FUNCIONES EN EL RGPD
Sujetos de datos en RGPD
De conformidad con el artículo 4 del RGPD, el interesado es la persona física cuyos datos personales se tratan. Por ejemplo, clientes, empleados, pacientes u otras personas.
Tipos de datos personales
Cuanto más importantes sean los datos personales, mayores serán los requisitos de seguridad. Existen cuatro grupos de datos personales sensibles a la privacidad, uno de los cuales es el de los datos personales sensibles.
Los datos personales sensibles a la privacidad deben tratarse con un mayor nivel de seguridad que, por ejemplo, los «datos personales ordinarios, como un nombre. Tenga en cuenta que RGPD no se aplica a los datos personales de personas fallecidas.
Los interesados tienen una serie de derechos fundamentales en virtud del RGPD
Según el RGPD, los interesados tienen una serie de derechos que las empresas deben poder cumplir. Por lo tanto, las empresas necesitan, entre otras cosas, establecer rutinas para hacerlo. Cuando un interesado solicita que se le conceda un derecho, esto debe hacerse en el plazo de un mes. No obstante, la empresa podrá prorrogar el plazo por un máximo de dos meses más en determinados casos excepcionales. A continuación se muestra un resumen de los derechos más fundamentales que los interesados tienen en virtud del RGPD.
Derechos en RGPD
Derecho de acceso (artículo 15 del RGPD)
Un interesado puede querer saber si una empresa está procesando sus datos personales o no. En tales casos, el interesado podrá solicitar el acceso a los datos personales tratados que le conciernan. Sin embargo, en algunos casos, el interesado no tiene derecho a recibir los documentos originales. Por ejemplo, si puede resultar en una desventaja para otro interesado.
Derecho a la información (artículos 12, 13 y 14 del RGPD)
Cuando una empresa trate datos personales, se informará a los interesados sobre el tratamiento. Entre otras cosas, cuál es el propósito del procesamiento, cuánto tiempo tiene lugar el procesamiento, si los datos personales se transfieren a un tercer país, etc. Además, los interesados deben ser informados en caso de ciertos tipos de violaciones de datos personales que los afecten a ellos y a sus datos personales.
Derecho de rectificación (artículo 16 del RGPD)
Si una empresa procesa datos personales que son incorrectos o incompletos, deben corregirse o complementarse. Esto se aplica tanto si un interesado lo solicita como si la propia empresa lo descubre. Sin embargo, en algunos casos, un interesado puede estar equivocado cuando considera que los datos personales son incorrectos. Por lo tanto, la empresa primero debe verificar si están realmente equivocados o no. Tenga en cuenta que la empresa debe informar a los destinatarios de los datos personales que son objeto de la rectificación, siempre que no sea imposible o demasiado difícil (esfuerzo oneroso).
Derecho de supresión (artículo 17 del RGPD)
Las empresas deben eliminar o anonimizar los datos personales en ciertos tipos de ocasiones. Por ejemplo, si los datos personales ya no son necesarios para el procesamiento para el propósito para el cual fueron recopilados. Lo mismo se aplica si un interesado solicita la supresión de datos personales. Sin embargo, las empresas pueden necesitar procesar ciertos datos personales debido, por ejemplo, a otras leyes. La supresión de datos personales también tendrá lugar cuando, por ejemplo, un interesado retire su consentimiento para el tratamiento.
Derecho a la limitación del tratamiento (artículo 18 del RGPD)
Si un interesado solicita que se rectifiquen sus datos personales incorrectos, también puede solicitar a la empresa que restrinja el procesamiento durante la investigación hasta que se complete la rectificación. Cuando expire la limitación, la empresa informará de ello a los interesados.
Derecho a la portabilidad de los datos (artículo 20 del RGPD)
Si una empresa procesa los datos personales del interesado sobre la base legal del consentimiento o contrato, el interesado tiene derecho a recibirlos en un formato estructurado y legible por máquina. Además, el interesado tiene derecho a que se transfieran a otro responsable del tratamiento, cuando sea técnicamente posible. La finalidad de la disposición es facilitar a las personas el cambio entre proveedores de servicios competidores.
Derecho de oposición (artículo 21 del RGPD)
Si una empresa procesa datos personales para realizar una tarea que es de interés público y esto se hace después de un equilibrio de intereses o en el ejercicio de la autoridad pública, los interesados tienen derecho a oponerse al procesamiento. Por ejemplo, si una empresa desea enviar correos electrónicos con publicidad después de haber realizado un balance de intereses y concluido que tiene un interés legítimo en el procesamiento, los interesados pueden solicitar que la empresa cese. En otras palabras, las empresas deben detener el marketing directo a las personas que lo han solicitado.
Decisiones automatizadas (artículo 22 del RGPD)
Los interesados tienen derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, si la decisión afecta significativamente al interesado. Se aplican excepciones si la decisión es necesaria para un contrato o es requerida por la ley. En tales casos, el interesado tiene derecho a solicitar la revisión humana de la decisión. En algunos casos, sin embargo, las empresas pueden tomar decisiones basadas en la toma de decisiones automatizada. Por ejemplo, si el interesado da su consentimiento explícito o si es necesario para la ejecución/conclusión de un contrato.
Diferentes roles en RGPD
Interesado
La persona física cuyos datos personales están siendo procesados.
Controlador
La organización que determina los medios y la finalidad del tratamiento de los datos personales es el responsable del tratamiento. Por ejemplo, una sociedad de responsabilidad limitada. Por lo tanto, no es un individuo específico en la empresa, a menos que sea un comerciante único y él o ella sea el controlador de datos.
