25 Preguntas y respuestas sobre el RGPD · Reglamento General de Protección de Datos

Preguntas sobre el RGPD

25 Preguntas y respuestas sobre el RGPD · Reglamento General de Protección de Datos


RGPD

1- ¿Qué novedades introduce el RGPD?

El RGPD establece un catálogo de las medidas que los responsables, y en ocasiones los encargados, deben aplicar para garantizar que los tratamientos son conformes al citado RGPD, así como que están en condiciones de demostrarlo. Estas medidas de responsabilidad proactiva son las siguientes:

  •  Análisis de riesgo.
  •  Registro de actividades del tratamiento.
  •  Protección de datos desde el diseño y por defecto.
  •  Adopción de medidas de seguridad.
  •  Notificaciones de “violaciones de seguridad de los datos”
  •  Evaluaciones de impacto sobre la protección de datos.
  •  Nombramiento del Delegado de Protección de Datos.
2- Con el RGPD ¿Sigue vigente la LOPD y su Reglamento de desarrollo?

A partir del pasado 25 de mayo de 2018, desaparece la obligación de inscribir ficheros, tanto de responsables públicos o privados, en el Registro de Ficheros de la Agencia Española de Protección de Datos (AEPD) o registro de la autoridad autonómica competente. Es decir, con el RGPD desaparece la obligación de inscribir ficheros en la Agencia Española de Protección de Datos.

3- ¿Supone una mayor carga de obligaciones para las empresas?

El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.

4- ¿Cuáles son las consecuencias de infringir el RGPD?

Las empresas podrían recibir una sanción de hasta el 4 % de su volumen de negocio anual en todo el mundo o de 20 millones de euros (la que sea de mayor cuantía). Cabe destacar que es posible infringir el RGPD sin que exista pérdida de datos en sí.

5- ¿A qué empresas u organizaciones se aplica?

El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.

6- Según el RGPD ¿Cómo debe solicitarse el consentimiento de los interesados para tratar sus datos personales?

El RGPD requiere que el consentimiento sea “inequívoco”, lo que supone que se preste mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que todavía permite la normativa española de protección de datos. Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet. El consentimiento en el marco del RGPD se caracteriza por lo siguiente:

  •  Puede ser para uno o varios fines.
  •  Debe ser prestado de forma libre.
  •  Revocable.
  •  El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
  •  Utilizar un lenguaje claro y sencillo

Por otra parte, también debe ser tenido en cuenta lo siguiente: Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección de datos del resto de declaraciones.

7- Ya cumplo la LOPD. ¿Debo hacer algo?

Probablemente sí. El RGPD deja sin efecto toda la legislación actual de protección de datos de los Estados miembros de la UE (en el caso de España, la LOPD). Los requisitos del RGPD van mucho más allá de la ley vigente de protección de datos, por lo que es muy poco probable que una empresa ya los cumpla.


Adecuación

8- ¿Qué actuaciones hay que realizar para adecuarse al RPGD?

Designar al delegado de protección de datos si es obligatorio o si se asume voluntariamente.

Elaborar el registro de actividades de tratamiento. – Analizar las bases jurídicas de los tratamientos.

Efectuar un análisis de riesgos.

Revisar las medidas de seguridad en función del análisis de riesgos realizado.

Establecer mecanismos y procedimientos de gestión de quiebras de seguridad.

Llevar a cabo, cuando sea necesario, una evaluación de impacto de la protección de datos.

Adecuar los formularios de recogida de datos personales al contenido del derecho a la información del RGPD.

Adaptar los procedimientos para atender a los derechos de los afectados en relación al tratamiento de sus datos personales.

Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD.

Adoptar los contratos con encargados de tratamiento al contenido que dispone el RGPD.

Confeccionar e implantar políticas de protección de datos.

9- ¿Cuáles son las bases de legitimación para el tratamiento de datos?

El RGPD mantiene el principio de que todo tratamiento de datos necesita apoyarse en una base que lo legitime. Hay que destacar que en ese sentido el RGPD no implica cambios para los responsables del tratamiento de datos; pues también recoge las mismas bases jurídicas que contenía la Directiva y que reproduce la LOPD:

  • Consentimiento.
  • Relación contractual.
  • Intereses vitales del interesado o de otras personas.
  • Cumplimiento de una obligación legal para el responsable.
  • Interés público o ejercicio de poderes públicos.
  • Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.
10-¿En qué consiste el análisis de riesgo al que se refiere el RGPD?

El RGPD prevé que las medidas de cumplimiento para responsables o encargados deban aplicarse en función del riesgo que los tratamientos que realizan supongan para los derechos y libertades de los interesados. Por ello, responsable y encargados deben llevar a cabo una valoración del riesgo que sus tratamientos realicen, con el fin de determinar qué medidas aplicar y cómo hacerlo. Este análisis del riesgo variará en función de:

  •  Los tipos de tratamiento.
  •  La naturaleza de los datos.
  •  El número de interesados afectados.
  •  La cantidad y variedad de tratamientos que realice una misma organización.

