REGLAMENTO GENERAL DE PROTECCIÓN DE DATOS
Resumen de los conceptos básicos de RGPD
Según el RGPD, los datos personales son datos que pueden vincularse directa o indirectamente a una persona física identificable y viva. Si una empresa procesa datos personales de personas dentro del área de la UE / EEE, están obligados a cumplir con el RGPD. RGPD es una abreviatura del Reglamento General de Protección de Datos de la UE. Aquí hay un resumen de los conceptos básicos de RGPD:
Ejemplos de tipos comunes de datos personales
- Datos de identificación: Nombre, apellido, número de seguro social, número de pasaporte, foto de perfil.
- Datos de contacto: Dirección de correo electrónico, domicilio, número de teléfono.
Datos personales sensibles según RGPD
La norma general del artículo 9, apartado 1, del RGPD prohíbe el tratamiento de categorías especiales de datos personales, también conocidos como «datos personales sensibles». Sin embargo, puede estar permitido en algunos casos.
Tenga en cuenta que los requisitos son más altos cuando se procesan datos personales confidenciales y requieren, por ejemplo, una mayor seguridad al transferir y almacenar. Si se produce una violación de datos personales que afecta a datos personales sensibles, es peor que si los datos personales son «datos personales ordinarios». Es importante tener esto en cuenta en la evaluación de riesgos, así como en la evaluación de si es necesario notificar la violación de la seguridad de los datos personales a la autoridad nacional o responsable de la protección de datos.
Ejemplos de datos personales sensibles
- Salud
- Origen étnico
- Puntos de vista políticos
- Datos genéticos o biométricos
Sanción por el tratamiento de datos personales sensibles en violación del RGPD
Una empresa fue multada con 230.000 euros por procesar datos personales confidenciales en violación del RGPD. La empresa había estado almacenando información sobre los datos de salud de su personal durante mucho tiempo después del final de la relación laboral. Además, la empresa había guardado datos sobre las bajas por enfermedad del personal junto con datos de diagnóstico, que algunos empleados incluso informaron que eran incorrectos. La compañía también había incumplido sus obligaciones de informar a los empleados sobre el procesamiento de estos datos personales confidenciales. Por estas razones, se le dijo a la compañía que cambiara su comportamiento. Además de la multa, la empresa también recibió una amonestación.
Datos personales sensibles a la privacidad
Además de los datos personales sensibles que requieren un mayor nivel de protección en virtud del RGPD, también hay otros datos personales que son importantes y los necesitan. Se denominan comúnmente «datospersonales sensibles a la privacidad». Por ejemplo, información sobre cuentas bancarias, información sobre tarjetas de pago, información sobre las circunstancias sociales de una persona e información sobre infracciones de la ley.
Profundizar en su comprensión de los datos personales
La definición de datos personales también incluye una mayor complejidad, además de la descrita anteriormente en esta compilación. Especialmente en el caso de los llamados datos personales directos e indirectos. La reidentificación también es un aspecto importante que puede llevar a que ciertos datos se consideren datos personales en virtud del RGPD. Por ejemplo, el número de matrícula de un vehículo de propiedad privada.
Principios de protección de datos a seguir al procesar datos personales
Hay siete (7) principios de protección de datos que impregnan todo el RGPD. Las empresas que están sujetas al RGPD también deben cumplir con estos principios en todo su procesamiento de datos personales. Las empresas deben comprender los principios, ya sean controladores o procesadores, ya que forman el núcleo del RGPD. Además, la empresa siempre debe tenerlos en cuenta a la hora de mejorar su protección de datos. Aquí puede leer un breve resumen de los siete (7) principios básicos de protección de datos que se regulan en el artículo 5 del RGPD.
Principio de protección de datos 1: Legalidad, equidad y transparencia
Legalidad
Las empresas deben tener una base legal para procesar datos personales. Por ejemplo, «la ejecución de un contrato con el interesado» de conformidad con el artículo 6, apartado 1, letra b), del RGPD.
