¿Afecta el RGPD a mi negocio?
SÍ. El Reglamento General de Protección de Datos establece que toda empresa o microempresa ha de realizar un tratamiento de datos personales de tal forma que se garantice un nivel de protección adecuado para las personas físicas cuyos datos están siendo tratados. Esto significa que has de cumplir con todo lo que se establece en el RGPD, desde el momento PREVIO al tratamiento de cualquier dato que se considere personal.
¿Qué se considera tratamiento de datos personales?
Cualquier actividad en la que estén presentes datos de carácter personal constituirá un tratamiento de datos, ya se realice de manera manual o automatizada, total o parcialmente, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
El simple hecho de recabar un teléfono, o un nombre + apellidos, o cualquier otro dato similar de caracter personal, ya se considera un tratamiento de datos de caracter personal. Llamar a un cliente, o a un potencial cliente que te ha facilitado sus datos, entre otros escenarios, también se considera tratamiento de datos personales.
¿Qué es un «dato de caracter personal»?
Los datos de carácter personal son cualquier información referente a personas físicas identificadas o identificables, pudiendo ser identificable toda persona cuya identidad pueda determinarse mediante un identificador (por ejemplo, un nombre, un número de identificación, datos de localización o un identificador en línea) o mediante el uso de uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de las personas.
Dependiendo del tipo de datos que se traten, éstos pueden ser, por ejemplo, identificativos (nombre, apellidos, número del documento nacional de identidad), referidos a tu situación laboral, financiera o de salud.
¿Qué son los «datos sensibles» o «datos especialmente protegidos»?
También conocidos como «categorías especiales de datos», se engloban en esta categoría los siguientes tipos de datos:
- Datos de salud o sanidad
- Datos que revelen tu origen étnico o racial
- Datos de opiniones políticas o convicciones religiosas
- Datos de afiliación sindical
- Datos genéticos o biométricos
- Datos de vida sexual y orientación sexual
- Datos de infracciones penales o administrativas
Se encuentran los que puedan revelar tu origen étnico o racial, opiniones políticas, convicciones religiosas o fisiológicas, o afiliación sindical, así como el tratamiento de tus datos genéticos, biométricos (si te identificasen de manera unívoca), así como los relativos a tu vida sexual u orientación sexual.
¿Qué es la figura del «Responsable del tratamiento»?
El «Responsable del tratamiento» (o responsable) es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento de los datos personales. Por decirlo de otra forma, es la entidad que decide qué se hará o dejará de hacer con los datos personales, así como quien debe velar por la seguridad, confidencialidad e integridad de los datos ,así como un correcto tratamiento de los mismos.
¿Quién es el «Encargado del tratamiento»?
Es la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos por cuenta delresponsable del tratamiento. Esto normalmente se hace bajo una prestación de servicios que el Responsable contrata al Encargado, para hacer un tratamiento concreto y determinado de los datos personales que el Responsable posee.
¿Cómo se realiza ahora la inscripción de ficheros?
Desde el 25 de mayo de 2018, desaparece la obligación de inscribir los ficheros en la AEPD. Ahora lo que cada Responsable y Encargado deben realizar es un Registro de Actividades de Tratamiento (RAT) que sustituye a la antigua inscripción, donde se debe llevar -entre otras cosas- un registro de todas los tratamientos que se realizan.
En el RAT, debe indicarse como mínimo:
- Identificación y datos de contacto del Responsable
- Finalidades del tratamiento de datos personales
- Descripción de las categorías de los interesados
- Descripción de las categorías de los datos personales
- Categorías de los destinatarios a los que se podrían comunicar los datos
- Transferencias internacionales que pudieran llegar a realizarse
- Plazos previstos de supresión de las distintas categorías de datos
- Descripción de las medidas técnicas y organizativas de seguridad
¿Qué es la «Responsabilidad proactiva»?
El RGPD describe este principio como la necesidad de que el responsable del tratamiento aplique medidas técnicas y organizativas apropiadas a fin de garantizar y poder demostrar que el tratamiento es conforme con el Reglamento.
En términos prácticos, este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo.
A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión.
En síntesis, este principio exige una actitud consciente, diligente y proactiva por parte de las organizaciones frente a todos los tratamientos de datos personales que lleven a cabo.