Procesador
Cuando una empresa procesa datos personales en nombre de un controlador de acuerdo con sus instrucciones, el procesamiento se lleva a cabo en el papel de procesador. Por ejemplo, una empresa de contabilidad que procesa datos personales pertenecientes a sus clientes, cuando la empresa lleva a cabo la contabilidad de los clientes.
Responsable de protección de datos
Algunas empresas necesitan tener un delegado de protección de datos (DPO). Es una persona que trabaja para comprobar que la empresa cumple con el RGPD. Ayudan, por ejemplo, con el asesoramiento a la hora de llevar a cabo una evaluación de impacto. Los interesados y los empleados de la empresa tienen derecho a ponerse en contacto con el delegado de protección de datos para preguntas relacionadas con el procesamiento de sus datos personales. Las empresas que no están obligadas a tener un delegado de protección de datos pueden optar por nombrar a un delegado de protección de datos de forma voluntaria.
Identificación del interesado
Para cumplir con el derecho solicitado por un interesado, la empresa primero debe identificar al interesado que realiza la solicitud. Si la empresa no puede identificar al interesado, pero aún elimina datos personales previa solicitud, y esta última resulta ser la persona equivocada que solicitó la eliminación, se trata de una violación de datos personales. Esto es algo que las empresas deben evitar a través de medidas de seguridad técnicas y organizativas. Sin embargo, tenga en cuenta que la identificación y el enfoque deben ser proporcionados. Por ejemplo, solicitar una copia del pasaporte puede ser desproporcionado si hay otras formas menos sensibles a la privacidad para identificar a una persona.
Plazo para responder a una solicitud de un interesado de que se le conceda un derecho
Cuando un interesado solicite que se le conceda un derecho, la empresa cumplirá con la solicitud en el plazo de un mes a partir de la recepción de la solicitud. Sin embargo, en algunos casos es posible ampliar el plazo otros dos meses. A continuación, es importante informar al interesado de la prórroga y de los motivos de la decisión. Un ejemplo en el que puede ser permisible extender el límite de tiempo es si una empresa recibe un número inusualmente grande de solicitudes complejas al mismo tiempo.
Tratamiento de datos personales con fines de seguridad pública
El RGPD no se aplica cuando las autoridades llevan a cabo un tratamiento de datos personales para la prevención, investigación, detección o enjuiciamiento de infracciones penales. Lo mismo se aplica si una autoridad aplica sanciones legales. Por ejemplo, si una persona es condenada por un delito en un tribunal y es condenada a prisión. En tales casos, la prisión debe procesar los datos personales de la persona condenada.
El número de identidad corporativa de una empresa generalmente no son los datos personales de un individuo
En la mayoría de los casos, el número de registro corporativo de una empresa no son datos personales. Por otro lado, podría serlo. Por ejemplo, se trata de datos personales si se trata de una empresa unipersonal en la que el número de identidad corporativa es el mismo que el número de identidad personal del propietario. Además, info@company.com no son datos personales.
Los interesados pueden recibir una compensación por infracciones del RGPD
Si una organización infringe el RGPD, es posible que un interesado reciba daños y perjuicios en algunos casos. Sin embargo, esto no es algo que una autoridad de supervisión exija en su supervisión o en sus decisiones. En su lugar, el interesado debe entablar una acción civil contra la empresa en su propio proceso legal separado. Si una autoridad de control emite una multa a una empresa que ha violado el RGPD, es una cantidad que se paga al estado, no a los interesados en cuestión. Tenga en cuenta, sin embargo, que puede ser beneficioso en un caso civil si la empresa ha recibido una multa por infracción del RGPD por parte de la autoridad de control.
Los interesados pueden tener derecho a una indemnización por daños y perjuicios en caso de temor a un posible uso indebido de los datos personales en el futuro.
Después de que los interesados que se habían visto afectados por un ciberataque contra la Agencia Tributaria búlgara, algunos de ellos optaron por demandar a la autoridad tributaria búlgara y reclamar daños y perjuicios. Temían que los datos personales pudieran utilizarse indebidamente en el futuro. En otras palabras, los interesados reclamaron daños y perjuicios por el daño moral causado por la violación de datos personales. El caso llegó hasta el Tribunal Supremo Administrativo de Bulgaria. Solicitaron al Tribunal de Justicia de la Unión Europea que se pronunciara con carácter prejudicial sobre la responsabilidad. El TJUE declaró que los interesados pueden tener derecho a una indemnización por daños y perjuicios si existe un temor fundado de que los datos personales puedan utilizarse indebidamente en el futuro.
Los procesadores de datos también pueden ser responsables de los daños
Si un procesador procesa datos personales en violación de las instrucciones dadas por el controlador y viola el RGPD, el procesador puede ser responsable ante el interesado. Así se establece en el artículo 82 del RGPD.
MÁS INFORMACIÓN SOBRE LOS PAPELES
Autoridades reguladoras
Todos los países de la UE tienen una autoridad nacional de supervisión que se encarga de los asuntos relacionados con el RGPD. Entre otras cosas, tienen el poder de emitir multas a las empresas que violan el RGPD. Además, publican publicaciones y otra información sobre RGPD que puede ser útil conocer. Un interesado que desee presentar una reclamación sobre el tratamiento de sus datos personales siempre puede dirigirse a la autoridad nacional de control de su país de residencia si se encuentra en la UE. Incluso si no es la autoridad supervisora principal de la empresa. Por ejemplo, si se trata de una gran empresa internacional. Si la autoridad de control considera que otra autoridad nacional de control es más adecuada o responsable, podrá remitirle el asunto.