Equidad
Cuando la empresa procesa datos personales, debe ser razonable en relación con el propósito. El tratamiento será razonable, equitativo, justo y proporcionado. En resumen, esto significa que el tratamiento no debe ser desproporcionado con respecto a sus beneficios.
Transparencia
Las empresas deben proporcionar información sobre el procesamiento y ser transparentes sobre lo que hacen con los datos personales. Además, deben facilitar información sobre los derechos de los interesados, etc.
Primera decisión del Comité Europeo de Protección de Datos sobre la legalidad del tratamiento de datos personales
El Comité Europeo de Protección de Datos (CEPD) tuvo que considerar si una gran empresa internacional tenía una base jurídica para la forma en que procesaba los datos personales de los niños. Fue la APD irlandesa la que solicitó una decisión prejudicial al CEPD, ya que varias de las APD implicadas en la supervisión no estaban de acuerdo con la decisión de la APD irlandesa. La multa impuesta por la Autoridad Irlandesa de Protección de Datos a raíz de la decisión prejudicial ascendía a 405 millones de euros.
Principio de protección de datos 2: Limitación de la finalidad
Las empresas siempre deben tener un propósito para su procesamiento de datos personales. Es decir, una respuesta a por qué se están procesando los datos personales. Además, debe ser un objetivo explícito y específico compatible con la legislación vigente. Los propósitos poco claros generalmente no son válidos. Lo mismo se aplica si son demasiado amplias, como «mejorar la experiencia del usuario». Tenga en cuenta que la empresa debe documentar el propósito de cada procesamiento individual.
Principio de protección de datos 3: Minimización de datos
No está permitido procesar más datos personales de los necesarios para lograr el propósito. Por lo tanto, la empresa primero necesita analizar cuál es el propósito del procesamiento. Es decir, para saber qué datos personales son necesarios procesar para lograr la finalidad. Una empresa no puede procesar datos personales para necesidades futuras que aún no haya determinado. En otras palabras, el RGPD no permite el tratamiento de datos personales «por el mero hecho de que puedan ser beneficiosos para el futuro».
Principio de protección de datos 4: Exactitud
Las empresas se asegurarán de que los datos personales que traten sean exactos. Además, la empresa mantendrá los datos personales actualizados a lo largo del tiempo. Si los datos personales procesados son incorrectos, la empresa debe corregirlos. Alternativamente, suprímalo. Esto se hará sin demora indebida. Los datos personales que no estén completos también se corregirán completándolos o suprimiéndolos. Tenga en cuenta que esto es especialmente importante, cuanto más importantes son los datos personales. Las consecuencias de procesar datos personales incorrectos en algunos casos pueden ser devastadoras. Por ejemplo, si una persona recibe un diagnóstico de tipo, pero el médico registra accidentalmente el diagnóstico incorrecto en el registro del paciente.
Principio de protección de datos 5: Limitación del almacenamiento
No está permitido procesar datos personales más tiempo del necesario para el propósito para el que fueron recopilados. Además, las empresas determinarán un período de conservación de los datos personales. Sin embargo, en algunos casos, una empresa puede necesitar continuar el procesamiento, incluso si ya no es necesario para el propósito, si así lo exige la ley o la regulación. Por ejemplo, las empresas a menudo necesitan almacenar sus registros contables durante un cierto número de años bajo la Ley Nacional de Contabilidad.
Empresas que procesaron datos personales por un período indefinido
Una empresa tuvo que pagar una multa por no haber establecido un período de retención. Para eliminar sus datos personales, los clientes tenían que eliminar su cuenta de usuario. Si el cliente no lo hacía, la empresa seguía tratando los datos personales del cliente durante un período de tiempo indefinido. Además, la autoridad finlandesa de protección de datos declaró en el caso que obligar a las personas a crear una cuenta en el sitio web para realizar una compra no era compatible con el RGPD. La creación de una cuenta de usuario en una tienda en línea será voluntaria. No debe ser un requisito obligatorio para poder realizar compras.
