bien se cumple el RGPD en España, el legislador también ha desarrollado la LOPDGDD que sustituye a la antigua LOPD.

Además, el Reglamento General de Protección de Datos (RGPD) es de aplicación directa, es decir, no es necesaria su transposición al ordenamiento jurídico de los Estados miembros.

¿Cuál es el objetivo del RGPD?

El objetivo del Reglamento de Protección de Datos es mejorar el nivel de protección y control de los datos personales de las personas físicas, cuando estos datos son sometidos a tratamientos por parte de empresas y otro tipo de entidades.

Así, el RGPD busca dar un mayor nivel de protección sobre los datos personales de los interesados (las personas físicas titulares de los datos) y darles a estos un mayor control sobre ellos, para ello el reglamento RGPD establece una serie de medidas como:

  • Informar a los interesados de las finalidades para las que se usarán sus datos.
  • Recabar el consentimiento de los interesados para tratar sus datos personales, cuando no hay ninguna otra base jurídica que legitime dicho tratamiento.
  • Suministrar una información comprensible sobre las políticas de privacidad adoptadas por la organización a los interesados.
  • Creación de nuevos derechos para los interesados.

Además, el Reglamento de Protección de Datos personales también tiene como objetivo ofrecer mayores garantías de cumplimiento, puesto que exige a las organizaciones ser proactivas en materia de protección de datos, es decir, que para cumplir con el RGPD, las organizaciones deben adoptar desde el diseño y por defecto medidas de seguridad técnicas y organizativas que garanticen la confidencialidad, integridad y disponibilidad de los datos.

El objetivo del RGPD es umentar la protección, seguridad e integridad de los datos de las personas físicas cuando estos son tratados por parte de empresas y otras entidades.

Así mismo, el RGPD iguala el terreno de juego para todas las organizaciones, al crear un marco normativo general para todos los Estados miembros de la UE y para aquellas empresas de terceros países que presten servicios dentro de la UE o el Espacio Económico Europeo (EEE).

¿Qué datos protege del RGPD?

El RGPD protege, como su nombre indica, los datos personales de los interesados, entendiendo por interesado persona física y por datos personales:

«Toda información sobre una persona física identificada o identificable; se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona».

En sentido, el RGPD distingue entre dos categorías generales de datos personales:

  • Datos personales básicos, que serían aquellos no implican un elevado riesgo para los derechos y libertades de los interesados; nombre, domicilio, datos de contacto, datos académicos, datos bancarios, datos académicos, etc.
  • Datos personales de categorías especiales, que son aquellos datos cuyo tratamiento puede implicar un elevado riesgo para los derechos y libertades de los interesados. Los datos sensibles en el RGPD están contemplados en el artículo 9: «origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física».

¿Qué derechos y obligaciones incorpora el RGPD?

En lo que a derechos y obligaciones respecta, se introdujeron varias novedades en el RGPD (sobre los que profundizaremos más adelante):

  • Nuevos derechos:
    • Derechos de supresión (derecho al olvido)
    • Derecho a la limitación del tratamiento
    • Derecho a la portabilidad de los datos.
  • Nuevas obligaciones:
    • Deber de informar (a través de diferentes tipos de texto RGPD)
    • Responsabilidad proactiva (accountability o rendición de cuentas)
    • Protección de datos desde el diseño y por defecto
    • Designación del Delegado de Protección de Datos (DPO) cuando así lo establezca el Reglamento
    • Elaboración del registro de actividades de tratamiento (RAT)
    • Consentimiento expreso para el tratamiento de datos personales
    • Cuando así se establezca, realización de evaluación de impacto sobre protección de datos
    • Comunicación de brechas de seguridad
  • Garantías adicionales para las transferencias internacionales de datos

¿Quién está obligado a aplicar el reglamento de Protección de Datos?

El nuevo Reglamento General de Protección de Datos se aplica a todas aquellas organizaciones, profesionales, instituciones, o entidades públicas que realicen un tratamiento de datos personales de terceros. Por ejemplo, organizaciones que manejen datos de clientes, empleados o proveedores.

Es decir, deben cumplir el RGPD empresas, organizaciones, entidades u organismos públicos y autónomos que lleven a cabo cualquier tratamiento de datos personales en desarrollo de su actividad, tanto negocios físicos como digitales (si tienes una tienda online, te interesa leer nuestro artículo sobre el RGPD para ecommerce).

¿A quién se aplica el RGPD?

