Lo fundamental del RGPD

LO FUNDAMENTAL DEL RGPD

RGPD

Índice de contenido

 

¿A quién afecta la nueva normativa?

Derechos reconocidos

Análisis de la situación

El delegado de protección de datos

Responsable y encargado

¿Está obligado a notificar los ficheros a la AEPD?

Información y consentimiento

Comunicación de datos a terceros

El documento de seguridad

La web

 

¿A QUIÉN AFECTA LA NUEVA NORMATIVA?

A toda persona física o jurídica (autónomos y sociedades) que desarrollen una actividad empresarial y traten datos de personas físicas. Lo datos de personas jurídicas (sociedades anónimas, limitadas etc.) no se aplican en esta normativa.

 

DERECHOS RECONOCIDOS

La finalidad principal del RGPD es proteger el derecho fundamental a la protección de datos de carácter personal, pues se considera que la recogida, uso y la comunicación de este tipo de datos pueden suponer un riesgo para este derecho de las personas. Por esta razón la normativa recoge los siguientes derechos:

  • El derecho a que se requiera el previo consentimiento inequívoco del afectado para la recogida y el uso de sus datos personales.
  • El derecho del titular de los datos a ser informado sobre el destino de estos.
  • Derechos de acceso, rectificación, cancelación y oposición.
  • Derecho al olvido, limitación en el tratamiento, portabilidad de los datos.

 

ANÁLISIS DE LA SITUACIÓN

 

En la AEPD podemos comprobar en que situación y grado de cumplimiento estamos en cuanto al RGPD:

https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/herramientas_ayuda/i ndexidesidphp.php

En este enlace tenemos la herramienta Facilita_RGPD  Que no solo nos testea el grado de cumplimiento sino que además nos va a generar todos los documentos relacionados que debemos tener. Es necesario introducir todos los datos que nos va pidiendo el programa.

 

EL DELEGADO DE PROTECCIÓN DE DATOS

Los artículos 37 y 39 del Reglamento europeo regulan la figura del Delegado de Protección de Datos. La obligatoriedad de designación se establece en tres supuestos:

  • Si el tratamiento de los datos corre a cargo de una autoridad u organismo público
  • Si las actividades y operaciones principales del responsable de datos exigen seguimiento regular y sistemático a gran escala
  • Si las actividades y operaciones principales del responsable requieren tratamientos a gran escala de datos personales que tienen que ver con delitos y condenas

RESPONSABLE Y ENCARGADO

Son figuras distintas reguladas en el RGPD:

  • Responsable del tratamiento: Es quien decide sobre el contenido, uso y finalidad de los tratamientos de datos personales.
  • Encargado del tratamiento: Es quien trata datos de carácter personal por cuenta del responsable del tratamiento.
  • Usuarios: son las personas, internas o externas, que tengan acceso a los datos de carácter personal de la empresa.
  • Interesados o afectados: son los titulares de los datos que la empresa gestiona (clientes, trabajadores, usuarios registrados en la web…)

¿ESTÁ OBLIGADO A NOTIFICAR LOS FICHEROS A LA AEPD?

Con el RGPD ya no se debe notificar la creación de los ficheros de datos a la AEPD como si era obligatorio.

Lo que si que hay que hacer es identificar estos ficheros y su tratamiento:

Origen de los datos Categorías de los datos Ficheros o soportes que los contienen Comunicaciones de datos Destrucción de datos
Atención al

cliente, compras,

Web

Clientes y/o proveedores Tipos de datos

Finalidades

Soporte

Ubicación

Identificar a las empresas u organismos a los que comunica los datos Tiempo de conservación y forma de destrucción
Bases de datos de terceros,

comerciales,

Web

Clientes potenciales Tipos de datos

Finalidades Soporte

Ubicación

Identificar a las empresas u organismos a los que comunica los datos Tiempo de conservación y forma de destrucción
Selección de personal

RRHH

Empleados y candidatos Tipos de datos

Finalidades

Soporte

Ubicación

Identificar a las empresas u organismos a los que comunica los datos Tiempo de conservación y forma de destrucción
Web Usuarios web Tipos de datos

Finalidades

Soporte

Ubicación

Identificar a las empresas u organismos a los que comunica los datos Tiempo de conservación y forma de destrucción
Cámaras Imágenes, videos, voz Tipos de datos

Finalidades

Soporte

Ubicación

Identificar a las empresas u organismos a los que comunica los datos Tiempo de conservación y forma de destrucción

 

Aunque ya no es necesario comunicar los ficheros de datos a la AEPD para su inscripción, en algunos casos será necesario que se mantenga un registro de las actividades de tratamiento en el que se contenga la información que establece el RGPD:

  • Si la empresa tiene más de 250 trabajadores
  • Si la empresa realiza un tratamiento de datos que pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos.

INFORMACIÓN Y CONSENTIMIENTO

La obligación de informar corresponde a la empresa si actúa como responsable del tratamiento, tiene varias finalidades:

  • Que el afectado pueda prestar su consentimiento (específico, informado e inequívoco) para que se traten sus datos personales.
  • Que el afectado pueda ejercer los derechos de acceso, rectificación, limitación al tratamiento, supresión, portabilidad y oposición.

Básicamente se debe informar a los interesados de:

  1. De la identidad y la dirección de la empresa
  2. De los datos del DPD (si lo hay)
  3. De la finalidad del tratamiento de datos
  4. De los destinatarios de la información (terceros)
  5. De los plazos y criterios de conservación de la información
  6. De la existencia de decisiones automatizadas
  7. De la previsión de transferencias internacionales de datos
  8. Del derecho a presentar reclamación ante la AEPD
  9. Del carácter obligatorio u opcional de las respuestas a las preguntas que se planteen.
  10. De las consecuencias de la obtención de datos o de la negativa a suministrarlos
  11. De la posibilidad de ejercitar los derechos de acceso, rectificación, limitación del tratamiento, supresión, portabilidad y oposición.

 

COMUNICACIÓN DE DATOS A TERCEROS

No toda comunicación o revelación de datos a un tercero implica una cesión de datos a efectos legales. Cabe distinguir dos supuestos:

  • La cesión de datos propiamente dicha
  • El acceso a datos para la prestación de un servicio.

Habrá una cesión de datos si el tercero que recibe los datos puede aplicarlos a sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento.

EL DOCUMENTO DE SEGURIDAD

El RGPD no exige expresamente que se confeccione un documento de seguridad, aunque es conveniente que se haga.

LA WEB

Si la web incluye alguna de las siguientes situaciones:

  • Un campo en el que se solicita la dirección de correo de los usuarios del sito web (para enviarles boletines, catálogos etc.)
  • Un formulario de contacto que los usuarios tienen que completar para, por ejemplo, enviar consultas
  • Si la web es de compra venta de productos y/o servicios, para lo cual los usuarios tienen que facilitar sus datos personales.

En todos estos casos, se están obteniendo datos personales de los usuarios de la web, por lo que es necesario insertar un aviso legal para dar cumplimiento al deber de información y consentimiento. Es necesario que los usuarios acepten expresamente ese aviso.