Principio de protección de datos 6: Integridad y confidencialidad
Las empresas deben proteger los datos personales que tratan adoptando las medidas técnicas y organizativas adecuadas. Cuanto más importantes sean los datos personales, mayores serán los requisitos de seguridad. Ejemplos de medidas técnicas de seguridad son el cifrado y la copia de seguridad. Ejemplos de medidas de seguridad organizacional que las empresas pueden tomar son la educación de sus empleados y la provisión de instrucciones escritas.
Principio de protección de datos 7: Rendición de cuentas
Las empresas deben poder demostrar que cumplen el RGPD. Por lo tanto, no es un interesado o una autoridad de protección de datos la que debe demostrar lo contrario. Por ejemplo, las empresas pueden hacer esto:
Actividades de registro o tratamiento
Establecer una lista de registro en la que la empresa documente todos los procesos de datos personales y cualquier violación de datos personales que se haya producido.
Evaluaciones de impacto
Establecer una evaluación de impacto antes de que se lleve a cabo una operación de procesamiento específica, en la que la empresa, entre otras cosas, motive y analice la operación de procesamiento.
Directrices
Elabore instrucciones y directrices escritas para los empleados sobre cómo trabajar de acuerdo con RGPD en la práctica. Por ejemplo, una rutina sobre cómo actuar en caso de una violación de datos personales.
Derechos de los interesados en virtud del RGPD
Los interesados tienen varios derechos en virtud del RGPD. Las empresas son responsables de asegurarse de que son capaces de acomodarlos. Por ejemplo, estableciendo procedimientos internos para que los empleados sepan cómo manejar una solicitud correctamente.
Identificación de los interesados al solicitar un derecho
Las empresas deben poder identificar a las personas que solicitan tener un derecho otorgado bajo el RGPD. De esta manera, la empresa puede minimizar el riesgo de que alguien no autorizado obtenga acceso a los datos personales. Si la empresa duda de la identidad de la persona que realiza la solicitud, la empresa puede solicitar más información. Por ejemplo, si una persona solicita que se eliminen sus datos personales de una dirección de correo electrónico distinta de la que ha registrado en su cuenta de usuario con la empresa. Tenga en cuenta que no está permitido procesar más datos personales de los necesarios y que la identificación debe ser proporcionada.
Plazos para tratar las solicitudes de los interesados de que se cumpla un derecho con arreglo al RGPD
Cuando un interesado solicite que se cumpla un derecho en virtud del RGPD, la empresa tramitará la solicitud lo antes posible, pero a más tardar un mes después de su recepción. Sin embargo, en algunos casos es posible ampliar el plazo otros dos meses. En tales casos, la empresa debe poder justificar la decisión e informar al respecto dentro del primer mes. Por ejemplo, una extensión puede estar justificada si la empresa ha recibido un número inusual de solicitudes y, por lo tanto, no tiene tiempo para manejar el caso dentro de un mes.
Bases jurídicas para el tratamiento lícito de datos personales
Las empresas deben tener una base legal para procesar datos personales, y hay un total de seis (6) bases legales en el RGPD. A menos que la empresa tenga una base legal, el procesamiento es ilegal. La violación del RGPD puede tener importantes consecuencias financieras para la empresa. A continuación puede leer un resumen de las bases jurídicas regidas por el artículo 6 del RGPD.
Base jurídica 1: Consentimiento
Consentimiento significa que una persona acepta que la empresa procese sus datos personales para un propósito específico. El consentimiento debe ser activo y darse voluntariamente para que sea válido. Además, debería ser tan fácil retirar el consentimiento como darlo. Si no, el consentimiento no es válido. Tenga en cuenta que las empresas también deben poder demostrar que han obtenido un consentimiento válido en caso de supervisión. Por lo tanto, es mejor tener consentimientos escritos y actualizados.