Aparte de las entidades obligadas a cumplir el RGPD, que hemos citado en el punto anterior, el RGPD se aplica solo a los datos de las personas físicas que puedan servir para identificarlas (tal y como vimos más arriba). Es decir, el RGPD no es de aplicación en los datos de personas jurídicas.

Así mismo, el RGPD se aplica a todos los ciudadanos europeos, es decir, que también están obligados a cumplirlo aquellas entidades que traten datos personales de ciudadanos de la UE o Espacio Económico Europeo.

¿Cuándo se aplica el R.G.P.D. y cuándo no?

Ahora que sabemos a quién se aplica el RGPD, este debe, además, aplicarse siempre que una entidad o profesional trate datos personales, entendiendo por tratamiento:

«Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción».

Por otro lado, el RGPD también hace referencia a determinados casos en los que la ley no se aplica:

  • Cuando los ficheros mantenidos por personas físicas son para un uso exclusivamente personal o doméstico. Por ejemplo, las agendas personales, contactos personales de correo electrónico, etc.
  • Aquellos ficheros sometidos a la normativa sobre protección de materias clasificadas. Estos ficheros se rigen por una normativa distinta, más específica.
  • Tampoco se aplica a los ficheros establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.

¿Cómo aplicar el RGPD en una empresa?

La normativa RGPD se aplica de la siguiente forma:

Para poder llevar a cabo la adaptación RGPD, hay una serie de requisitos que cualquier empresa o profesional debe cumplir, la mayoría de ellos son de obligado cumplimiento, con independencia del tipo de datos personales que se traten, el volumen de negocio y el sector de actividad. Otros son más específicos y solo deben cumplirse en determinadas circunstancias.

En cualquier caso, estos son los principales requisitos a cumplir para cumplir con el RGPD:

Cumplir RGPD

¿Cómo cumplir el RGPD?

Para gestionar con más facilidad todos estos requisitos y obligaciones, las empresas pueden recurrir a un software RGPD, ya que cuenta con funciones que permiten llevar un mejor control sobre el grado y nivel de cumplimiento de cada uno de ellos, de manera que el responsable del tratamiento sepa en todo momento qué acciones debe llevar a cabo en materia de protección de datos y respecto a los tratamientos que realiza la empresa.

Determinar las responsabilidades de responsables y encargados del tratamiento

El responsable del tratamiento es el encargado de velar por el cumplimiento de la normativa y las exigencias de la ley. El encargado del tratamiento se encarga de tratar los datos de acuerdo a lo estipulado por responsable del tratamiento. El encargado del tratamiento no podrá ceder dicho tratamiento a otro encargado sin la autorización del responsable.

La determinación de estas responsabilidades debe quedar establecida en un contrato entre responsable y encargado, en el que se establezcan las condiciones para la cesión de datos del responsable al encargado y cómo y con qué finalidad trataré este dichos datos. Así mismo, se establecerá el nivel de cooperación en la atención de solicitudes de derechos y la gestión de brechas de seguridad. También se definirá el plazo del tratamiento y qué hacer con los datos una vez finalizado el tratamiento.

Deber de informar

El responsable del tratamiento debe informar a los interesados acerca de:

  • La identidad del responsable del tratamiento.
  • Las categorías de datos que se van a tratar.
  • La base jurídica y la finalidad de dicho tratamiento.
  • Si los datos se van a ceder a terceros.
  • Si se producirán transferencias internacionales de datos y qué garantías tienen.
  • El plazo de conservación de los datos.
  • Las vías a través de las cuales los interesados pueden ejercer sus derechos de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.

Cabe señalar que, aunque el uso de cookies en el RGPD no se menciona directamente, al recabar estas datos personales, también requiere que se informe sobre ellas, así como aplicar el resto de obligaciones relativas a la protección de datos.

Nuevos derechos de RGPD

Como decíamos, el RGPD introdujo nuevos derechos para los interesados, de manera que a los derechos RGPD, como el derecho de acceso, rectificación y oposición, se suman los derechos de:

  • Supresión: Sustituye al antiguo derecho de cancelación e implica que la persona afectada por el tratamiento puede dirigirse al responsable para solicitar la eliminación de sus datos o el cese del tratamiento.
  • Olvido: Permite a los interesados solicitar a los motores de búsqueda que dejen de indexar aquellos datos que no estén actualizados, que no sean pertinentes o que resulten excesivos.
  • Limitación del tratamiento: Es el derecho a que el interesado solicite que sus datos no se dejen de tratar completamente, pero que dicho tratamiento se realice de forma limitada. Por ejemplo, cuando los datos ya no son necesarios para el tratamiento, pero sí lo son para la formulación o ejercicio de futuras reclamaciones.
  • Portabilidad: Se entiende como el derecho a que las personas que han dado sus datos a un responsable del tratamiento soliciten la transmisión de dichos datos a otros responsables.
  • Oposición al tratamiento automatizado de sus datos, incluida la elaboración de perfiles: Este derecho no podrá ser ejercido cuando el tratamiento esté fundamentado en el consentimiento del usuario o sea necesario para la ejecución de un contrato entre las partes.
Novedades RGPD