En las grandes organizaciones, como regla general, el análisis deberá llevarse a cabo utilizando alguna de las metodologías de análisis de riesgo existentes. En las organizaciones de menor tamaño y con tratamientos de poca complejidad, el análisis será el resultado de una reflexión, mínimamente documentada, sobre las implicaciones de los tratamientos en los derechos y libertades de los interesados.

11- ¿Qué es una evaluación de impacto de la protección de datos?

La Evaluación de Impacto en la Protección de Datos Personales es una herramienta que permite evaluar de manera anticipada cuáles son los potenciales riesgos a los que están expuestos los datos personales en función de las actividades de tratamiento que se llevan a cabo con los mismos. El análisis de riesgos para un determinado tratamiento permite identificar los riesgos que se ciernen sobre los datos de los interesados y establecer una respuesta adoptando las salvaguardas necesarias para reducirlos hasta un nivel de riesgo aceptable.

12- ¿Quién debe realizar una Evaluación de Impacto y a quién se debe involucrar?

Corresponde al responsable del tratamiento la obligación de realizar la Evaluación de Impacto de la Protección de Datos (EIPD), y no al Delegado de Protección de Datos (DPD). Desde un punto de vista práctico, existen varias figuras, con diferentes roles y responsabilidades, que pueden participar en la realización de una EIPD, entre estas figuras, la figura del DPD supone un valor añadido en el desarrollo de una EIPD aportando garantías para los derechos y libertades de los interesados. La obligación de hacer una EIPD corresponde al responsable del tratamiento, con el apoyo y la colaboración del encargado del tratamiento, si lo hubiese, y en su caso, con el DPD. Adicionalmente, el personal encargado de la seguridad, el área de tecnología, asesoría jurídica o incluso diferentes responsables de distintas áreas implicadas en el tratamiento pueden ser requeridas durante el proceso de evaluación. En lo que respecta a la ejecución de la EIPD, puede realizarse por personal interno o externo de la organización, sin que esto exima del cumplimiento de sus obligaciones al responsable del tratamiento, que debe asegurar que esta se haga de forma adecuada y se implanten los controles y medidas de control resultantes de la evaluación.

13- ¿En qué supuestos es necesario realizar una evaluación de impacto?

Estos supuestos se encuentran contemplados en el artículo 35 del RGPD y son los siguientes:

  •  Cuando sea probable que un tipo de tratamiento, en particular si utiliza nuevas tecnologías, por su naturaleza, alcance, contexto o fines, entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento realizará, antes del tratamiento, una evaluación del impacto de las operaciones de tratamiento en la protección de datos personales. Una única evaluación podrá abordar una serie de operaciones de tratamiento similares que entrañen altos riesgos similares.
  •  Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas físicas o que les afecten significativamente de modo similar;
  •  Tratamiento a gran escala de las categorías especiales de datos a que se refiere el artículo 9, apartado 1, o de los datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10
  • Observación sistemática a gran escala de una zona de acceso público.
14- ¿Qué es una violación de seguridad de los datos (“quiebra de seguridad”)?

El RGPD define las violaciones de seguridad de los datos, más comúnmente conocidas como “quiebras de seguridad”, de una forma muy amplia, e incluye todo incidente que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Sucesos como la pérdida de un ordenador portátil, el acceso no autorizado a las bases de datos de una organización (incluso por su propio personal) o el borrado accidental de algunos registros constituyen violaciones de seguridad a la luz del RGPD y deben ser tratadas como la norma establece.

15- ¿Qué ocurre en los casos de quiebras de gran impacto?

En casos de quiebras que por sus características pudieran tener gran impacto, sí podría ser recomendable contactar con la autoridad de supervisión tan pronto como existan evidencias de que se ha producido alguna situación irregular respecto a la seguridad de los datos, sin perjuicio de que esos primeros contactos puedan completarse con una notificación formal más completa dentro del plazo legalmente previsto.


Derechos de los Afectados

16- ¿Qué derechos reconoce el RGDP a los afectados?

Además del derecho de información, el RGPD permite que los afectados puedan ejercitar los derechos de acceso, rectificación, supresión (“derecho al olvido”), oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones automatizadas (incluyendo la elaboración de perfiles). Estos derechos se ejercitarán ante el responsable del tratamiento.

17- ¿Qué es el derecho de acceso?

El afectado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen. Si se estuviesen tratando sus datos personales, tiene derecho a que el responsable le facilite lo siguiente:

  • Los fines del tratamiento.
  • Las categorías de datos personales de que se trate.
  • Los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales.
  • De ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo.
  • La existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento.
  • El derecho a presentar una reclamación ante una autoridad de control.
  • Cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen.
  • La existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
  • Cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.
18- ¿Qué es el derecho de rectificación?

Mediante el ejercicio de este derecho, el afectado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.

19- ¿Qué es el derecho de supresión (derecho al olvido)?