El consentimiento no siempre está permitido ni es apropiado
El consentimiento es una base jurídica común para que las empresas lo utilicen, pero no siempre está permitido ni es adecuado. Por ejemplo, no es apropiado cuando existe una relación de poder desigual entre las partes, como entre un empleador y un empleado. En tales casos, los contratos con los interesados (contratos de trabajo) suelen utilizarse como base jurídica. Tampoco hay ningún requisito para obtener el consentimiento para procesar datos personales, como algunos creen.
Las plataformas en línea con consentimiento o modelos de pago no siempre cumplen los requisitos para un consentimiento válido según el Comité Europeo de Protección de Datos
El Comité Europeo de Protección de Datos (CEPD) se pronunció sobre si los «modelos de consentimiento o de pago» cumplen los requisitos para los consentimientos válidos en virtud del RGPD. En otras palabras, una empresa dirige el marketing conductual a los sujetos de datos que no pagan por un servicio. Según el CEPD, las empresas deben tener una alternativa gratuita, pero sin marketing dirigido.
Base jurídica 2: Ejecución de un contrato con el interesado
Las empresas pueden procesar los datos personales que sean necesarios para la celebración o ejecución de un contrato con el interesado. Sin embargo, la empresa no puede procesar más datos personales de los necesarios para la celebración o el cumplimiento del acuerdo. Por ejemplo, si la empresa desea procesar datos personales para analizar el comportamiento del cliente, la empresa necesita otra base legal para ese fin, como el consentimiento.
Un ejemplo práctico de dónde es apropiado este fundamento jurídico es cuando una empresa participa en una actividad de comercio electrónico. Para que la empresa pueda enviar los productos vendidos a su domicilio al cliente, debe tratar determinados datos personales, como el nombre y la dirección del cliente.
Base jurídica 3: Obligación jurídica
Cuando una empresa tiene la obligación de tratar datos personales en virtud de cualquier otra legislación o reglamento, la base jurídica para el tratamiento es la «obligación legal». Por ejemplo, la empresa debe conservar los recibos y otra información contable durante un cierto número de años de conformidad con la Ley Nacional de Contabilidad. El interesado debe entender por qué la empresa necesita llevar a cabo el procesamiento y, por lo tanto, es importante ser claro al informar.
Base jurídica 4: Protección de intereses vitales
El tratamiento de datos personales sobre la base de la base jurídica «protección de intereses vitales» no es una práctica común para la mayoría de las empresas. Solo podrá utilizarse cuando el tratamiento sea necesario para salvar vidas. Además, no está permitido utilizar esta base jurídica, si el interesado en cuestión es consciente y puede tomar su propia decisión, por ejemplo, dando su consentimiento.
Por otro lado, en los servicios de emergencia, es más común apoyar el procesamiento de datos personales sobre esta base legal. Por ejemplo, si una persona queda inconsciente en el hospital y pierde grandes cantidades de sangre, y el hospital necesita saber qué grupo sanguíneo tiene la persona para salvar su vida.
Base jurídica 5: Ejercicio del poder público y funciones de interés público
La base jurídica «Ejercicio del poder público y funciones de interés público» significa que está permitido tratar datos personales como parte del ejercicio del poder público, o si se realiza en interés público. Si el Estado confía a un agente la tarea de determinar a los ciudadanos, esta es la base jurídica adecuada para el tratamiento. Se trata de una base jurídica que puede ser utilizada principalmente por las autoridades oficiales, pero también por determinados agentes privados, como las escuelas y la asistencia sanitaria.
Debe haber apoyo en una ley, administración o similar para poder apoyar un tratamiento sobre la base de tareas de interés público. Por ejemplo, cuando una escuela u hospital procesa datos personales.
