¿Qué es el RGPD? Descubre todo lo que tienes que saber

El Reglamento General de Protección de Datos o RGPD ¿qué es? ¿Aún no te queda claro que es el Reglamento General de Protección de Datos ? ¿Acabas de abrir tu propia empresa? Puede que hayas oído hablar del RGPD. Tal vez incluso sepas que este texto está relacionado con una ley de datos personales.

Para ayudarte a verlo más claramente, te ofrecemos un artículo con todo lo que tienes que saber de esta normativa.

El Reglamento General de Protección de Datos (RGPD) es el marco europeo para el procesamiento y el tratamiento de datos personales.

Las empresas europeas o que operan con datos de ciudadanos de la Unión Europea se basan en esta normativa para proporcionar servicios y productos. El texto, llamado GDPR en inglés, entró en vigor el 25 de mayo de 2018.

Antes de saber cómo afecta a nuestra empresa tenemos que tener claro a qué nos referimos con dato personal. Algunos ejemplos de datos personales son:

• Sexo.
• Edad.
• Número de teléfono.
• Dirección de correo electrónico.
• Salario o remuneración.
• Fotografía de la cara.
• Dirección postal.
• Estado civil.
• Nombre de usuario y contraseña.
• Número de tarjeta bancaria.
• Número de seguro social.
• Uso de anteojos (y el grado de corrección).
• Cualquier característica física.
• Cualquier característica psicológica, etc.

Pero, esta regulación también afecta a la información confidencial recopilada, por ejemplo, para monitorear o gestionar un lugar abierto al público:

• Opinión política.
• Actividad sindical.
• Creencia religiosa (o agnóstica).
• Preferencias sexuales.
• Información médica.
• Análisis biométricos.
• Condenas penales.
• Datos relativos a un menor.

Cualquier recopilación de información destinada a realizar los perfiles de los consumidores también debe ser protegida y estar dentro del marco de transparencia impuesta por la ley:

• Datos recopilados en internet a través de cookies.
• Análisis del comportamiento del usuario identificado en el sitio web (datos de comportamiento).
• Hábitos de consumo en línea y fuera de línea.
• Práctica de retargeting publicitario.
• Metadatos relacionados con un individuo.

Ya sea que se recopilen y utilicen a través de una plataforma en línea segura, en Internet o en cualquier otro lugar, todos los datos personales deben beneficiarse de las garantías de protección establecidas por la normativa europea:

Los principios relacionados con la protección de datos deben aplicarse a cualquier información relacionada con una persona física identificada o identificable.

Fuente: Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo sobre el RGPD publicada en el Diario Oficial de la Unión Europea el 27 de abril de 2016.

©Blog Coregistros

Tu organización debe estar conforme al nuevo reglamento si en el ejercicio de su actividad utiliza al menos una de las siguientes palabras: prospecto, cliente, empleado, colega, paciente, contribuyente, ciudadano, usuario, utilizador, miembro, donante.

Otra forma de saberlo es preguntarse si gestionas los datos desde un software CRM, una plataforma en línea, un archivo o si recopilas, procesas y utilizas datos privados de ciudadanos europeos. Como el objetivo del RGPD es proteger al ciudadano, ¡hay un 99.9% de posibilidades de que tu empresa se vea afectada!

El Reglamento Europeo para la protección de datos se aplica a las siguientes empresas y organizaciones:

• Pymes,
• Autoridades locales, administraciones.
• Empresas (gerentes de recursos humanos, responsables del procesamiento de datos de clientes).
• Asociaciones (profesionales, políticas, religiosas, etc.).
• Hospitales y profesionales de la medicina.
• El responsable del alojamiento de un sitio web.
• Empresas de backup en la nube.
• Servicios de almacenamiento de datos.
• Editores de software o de sistemas informáticos instalados en empresas.

El derecho a disponer de los datos personales incluye que la empresa debe ofrecer las siguientes opciones:

• La portabilidad de sus datos: un ciudadano de la Unión Europea debe poder transferir sus datos a un servicio para comunicarlos a otro.
• La transparencia en el uso de sus datos: los ciudadanos deben ser informados sobre el uso que se hace de sus datos. Debe poder acceder y modificar sus datos como le plazca.
• Los menores de 16 años están protegidos: en Internet, cualquier plataforma debe obtener el consentimiento de un padre antes de que su hijo pueda registrarse.
• El derecho a ser olvidado: de acuerdo con el principio de respeto a la vida privada, los ciudadanos pueden exigir la eliminación total de una página web en los resultados de un motor de búsqueda (desindexación de página).

Esta nueva regulación responsabiliza a la empresa: se convierte en la responsable de los datos y debe proporcionar pruebas del cumplimiento de la documentación. Este principio se conoce como Accountability.