Es el derecho del afectado a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir los datos personales cuando concurra alguna de las circunstancias siguientes:

  • Los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo.
  • El interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico.
  • El interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2.
  • Los datos personales hayan sido tratados ilícitamente.
  • Los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento.
  • Los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

Mailing

20- ¿Puedo realizar envíos masivos de mail sin autorización expresa?

Hasta la fecha, las campañas de mailing podían ir dirigidas a suscriptores de los cuales teníamos un consentimiento expreso, tácito o por omisión. Pero a partir del 25 de mayo el consentimiento debe ser exclusivamente expreso, aplicándose de forma retroactiva. Quedarán fuera del ámbito legal toda aquella información recogida de forma tácita o por omisión (teniendo que recopilar de nuevo el consentimiento expreso por parte de dichos usuarios, aceptando la posibilidad de seguir recibiendo nuestros correos). Concretamente el Reglamento hace hincapié en que deberás obtener el consentimiento de forma libre, específica, informada y que no presente ambigüedad.

21- ¿Puedo utilizar información obtenida de Redes Sociales para envíos masivos?

No. Se deberá conseguir el consentimiento tácito de cada uno de los datos que has conseguido por parte de su propietario.

En el caso de que la información se haya conseguido de una base de datos que haya sido cedida al anunciante, y con el objetivo de evitar posibles sanciones, éste deberá exigir contractualmente al cedente y responsable de la base de datos el cumplimiento de todas las obligaciones que impone la nueva regulación.

En este sentido, cabe destacar particularmente la obligación de que los usuarios hayan aceptado expresamente mediante un opt in individualizado la cesión de sus datos de carácter personal a empresas del sector de actividad del anunciante, con la finalidad de recibir comunicaciones comerciales electrónicas sobre sus productos y servicios.


Videovigilancia

22- ¿Qué obligaciones se deben cumplir para la instalación de videocámaras?

En primer lugar, la videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad. Además, no se podrá captar imágenes de la vía pública con fines de seguridad, ya que es competencia de las Fuerzas y Cuerpos de Seguridad, salvo el espacio que resulte imprescindible para la finalidad que se pretende, o resulte imposible evitarlo por razón de la ubicación de las cámaras. En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Está prohibida la instalación en baños, vestuarios, o lugares análogos. Por otra parte, el tratamiento de las imágenes con fines de seguridad mediante la videovigilancia debe adecuarse al RGPD, de manera que en primer lugar, hay que configurar el registro de actividades de tratamiento regulado en el artículo 30 del RGPD.

23- ¿Se pueden instalar cámaras con la finalidad de control empresarial?

El Estatuto de los Trabajadores faculta al empresario para adoptar las medidas que estime más oportunas para verificar el cumplimiento por el trabajador de sus obligaciones y deberes laborales, que deberán guardar la consideración debida a la dignidad humana y tener en cuenta la capacidad real de los trabajadores con discapacidad. En este sentido, los sistemas de videovigilancia para control empresarial sólo se adoptarán cuando exista una relación de proporcionalidad entre la finalidad perseguida y el modo en que se traten las imágenes y no haya otra medida más idónea. Asimismo, se deberá informar personalmente a los trabajadores, o en su caso, a través de la representación sindical, por cualquier medio que garantice la recepción de la información.


Tratamiento de Datos laborales

24- Las tarjetas identificativas de los trabajadores ¿Pueden incluir nombre, apellidos y DNI?

Estos trabajadores, que deben llevar dichas tarjetas identificativas, están de cara al público y en consecuencia, sus datos estarán a la vista de terceras personas ajenas al estricto ámbito laboral. Si la finalidad que justifica la inclusión de los datos de identidad de los trabajadores en sus tarjetas es precisamente garantizar su identificabilidad en el desempeño de sus funciones, el tratamiento de los datos puede considerarse amparado en el marco de la ejecución de un contrato, en base a lo dispuesto en el artículo 6 del RGPD, y sin perjuicio del cumplimiento del derecho de información del artículo 13 de la misma norma.

25- ¿Puede solicitar el empresario el teléfono y dirección de correo electrónico particular del trabajador?

El tratamiento del dato del correo electrónico y teléfono particulares del trabajador puede ser ignorado por el empresario, dado que ninguna norma exige que el trabajador, para la adecuada perfección de su relación contractual, haya de facilitar estos datos al empresario al que presta sus servicios. Es decir, dicho tratamiento excedería en cuanto al mismo de lo permitido inicialmente por la normativa de protección de datos, y más concretamente, de la legitimación del artículo 6 del RGPD en base a la ejecución de un contrato. No obstante, si las circunstancias de la prestación de servicios para la empresa conllevara una disponibilidad personal del trabajador fuera de su centro u horario de trabajo, una medida más moderada e igual de eficaz para conseguir la comunicación de la empresa con el trabajador sería la puesta a disposición del mismo de un instrumento de trabajo como sería un teléfono de empresa.

Deja un comentario