Novedades en el RGPD

Análisis de riesgos

Las responsables del tratamiento han de realizar un análisis de riesgos para determinar los riesgos que pudiera suponer para el interesado el tratamiento de sus datos personales, y de esa manera aplicar las medidas técnicas y organizativas pertinentes para garantizar la seguridad de la información, como pudieran ser la seudonimización y la anonimización.

Evaluación de Impacto

Aparte del análisis de riesgos, el reglamento europeo de protección de datos establece que será obligatorio elaborar una evaluación de impacto RGPD cuando la organización vaya a realizar un tratamiento de datos de forma masiva o se traten categorías especiales de datos que puedan suponer un alto riesgo para los derechos o libertades de los interesados.

Registro de actividades de tratamiento

Desde la entrada en vigor del RGPD ya no es necesario comunicar los ficheros a la Agencia Española de Protección de Datos (AEPD), pero sí será obligatorio llevar un registro de las actividades del tratamiento, en el que se incluyan ficheros separados según los tipos o categorías de datos tratados, la finalidad del tratamiento, o las medidas adoptadas para garantizar la seguridad.

Medidas de seguridad y organizativas

Como ya hemos señalado, el responsable del tratamiento debe actuar según el principio de responsabilidad proactiva y aplicar las medidas técnicas y organizativas para garantizar la seguridad de los datos de los interesados. Además, están obligados a notificar a la AEPD cualquier brecha de seguridad que se produzca, en un plazo máximo de 72 horas.

Consentimiento expreso

El RGPD establece que el consentimiento para el tratamiento de datos ha de ser expreso. Este consentimiento debe ser otorgado mediante una acción voluntaria e inequívoca del usuario, por ejemplo, marcando una casilla de verificación. Ya no sirve con el consentimiento tácito o por omisión.

Los responsables del tratamiento tuvieron de plazo para adaptarse completamente al RGPD hasta 2022 (en concreto, hasta el 25 de mayo de ese año), eso implicaba que tenía hasta fecha para no sola aplicar la normativa europea, sino también para volver a obtener el consentimiento RGPD para aquellos tratamientos basados en consentimiento tácitos o implícitos que admitía la derogada LOPD.

Así mismo, el RGPD establece que el consentimiento ha de ser granular, es decir, se debe recabar un consentimiento diferente para cada una de las finalidades del tratamiento.

Cabe señalar que el consentimiento para el tratamiento de datos no será necesario, cuando la legitimidad del tratamiento se ampare en alguna de las bases jurídicas previstas en el artículo 6 del RGPD.

Textos legales en páginas web

Para cumplir el RGPD en una página web se deben incluir una serie de textos legales web, esto es, el aviso legal, política de privacidad y la política de cookies.

El aviso legal informa acerca de la identidad del propietario de la web. La política de privacidad indica cómo se tratan los datos personales en dicha web, las obligaciones del responsable y los derechos del interesado. Por último, la política de cookies indica que cookies instala la web en el navegador del usuario. Las webs que usen cookies deben mostrar un aviso de cookies la primera vez que el usuario ingresa en la página, para que pueda otorgar su consentimiento al uso de dichas cookies.

Para presentar a los interesados tanto la política de cookies como la política de privacidad en determinados supuestos (como en el caso de los formularios web), se admite un enfoque por niveles en el RGPD, es decir, que para no afectar al diseño de la web o su funcionamiento, es posible dar esta información en dos capas informativas, una primera básica y otra segunda completa, de manera que desde la primera capa se pueda llegar a la segunda a través de un enlace.

Delegado de Protección de Datos

El artículo 37 del RGPD señala que será necesario que una organización cuenta con un delegado de protección de datos siempre que se dé alguna de estas circunstancias:

  • El responsable del tratamiento sea una autoridad u organismo público, excepto los tribunales que actúen en ejercicio de su función judicial;
  • Las actividades principales del responsable o del encargado consistan en operaciones que, por su alcance, naturaleza o finalidad, requieran una observación habitual y sistemática de interesados a gran escala.
  • Las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales.

