¿Qué es?
El RGPD (Reglamento General de Protección de Datos) o GDPR (General Data Protection Regulation), es una nueva ley Europea que se aplica a partir del 25 de Mayo de 2018.
Afecta a todos los organismos y empresas que traten datos personales de personas que están en Europa, independiente del país desde el que opera.
Hablemos un poco de la ley
Consentimiento
El consentimiento debe ser "inequívoco"
El consentimiento de tratamiento de datos es válido si se ha prestado mediante una manifestación del interesado o mediante una clara acción afirmativa, no por omisión, ya que se basan en la inacción.
En algunas situaciones además de inequívoco, ha de ser explícito:
• Tratamiento de datos sensibles.
• Adopción de decisiones automatizadas.
• Transferencias internacionales.
El consentimiento puede ser inequívoco y otorgarse de forma implícita cuando se deduzca de una acción del usuario (por ejemplo, cuando continúa navegando por una web y acepta así el que se utilicen cookies para monitorizar su navegación).
Los datos seguirán siendo legítimos siempre que el consentimiento se hubiera obtenido del modo en que prevé el RGPD, es decir, mediante una manifestación o acción afirmativa.
Transparencia
Se deberán evitar las fórmulas especialmente farragosas y que incorporan remisiones a los textos legales.
Se deberá informar por qué y para qué se obtienen esos datos.
Derechos
Procedimiento para el ejercicio
Se deben facilitar a los usuarios el ejercicio de sus derechos, y los procedimientos y las formas para ello deben ser visibles, accesibles y sencillos.
Se requiere que los responsables posibiliten la presentación de solicitudes por medios electrónicos, especialmente cuando el tratamiento se realiza por estos medios.
El ejercicio de los derechos será gratuito.
El responsable deberá informar al usuario sobre las actuaciones derivadas de su petición en el plazo de un mes (podrá extenderse dos meses más cuando se trate de solicitudes especialmente complejas y deberá notificar esta ampliación dentro del primer mes).
Si el responsable decide no atender una solicitud, deberá informar de ello, motivando su negativa, dentro del plazo de un mes desde su presentación.
Los responsables deberán tomar medidas para verificar la identidad de quienes soliciten acceso y de quienes ejerzan los derechos.
Derecho de acceso
Los responsables podrán atender a este derecho facilitando el acceso remoto a un sistema seguro que ofrezca al interesado un acceso directo a sus datos personales.
Se reconoce el derecho a obtener una copia de los datos personales objeto del tratamiento.
Derecho al olvido
Se debe facilitar un procedimiento para poder ejercer el derecho al borrado de los datos personales.
Es una manifestación de los derechos de cancelación u oposición en el entorno online.
Limitación de tratamiento
Consiste en no aplicar sus datos personales las operaciones de tratamiento utilizadas.
A este derecho se le aplican los mismos plazos y procedimientos que a los restantes derechos previstos en el RGPD.
Portabilidad
El derecho a la portabilidad proporciona al interesado una copia de sus datos la cual debe ofrecerse en un formato estructurado, de uso común y lectura mecánica.
Este derecho sólo puede ejercerse:
• Cuando el tratamiento se efectúe por medios automatizados.
• Cuando el tratamiento se base en el consentimiento o en un contrato.
• Cuando el interesado lo solicita respecto a los datos que haya proporcionado al responsable y que le conciernan, incluidos los datos derivados de la propia actividad del interesado.
Análisis de Riesgo
Todos los responsables deberán realizar una valoración del riesgo de los tratamientos que realicen.
Grandes organizaciones: como regla general, el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes.
Organizaciones de menor tamaño y con tratamientos de poca complejidad: el análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los usuarios.
Protección de datos desde el diseño y por defecto
Los responsables deben tomar medidas y técnicas para integrar en los tratamientos los principios del RGPD.
Los responsables deben adoptar medidas que garanticen que solo se traten los datos necesarios, la extensión del tratamiento, los periodos de conservación y la accesibilidad a los datos.
Medidas de Seguridad
Los responsables y encargados establecerán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado en función de los riesgos detectados en el análisis previo.
Notificación de "Violaciones de seguridad de los datos"
Cuando se produzca una brecha en la seguridad de los datos, el responsable debe notificarla a la autoridad de protección de datos competente, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de los afectados.
La notificación de la quiebra a las autoridades debe producirse sin dilación indebida y, a ser posible, dentro de las 72 horas siguientes a que el responsable tenga constancia de ella.
Los responsables deben documentar todas las violaciones de seguridad.
En los casos en que entrañe un alto riesgo para los derechos o libertades de los usuarios, la notificación a la autoridad de supervisión deberá complementarse con una notificación dirigida a estos últimos.
El objetivo es permitir que puedan tomar medidas para protegerse de sus consecuencias. El propósito es siempre que el usuario afectado pueda reaccionar tan pronto como sea posible.
El RGPD añade a los contenidos de la notificación las recomendaciones sobre las medidas que pueden tomar los interesados para hacer frente a las consecuencias de la brecha.
Evaluación de impactos sobre la protección de datos
Los responsables de tratamiento deberán realizar una Evaluación de Impacto sobre la Protección de Datos.
Cuando el análisis se lleve a cabo sobre los tratamientos iniciados con anterioridad a la fecha de aplicación del RGPD estos presentan alto riesgo para los derechos o libertades de los interesados.
Delegado de protección de datos
La figura del Delegado de Protección de Datos (DPD) será obligatoria en:
• Autoridades y organismos públicos.
• Responsables o encargados que tengan entre sus actividades principales las operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
• Responsables o encargados que tengan entre sus actividades principales el tratamiento a gran escala de datos sensibles.
El DPD ha de ser nombrado atendiendo a sus cualificaciones profesionales y, en particular, a su conocimiento de la legislación y la práctica de la protección de datos.
La designación del DPD y sus datos de contacto deben hacerse públicos por los responsables y encargados y deberán ser comunicados a las autoridades de supervisión competentes.
Tratamientos de datos de menores
La obtención del consentimiento solo será válida a partir de los 16 años, debiendo contar con la autorización de los padres o tutores legales por debajo de esa edad.
El RGPD permite a los estados miembros establecer una edad inferior, siempre que no sea menor de 13 años.
En el caso de España, la LOPD fija la edad a partir de los 14 años con carácter general.
Sanciones
Infracción Leve
Hasta 10.000.000 € o 2% del ejercicio financiero anterior*
• No obtener consentimiento de menores
• No aplicar medidas técnicas y organizativas por defecto
• No disponer del registro de actividades de tratamiento
• No notificar brechas de seguridad
• No realizar la Evaluación de Impacto
• No designar DPD
Infracción Grave o Muy Grave
Hasta 20.000.000 € o 4% del ejercicio financiero anterior*
• No cumplir con los principios del RGPD
• No cumplir con los derechos de los Interesados
• No cumplir con los requisitos para transferencia internacional de datos
• No cumplir con la resolución de la Autoridad de Control
* Aplica la mayor cuantía
Listado de Cumplimiento
La AEPD ha publicado un listado de cumplimiento sobre el RGPD, para descargarlo haz click aquí.