Base jurídica 6: Interés legítimo
Las empresas pueden llevar a cabo un equilibrio de intereses antes del tratamiento y concluir que tienen un interés legítimo en el tratamiento. En otras palabras, su interés en el tratamiento supera al de los interesados. Sin embargo, el procesamiento debe ser necesario en relación con el propósito del procesamiento. El equilibrio de intereses se documentará por escrito. Aquí hay dos ejemplos de cuándo es común utilizar el «interés legítimo» como base jurídica:
Comercialización directa
Cuando una empresa realiza marketing directo, como el envío de correos electrónicos a los interesados con publicidad. Tenga en cuenta que la empresa debe cesar inmediatamente el tratamiento de la dirección de correo electrónico para este fin si el interesado así lo solicita.
Seguridad de los empleados
Puede ser necesario que un empleador procese ciertos tipos de datos personales para garantizar la seguridad de los empleados, y se considera que tiene un interés legítimo en hacerlo.
Resumen de los ocho (8) derechos fundamentales que los interesados tienen en virtud del RGPD
Derecho a ser informado
Las empresas informarán a los interesados sobre el tratamiento de sus datos personales. Esto debe hacerse preferiblemente en conjunto con la empresa que recopila los datos personales. Además, la información se facilitará cuando así lo solicite el interesado. La información será fácilmente comprensible y gratuita. Además, hay otras ocasiones en las que las empresas necesitan informar a los interesados sobre el procesamiento, por ejemplo, en ciertos tipos de violaciones de datos personales o si el procesamiento cambia.
Derecho de acceso
Si un interesado desea saber si una empresa está procesando datos personales sobre él, puede ponerse en contacto con la empresa. En tales casos, la empresa proporcionará información sobre el procesamiento, como qué datos personales procesan, la finalidad, el período de almacenamiento y de dónde los han recopilado. Además, la empresa facilitará una copia de los datos personales tratados. Tenga en cuenta que hay excepciones al derecho de acceso. En algunos casos, las empresas pueden rechazar una solicitud de acceso a los datos personales procesados. Por ejemplo, si puede poner a otros interesados en desventaja.
Derecho de rectificación
Si un interesado considera que los datos personales que trata una empresa son incorrectos o están incompletos, puede solicitar a la empresa que los corrija. La corrección se efectuará sin demora indebida. La empresa también informará de la rectificación a los destinatarios de los datos personales de que se trate. Esto se aplica si es posible y no demasiado oneroso para la empresa. Además, el interesado tiene derecho a ser informado de los destinatarios.
Derecho a la supresión (también conocido como «el derecho al olvido»)
Las empresas eliminarán los datos personales cuando ya no sean necesarios para la finalidad para la que fueron recogidos. Además, deben eliminar datos personales a petición de un interesado. Sin embargo, hay excepciones. Por ejemplo, una empresa puede tener la obligación legal de procesar ciertos datos personales de acuerdo con alguna otra legislación. En tales casos, no suprimirán los datos personales, incluso si el interesado así lo solicita. Si la empresa elimina datos personales a raíz de una solicitud del interesado, la empresa informará a los destinatarios de los datos personales en cuestión de la eliminación. Esto se aplica si es posible y no demasiado oneroso para la empresa. Además, el interesado tiene derecho a ser informado de los destinatarios.
Derecho a la limitación
En algunos casos, los interesados tienen derecho a que se limite el tratamiento de sus datos personales. Por ejemplo, si una persona informa a una empresa que los datos personales son incorrectos y quiere que el procesamiento se limite hasta que la empresa haya investigado si son correctos o no. Cuando cese la limitación, la empresa informará de ello al interesado.
Derecho a la portabilidad de los datos
En algunos casos, un interesado puede tener derecho a que sus datos personales se transfieran a otro responsable del tratamiento. Por ejemplo, si la persona crea una cuenta en un servicio de redes sociales y desea utilizar los mismos datos para crear una cuenta en otro servicio similar. Las empresas facilitarán la transferencia de datos personales. Sin embargo, los interesados solo pueden tener derecho a la portabilidad de los datos si la base jurídica para el tratamiento es el consentimiento o la ejecución de un contrato con el interesado, así como si es técnicamente posible.