¿Qué países han adoptado la normativa RGPD?

La normativa RGPD se aplica en todos aquellos países que forman parte de la Unión Europea, a los que habría que sumar a Islandia, Noruega y Suiza. Aparte, también se aplica a aquellas empresas que tienen su sede fuera de la UE, pero que dirigen sus actividades a personas que viven dentro de las fronteras de la UE.

Resumen del RGPD

A continuación ofrecemos un resumen del RGPD y sus principales puntos a tener en cuenta:

  • Concienciar al personal de la organización acerca de la importancia de adoptar los cambios propuestos por el RGPD.
  • Actuar según el principio de rendición de cuentas, esto es, que las organizaciones muestren cómo cumplen el RGPD a través de políticas y procedimientos eficaces. Así mismo, se recomienda realizar una auditoría RGPD cada uno o dos años (dependiendo del tamaño de la empresa, su actividad, tratamientos y el volumen de datos que maneje), ya que el informe resultante servirá como prueba del cumplimiento del principio de responsabilidad proactiva.
  • Revisar y actualizar la información de privacidad.
  • Adoptar medidas para el cumplimiento de los derechos que asisten a los interesados, en concreto los de acceso, rectificación, supresión, limitación del tratamiento, portabilidad y oposición.
  • Implementar procesos para que el acceso a los datos personales se realicen en los plazos marcados por la ley.
  • Analizar los datos que se tratan para cumplir con el fundamento jurídico que es la base legal para el tratamiento.
  • Obtener consentimiento expreso para el tratamiento de datos personales.
  • Impulsar sistemas para determinar qué datos pertenecen a menores de edad, y mecanismos para solicitar el consentimiento a padres, tutores o representantes legales.
  • Establecer medidas para evitar y/o notificar brechas de seguridad y violaciones de datos.
  • Abordar la privacidad desde el diseño y por defecto.
  • Nombrar a un Delegado de protección de datos, siempre que la empresa trate datos de forma masiva, o de un riesgo elevado para los derechos y libertades de los individuos.
  • Informar, en el caso de las organizaciones internacionales, a qué autoridad de protección de datos debe someterse.
Resumen reglamento proteccion datos rgpd

Resumen RGPD

¿Necesitas cumplir con el RGPD? Contrata los servicios de un profesional

Grupo Atico34 somos una consultoría RGPD con más de 12 años de experiencia en materia de protección de datos.

Durante todo este tiempo hemos ayudado a miles de organizaciones de todos los tamaños y sectores de actividad a cumplir con el RGPD para empresas y con el RGPD para autónomos.

Nuestro equipo de abogados expertos en protección de datos posee formación y experiencia específica, y una probada reputación en la materia.

Ofrecemos servicios RGPD personalizados y adaptados a las necesidades y circunstancias de cada empresa o negocio.

También brindamos un soporte continuo y atención personalizada a nuestros clientes.

Si quieres contratar el RGPD, ponte en contacto con nosotros, cuéntanos tu caso y pide presupuesto sin compromiso.

tarifas proteccion datos

¿Qué conlleva el incumplimiento del Reglamento Europeo de Protección de Datos?

Incumplir con el esquema del Reglamento de Protección de Datos conlleva consecuencias negativas para cualquier organización, suponiendo para las empresas y profesionales la imposición de cuantiosas multas. Además, también supone una pérdida de reputación ante clientes, proveedores y socios, que puede derivar en pérdidas de confianza e incluso pérdida de beneficios económicos.

Las sanciones RGPD se establecen en función de la gravedad de la infracción, el volumen de interesados y categorías de datos afectadas, la persistencia en el tiempo, la reincidencia y otros factores.

Así, las sanciones puede llegar a:

  • Para infracciones graves: multa de hasta 10 millones de euros (o el 2% de la facturación anual, aplicando la cuantía que resulte más alta).
  • Para infracciones muy graves: multa de hasta 20 millones de euros (o el 4% de la facturación anual, aplicando la cuantía que resulte más alta).

Por lo tanto, no cumplir con el Reglamento o hacerlo de forma insuficiente o inadecuada, puede conducir a la imposición de multas elevadas, por ello, si entre el personal de nuestra organización no contamos con empleados con conocimientos suficientes en la normativa, podemos decir que es obligatorio contratar una empresa de protección de datos, puesto que será la única manera de estar seguros de que cumplimos al cien por cien con nuestras obligaciones RGPD.