El RGPD (Reglamento General de Protección de Datos), también conocido por sus siglas inglesas GDPR, es la nueva norma europea de protección de datos de personas físicas, que sustituye a la anterior directiva 95/46/CE. En España no deroga la LOPD (Ley 15/1999), dado que si no hay contradicción entre la normativa del RGPD y la recogida en dicha ley, seguirá vigente, pero sí claramente la supera y amplía, al incluir nuevos principios, derechos, obligaciones y deberes. El Reglamento data del 27 de Abril de 2016, pero su cumplimiento nos será exigible hasta el 25 de Mayo de 2018. Se amplían las obligaciones de las empresas, autónomos y administraciones públicas. Aunque el ámbito de aplicación es la Unión Europea, dado que se trata de proteger los derechos de la personas físicas de sus estados miembros, también afecta a las empresas no radicadas en la UE, pero que ofrezcan sus productos o servicios a usuarios de países miembros, o bien que reciban datos personales de personas físicas de la UE. Un apartado importante es que el RGPD ha establecido sanciones muy severas para las faltas “muy graves”, como explica este cuadro, llegando a los 20 millones o el 4% de la facturación de la empresa (lo que sea mayor):
Los Principios del RGPD
El RGPD introduce los siguientes principios:
- Principio de Transparencia :“Los datos serán tratados de manera lícita, leal, transparente en relación con el interesado”
- Principio de limitación de la finalidad: “los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines”
- Principio de limitación de los datos: “Los datos personales serán adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados”
De ahí que siempre se ha de precisar, al solicitar el consentimiento para obtener datos personales, cuál es la finalidad de obtenerlos, así como el responsable del fichero y las limitaciones de los usos que se van a darles.
Los Derechos protegidos por el RGPD
Con la LOPD ya existían los 4 derechos denominados ARCO: Acceso, Rectificación, Cancelación y Oposición El RGPD incluye el derecho a la transparencia de la información, el de supresión u olvido, el de limitación y el de portabilidad. Como se deduce claramente del punto anterior lo que son el derecho a la transparencia de la información y el de limitación, vamos a centrarnos en los otros dos:
- El derecho al olvido o supresión obliga a los responsables de los datos a suprimir toda la información relacionada con la persona que ha solicitado ejercerlo, así como de los datos de aquellos terceros a los que se los ha suministrado. Además, el interesado puede solicitar la desaparición de su datos de búsquedas en Internet (este derecho se ejerce frente a los buscadores, por tanto). El objetivo es eliminar tanto de bases de datos de empresas como de buscadores cualquier rastro de la persona que ejerce el derecho.
- El derecho a la portabilidad permite la posibilidad de transmitir los datos de un responsable a otro, de forma que el interesado tendrá derecho a que los datos personales ser transmitan directamente cuando sea técnicamente posible.
El RGPD establece que se aplicarán medidas técnicas y organizativas apropiadas para garantizar que los datos personales obtenidos se obtienen de acuerdo a los principios anteriores y salvaguardan los derechos enunciados. Para esto se establecen medidas como:
- El Registro de Actividades de tratamiento de datos.
- El Delegado de Protección de Datos (solo para determinadas empresas).
- Las Auditorías de Seguridad Informática.
- los Análisis de Riesgo.
- las Evaluaciones de Impacto.
Si quieres saber en qué consisten todas estas herramientas, y qué nuevas obligaciones tienes como empresa, no dudes a inscribirte en nuestros Webinar que impartiremos on-line sobre el nuevo RGPD.