Estas son las principales obligaciones que deben cumplirse y documentarse para cumplir con el RGPD:

• Mantener un registro del tratamiento de los datos que comprenda: los responsables, la naturaleza de los datos, los propósitos, una clasificación del procesamiento, la duración del almacenamiento, el flujo y la transferencia de datos geográficos para establecer la trazabilidad de los datos.
• Realizar un análisis relativo a la protección de datos (PIA - Privacy Impact Assessment): este estudio integral permite identificar los riesgos de pérdida o fuga de datos, sus causas, enumerar los medios técnicos y las soluciones necesarias para la protección y la seguridad.
• Implementar procedimientos internos: educa a los empleados y establece las mejores prácticas, implementa todos los procesos obligatorios que permitan al propietario de los datos ejercer sus derechos (rectificación, portabilidad, eliminación, etc.).
• Implementar las tecnologías que garantizan la confidencialidad y la seguridad de los datos: se requiere detallar por escrito todos los procedimientos, y se recomienda encarecidamente integrar un alto nivel de seguridad y confidencialidad al diseñar un procesamiento y tecnología vinculada, este enfoque se llama Privacy by Design (protección de la privacidad desde el diseño).
• Supervisar la transferencia de datos fuera de la Unión Europea: verifica los contratos con subcontratistas y proveedores, asegúrate de que cumplan con las normas RGPD para evitar cualquier riesgo.
• Conservar la evidencia del consentimiento del consumidor o usuario.
• Detallar los procedimientos establecidos en caso de violación de datos: debe notificar al interesado lo antes posible e informar a la autoridad supervisora ​​dentro de las 72 horas.

Esta normativa ofrece al ciudadano una autoridad de protección en caso de encontrar anomalías en la gestión de sus datos personales. La autoridad de control ​​en España es la AEPD o Agencia Española para la protección de datos. Este organismo emite certificaciones, lleva a cabo controles e impone sanciones a las empresas en caso de incumplimiento de la normativa.

Estos son los principales actores en el cumplimiento del RGPD:

• La empresa que utiliza datos personales: los responsables y encargados del procesamiento deben adoptar un código de conducta transparente, implementar procedimientos conformes y proporcionar evidencia documental en caso de una inspección.
• El DPO (Data Protection Officer) o delegado para la protección de datos: este experto trabaja para la empresa, su misión es garantizar la mejor protección de datos. Su misión es apoyar a la empresa para que cumpla con el RGPD.
• Subcontratistas: asume parte de la responsabilidad tan pronto como su actividad está relacionada con el procesamiento de datos; tanto si la sede está en Europa como en otro lugar del mundo.

La Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo sobre el RGPD se publicó en el Diario Oficial de la Unión Europea el 27 de abril de 2016, y entró en vigor a partir de 2018. Los artículos desarrollados en la ley orgánica específica conceptos importantes:

• El artículo 4 - Principios relacionados con el procesamiento de datos personales: enfatiza en particular los aspectos legales del procesamiento, la relevancia de los datos recopilados en relación con el propósito del uso, así como una conservación razonable de información a lo largo del tiempo (12 meses).
• El artículo 28 - Consulta previa de la autoridad supervisora: indica que el responsable de los datos debe proporcionar una evaluación de impacto a la autoridad supervisora, previa solicitud. Esta autoridad evalúa las condiciones de protección de datos.
• El artículo 32 - Nombramiento del Delegado de Protección de Datos: obliga a cualquier empresa a tener un oficial de protección de datos (además del responsable de los datos) con experiencia en asuntos técnicos y legales, capaz de rendir cuenta a la autoridad supervisora ​​de la que depende.
• El artículo 37 - Transferencias con las garantías apropiadas: subraya que la transferencia de datos personales a un país fuera de la Unión Europea somete al controlador a informar a la autoridad supervisora ​​y a poner a su disposición documentación que especifique las "garantías apropiadas" en materia de protección de datos.

Sin duda alguna, las multas son elevadas, sin embargo, no debemos olvidar los daños y perjuicios que cada ciudadano puede reclamar: además de la pérdida financiera, las repercusiones en la imagen de la empresa pueden destruir su reputación y afectar su actividad como consecuencia de la pérdida de confianza del cliente.

La multa puede llegar a alcanzar los 10 millones de euros: si la autoridad supervisora ​​determina que la empresa no cumple con las obligaciones como la evaluación de impacto (EIPD) o mantener un registro del tratamiento, esta estará sujeta a una multa equivalente al 2% de la facturación anual a nivel mundial.

La multa puede alcanzar hasta los 20 millones de euros: si la autoridad supervisora ​​determina que la empresa no cumple con sus obligaciones según el principio de consentimiento y no respeta los derechos de las personas, la multa puede alcanzar el 4% de la facturación global anual.

Aunque pueda parecer costoso cumplir con esta regulación, los beneficios del RGPD para una empresa u organización son múltiples desde numerosas perspectivas. La exigencia de seguridad nos hará más confiables para los clientes, creando un clima muy propicio para los negocios. Otro aspecto a tener en cuenta es que esta normativa estandariza las actividades de tratamiento en toda la Unión Europea. Y, especialmente si te dedicas al Marketing, ten en cuenta que las acciones tendrán datos más seguros y fiables, lo que se traducirá en mejores campañas.

Articulo modificado, publicado inicialmente en febrero 2020