Decisiones automatizadas
Si una decisión automatizada puede tener consecuencias graves para un interesado, como consecuencias legales, la persona tiene derecho a no ser objeto de dicha decisión automatizada. Por ejemplo, si una persona solicita un trabajo y se le niega sin haber tenido contacto personal, porque se hizo a través de un reclutamiento electrónico automático.
Automated decisions
If an automated decision can have serious consequences for a data subject, such as legal consequences, the person has the right not to be subject to such an automated decision. For example, if a person applies for a job and is denied without having had personal contact, because it was done through an automatic e-recruitment.
- Situaciones en las que se pueden permitir decisiones automatizadas:
- Consentimiento explícito: Cuando la empresa obtenga el consentimiento explícito del interesado para llevar a cabo decisiones automatizadas;
- Cumplimiento de los acuerdos: Si la empresa necesita tomar una decisión automatizada para celebrar o, alternativamente, ejecutar un contrato con el interesado.
Dos casos en los que la empresa falsificó para cumplir con RGPD
Una empresa proporcionó información incorrecta de que los datos personales se habían eliminado a petición de un interesado
Además del hecho de que la empresa en este caso no había eliminado datos personales previa solicitud sin demora indebida, también dieron la información incorrecta de que realmente los habían eliminado. La compañía dijo que no entendía que se trataba de una solicitud para eliminar los datos personales, pero la autoridad sueca de protección de datos pensó lo contrario. Consideraron que estaba claro y concluyeron que, por lo tanto, la empresa no había cumplido sus obligaciones de conformidad con el RGPD. La consecuencia para la empresa fue una reprimenda.
Una empresa no cumplió el requisito de transparencia en relación con la portabilidad de los datos
La autoridad sueca de protección de datos descubrió que una empresa había violado varias reglas del RGPD. Entre otras cosas, al proporcionar información inadecuada sobre los derechos de los interesados. Uno de esos derechos es el derecho a la portabilidad de los datos. La empresa recibió una multa de 7,5 millones de coronas suecas por sus infracciones del RGPD.
Sanciones y otras consecuencias por infringir el RGPD
Si una empresa no cumple con el RGPD, puede enfrentarse a importantes consecuencias financieras.En el peor de los casos, pueden tener que pagar multas en millones de euros. La sanción máxima por infracciones graves puede ser de 20 millones EUR o del 4 % del volumen de negocios anual (la más elevada de las opciones). Algunas empresas han tenido que pagar multas de varios cientos de millones de euros.
Tenga en cuenta que los interesados no pueden participar en la multa, ya que se trata de una multa que se paga al Estado. Por otro lado, los interesados pueden reclamar daños y perjuicios en ciertos casos, pero luego deben interponer la acción por separado en su propio proceso legal. En otras palabras, esto no es algo que la autoridad supervisora de protección de datos reclame para el interesado en un tribunal de justicia.
Posición del Tribunal de Justicia de las Comunidades Europeas
El Tribunal de Justicia de la Unión Europea se pronunció sobre la responsabilidad en caso de violación de la seguridad de los datos personales que pueda dar lugar a un uso indebido de los datos personales en el futuro. Señalaron que los interesados pueden tener derecho a una indemnización por daños y perjuicios en caso de temor justificado a un futuro uso indebido de sus datos personales.
OTROS PRINCIPIOS DE PROTECCIÓN DE DATOS
Medidas que las empresas pueden tener que adoptar en virtud del RGPD
RGPD requiere que las empresas, entre otras cosas, puedan demostrar que cumplen con RGPD, cumplen con los derechos de los interesados, protegen los datos personales que procesan, etc. Cuanto más importantes sean los datos personales, mayores serán los requisitos de seguridad. Algunos ejemplos de medidas incluyen la redacción de los acuerdos y documentos necesarios relacionados con el RGPD. Por ejemplo, un aviso de privacidad y la documentación de las evaluaciones de impacto realizadas. Tenga en cuenta que las consecuencias financieras para las empresas que violan RGPD pueden ser devastadoras para la empresa.