Información relativa al cumplimiento de la Nueva Normativa sobre Protección de Datos de Carácter Personal que será aplicable a partir del 25 de mayo 2018 (RGPD)

1. ¿QUÉ ES EL RGPD?

Este nuevo Reglamento establece normas de protección de datos coherentes y uniformes en toda la Unión Europea (UE) y se aplica a las empresas y personas jurídicas que tienen su sede en algún país de la UE, así como a las empresas internacionales que llevan a cabo el tratamiento de datos de personas que, no sólo residan, sino que se encuentren en la UE (según corrección de errores publicada en el DOUE).

El RGPD establece estándares más rigurosos e impone multas considerables. Entre algunas de sus novedades, se establecen normas más estrictas de consentimiento, se amplían los derechos de las personas en relación con el acceso, la portabilidad y la conservación. Asimismo, se establecen medidas de cumplimiento importantes a través de las cuales el órgano de control de una empresa puede aplicar multas por valor máximo de hasta 20.000.000 € o tratándose de una empresa, de una cuantía equivalente al 4 % del volumen de negocio total anual global del ejercicio financiero anterior, en caso de cometerse ciertas infracciones, y siempre optándose por la opción de mayor cuantía.

2. DERECHOS DE LOS INTERESADOS:

Con el objetivo de asegurar la privacidad y protección de los datos personales, el RGPD otorga a los interesados derechos que ya existían y reconoce algunos nuevos.

De un modo sencillo, los derechos que los interesados pueden ejercitar son los siguientes:

  • Derecho de información: supone que cualquier particular puede conocer en cualquier momento cuales son los datos que se manejan o almacenan sobre él, las razones o finalidades que motivan su obtención, así como su posible cesión o transferencia de datos a terceros.
  • Derecho de acceso: posibilidad de que se le facilite una copia de todos los datos que se manejan o almacenan sobre su persona.
  • Derecho de rectificación: en caso de que el interesado detecte que sus datos no están actualizados o son incorrectos, puede solicitar que se efectúen los cambios oportunos y necesarios para subsanarlo.
  • Derecho de supresión/cancelación o “derecho al olvido”: en cualquier momento el interesado puede solicitar la cancelación/borrado de todos los datos que son tratados de su persona, eliminando de las bases de datos toda su información personal. En caso de que la supresión no fuese posible técnicamente, se deberá aplicar la seudonimización o bien la anonimización de los datos. Igualmente, si la supresión no fuese posible por motivos legales (ej. conservación de facturas durante los plazos legales), se procederá al bloqueo de dichos datos y al borrado de los que no sean imprescindibles. De cualquier modo, se informará debidamente al interesado en respuesta a su solicitud de cualquiera de los supuestos en que nos encontremos.
  • Derecho de oposición: el interesado puede oponerse a uno o varios tratamientos de sus datos en cualquier momento y sin ningún tipo de justificación (por ej. cancelar en envío de emails informativos…).
  • Derecho a retirar el consentimiento: en la misma línea que el anterior derecho, puede retirar el consentimiento otorgado previamente al tratamiento de sus datos con una determinada finalidad, sin que ello suponga, a priori, una limitación en el uso de los productos o servicios. En el caso de envío de comunicaciones comerciales, el usuario o cliente podrá revocar el consentimiento a través de correo electrónico habilitado al efecto o a través del enlace incluido en cada comunicación a tal fin.
  • Derecho a la portabilidad de los datos: el interesado puede solicitar que se le envíe una copia de los datos personales que le incumban en un formato estructurado de uso común y lectura mecánica o bien elegir la posibilidad de transferir sus datos personales a un tercero.
  • Derecho a no ser objeto de decisiones individuales automatizadas (incluida la elaboración de perfiles): todo interesado tendrá derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en él o le afecte significativamente de modo similar.
3. BASE JURÍDICA Y LEGITIMACIÓN:

En base al RGPD, para el tratamiento de datos de carácter personal es necesario fundamentar adecuadamente y de modo que quede constancia cual es la base jurídica que legitima el tratamiento de los mismos. Los fundamentos jurídicos más importantes son:

  1. Cumplimiento contractual: los datos procesados deben ser necesarios y pertinentes para la ejecución del servicio o producto que se ha contratado y por tanto deberán estar claramente definidos en el contrato.
  2. Consentimiento:
    • Se requiere que el consentimiento sea específico, informado, inequívoco y expresado libremente mediante un acto afirmativo y claro (no se permiten casillas pre-marcadas).
    • Se debe informar de la opción a negar el consentimiento.
    • Se requiere disponer de la capacidad para contratar (edad legal oportuna, capacidad de obrar…) o en caso contrario deberá ser el progenitor o tutor legal quien deba otorgar el consentimiento.
    • En caso de tratamiento de datos sensibles o especiales (categorías especiales de datos) se requerirá además un consentimiento explícito
  3. Intereses legítimos: se debe poseer un interés legítimo que no entre en colisión con los derechos o libertades de los interesados.
4. PLAZOS DE CONSERVACIÓN:

El plazo de conservación de los datos personales constituye uno de los principios básicos del nuevo RGPD, esto es, la limitación del plazo de conservación, por lo que los datos deberán conservarse no más tiempo del necesario conforme a los fines del tratamiento.

5. MEDIDAS DE SEGURIDAD QUE SE DEBEN IMPLEMENTAR:

El responsable y el encargado del tratamiento deberán implementar las medidas técnicas y organizativas adecuadas para el cumplimiento eficaz del deber de guarda y custodia de los datos así como su obligación de secreto.

Dichas medidas deberán garantizar la alteración, pérdida, tratamiento o acceso no autorizado, de acuerdo con lo establecido por normativa aplicable, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos (ya sean riesgos naturales, industriales, riesgos no intencionados o riesgos intencionados que provengan de la acción humana).

Con esta misma finalidad, se mantiene de modo continuado la supervisión, control y evaluación de todos los procesos para asegurar el respeto a la privacidad y seguridad de la información, según los estándares internacionales.