Reglamento general de protección de datos (RGPD)

El Reglamento General de Protección de Datos (RGPD) es una normativa europea sobre protección de datos personales que afecta, entre otros, a pymes y autónomos.

Es de obligado cumplimiento y ya está en vigor, pero aún estamos a tiempo para no ser sancionados.

Desde el 25 de mayo de 2018 es de obligado cumplimiento el Reglamento General de Protección de Datos (RGPD). Una legislación europea que entró en vigor el pasado 25 de mayo de 2016 pero que ha dado estos 2 años de plazo para que todos los obligados a su normativa se adaptaran a su articulado.

El RGPD recoge el derecho a la protección de datos personales y control sobre el uso que personas físicas, jurídicas y organismos públicos hacen de los mismos.

Todas las empresas, sociedades, autónomos, comunidades, asociaciones y administraciones públicas de los Estados miembros, están obligados a su cumplimiento.

El RGPD se aplica en todo el territorio de la Unión Europea (UE), el Reino Unido (tras su salida del espacio comunitario en 2019) y todas las empresas que, siendo de fuera, ofrezcan bienes o servicios a personas o controlen su comportamiento dentro de la UE.

En España existe una normativa propia sobre Protección de Datos de Carácter Personal, la Ley Orgánica 15/1999, de 13 de diciembre, conocida por LOPD. En su articulado se establecen medidas para proteger y garantizar el derecho a la intimidad de quienes nos facilitan sus datos a diario.

La nueva normativa europea, RGPD, lo que ha hecho es aglutinar y unificar las legislaciones estatales de todos los países miembro de la Unión Europea para que exista una norma global y unificadora sobre el tema.

El siguiente paso es que los propios estados legislen, especificando y adaptando sus leyes a este RGPD. En España ya hay un proyecto de Ley para adaptarse a esta normativa europea, que  derogará la actual LOPD y ampliará el RGPD.

El RGPD se articula en base a unos principios básicos:

  • Hay que conseguir la información de forma clara y sencilla para el que nos proporcione los datos.
  • Los datos, además tienen que utilizarse para el fin previamente establecido y mantenerse actualizados y almacenados garantizando su seguridad.
  • El tratamiento de los datos siempre tiene que ser lícito y por eso tiene que cumplir con determinadas condiciones como tener el consentimiento expreso del interesado para poder utilizarlos.
  • Los datos no pueden salir del Espacio Económico Europeo y si van a salir, tienen que observarse en el envío las garantías suficientes para la correcta protección de los mismos.

El RGPD exige una responsabilidad proactiva. Es decir, que la normativa la disposición de adaptarte de manera garantizable a las reglas, derechos y garantías que ordena en su articulado.

Su efecto sancionador solo se pone en marcha cuando sucede la infracción.

Hay que designar un Delegado de Protección de Datos (DPD) si tu negocio o empresa tiene como objetivo el tratamiento de datos sensibles (por la propia naturaleza de tu actividad o para poder desarrollar la misma) o si tratas datos a gran escala.

Hay que elaborar un Registro de Actividades de Tratamiento teniendo en cuenta para qué van a ser utilizados los datos.

Hay que Realizar un Análisis de Riesgos con el que estudiar el nivel de peligrosidad que hay entorno al tratamiento y almacenamiento que hace la empresa con los datos personales que maneja (qué tipo de datos maneja, en qué contexto se mueven y los elementos más relevantes que intervienen en ellos).

Hay que hacer una Evaluación de Impacto mediante la que analizar las medidas de salvaguarda que tiene la empresa o el autónomo implementadas para salvaguardar los datos en caso de sufrir una fuga de información y/o cometer una infracción.

En nuestro país hay una tipología de infracciones, entre infracciones leves, graves o muy graves, en el caso de la norma europea solo se indica que habrá que atender al caso particular y estudiar, para establecer la sanción.

Las circunstancias que influyen son la naturaleza, gravedad y duración de la infracción, la intencionalidad o negligencia, las medidas adoptadas por el responsable del tratamiento de los datos para minimizar los daños. Así como, el grado de responsabilidad del responsable del tratamiento de los datos en la infracción, el grado de cooperación con la autoridad de control o la categoría de los datos de carácter personal afectados.

Las infracciones que se contemplan pueden llegar a alcanzar entre los 10 y 20 millones de euros, o entre el 2 y el 4% del volumen de negocio anual global de la actividad del autónomo o empresa.

Esta normativa europea no solo contempla obligaciones, sino que también regula los derechos que puede exigir cada empresa o autónomo a otros autónomos y pymes con respecto a sus datos personales:

Derecho a conocer: para qué van a ser usados tus datos y hasta cuándo, y de qué modo, se van a conservar.

  • Derechos a solicitar al responsable la suspensión del tratamiento de tus datos, la limitación de su uso, la defensa de estos o su portabilidad a otro proveedor.ç
  • Derecho a rectificar tus datos cuando sean inexactos o estén incompletos.
  • Derecho a suprimir tus datos por el tratamiento ilícito de los mismos, porque desaparezca la finalidad para la que fueron recabados o cuando revoques tu consentimiento.
  • Derecho a la oposición al tratamiento de tus datos por motivos personales o cuando el objetivo del tratamiento sea el marketing directo.
  • Además, por primera vez se regula el derecho al olvido con el que se podrá eliminar el rastro por completo, o parte de él, de Internet.