¿Está mi sector obligado a tener un «Delegado de Protección de Datos»?
Los sectores obligados a tener un DPD (Delegado de Protección de Datos) designado, son los siguientes:
- Colegios profesionales u oficiales
- Centros docentes que ofrezcan enseñanza reglada
- Prestadores de servicios de comunicaciones electrónicas
- Prestadores de servicios de sociedad de la información
- Entidades crediticias (bancos, cajas de ahorro, etc.)
- Empresas de fomento de financiación empresarial
- Entidades aseguradoras
- Empresas de servicios de inversión bursátil y/o fondos de ahorro
- Distribuidoras y comercializadoras de electricidad
- Organizaciones que evalúan solvencia patrimonial y crédito
- Empesas de publicidad y/o prospección comercial
- Centros sanitarios (públicos y privados) que guarden historiales de pacientes
- Emisores de informes comerciales
- Operadores de juego electrónico (apuestas online, casino en línea, etc.)
- Empresas de seguridad privada
Fuera de estos sectores, tu actividad NO está obligada a designar un DPD, por lo que desconfía de las consultoras que te indican que es necesario, o que tratan de «vendértelo a toda costa».
Ahora bien, aun sin estar obligado, puedes optar por tener un DPD de manera voluntaria si consideras que tu tratamiento de datos como Responsable va a ser complicado, o bien quieres tener una primera línea de defensa ante posibles reclamaciones de interesados o de la AEPD. Si es tu caso, podemos ayudarte, contáctanos y te lo explicaremos todo con más detalle.
¿En qué consiste el «Principio de transparencia e información»?
Supone que debes informar a los afectados cuyos datos vas a recoger, entre otros muchos puntos y en el mismo momento de la recogida de los datos, respecto a las condiciones de ese tratamiento, así como de sus derechos sobre sus datos. Dicha información debe facilitarse de forma concisa, fácilmente accesible y con un lenguaje sencillo.
En el caso de que los datos no se obtengan directamente del interesado, se les debe informar igualmente antes de un plazo razonable y antes de cualquier comunicación hacia ellos.
En cualquier caso, siempre deberás poder demostrar que has informado adecuadamente a los interesados/afectados del tratamiento de sus datos, exponiéndote a duras sanciones si no es posible acreditarlo.
¿Cómo debe solicitarse el consentimiento previo?
Desde el 25 de mayo de 2019, el RGPD requiere que el consentimiento sea inequívoco, lo cual supone que el interesado debe realizar una acción manifiestamente afirmativa. Si bien en la antigua LOPD de 1999 ya se indicaba que era necesario recabar consentimiento de los interesados, ahora con el RGPD se aplican posibles multas a quien no lo haga de manera correcta y sea capaz de demostrar que ha recabado dicho consentimiento.
En algunas situaciones, el consentimiento además de ser inequívoco, ha de ser explícito, por lo que hay que revisar detenidamente cada una de las fórmulas que utilizas para recabar datos y por tanto, consentimientos.
¿Qué es la «Evaluación de Impacto» en Protección de Datos?
La Evaluación de Impacto en Protección de Datos (EIPD) es una herramienta de carácter preventivo que debe realizar el responsable del tratamiento con el objetivo de garantizar los derechos y libertades de las personas sobre las que va a tratar sus datos personales. No siempre es obligatorio realizar una EIPD, por lo que hay que analizar cada caso de manera individual.
Una vez realicemos el Análisis de Riesgos, en caso de que no sea necesario realizar un EIPD, será imprescindible contar con un informe que recoja todos los criterios analizados y la justificación correspondiente de la no necesidad de una EIPD.
Un informe de no necesidad de EIPD inadecuado y un Análisis de Riesgos o una EIPD mal realizados, pueden reflejar una situación que no coincida con la realidad y derivar en futuros problemas tanto con los interesados como con la Agencia Española de Protección de Datos. Nosotros podemos ayudarte en la realización de todas las tareas y auditorías necesarias para cumplir con el reglamento, contáctanos.
¿No sabes por dónde empezar con el RGPD?
No te agobies, contáctanos y nos encargaremos de que todo sea sencillo para ti.