Reglamento General de Protección de Datos

Todo lo que necesitas saber sobre el Reglamento General de Protección de Datos (RGPD/GDPR)

El pasado 25 de mayo entró en vigor el Reglamento General de Protección de Datos (“RGPD” o “GDPR” con sus siglas en inglés), que obliga a todas las empresas (y a los organismos públicos) a adaptarse a esta nueva normativa, en sus relaciones con clientes, proveedores, empleados y, en general, cualquier persona física con la que tenga relación.

Sin embargo, son muchas las empresas, de todo tipo y tamaño, las que tienen muchas dudas sobre cómo implantar el RGPD y si lo están haciendo bien.

El consultor legal experto en TIC André Castelo, socio director de APDTIC y socio de Abogados Digitales, responde a las preguntas más frecuentes que nos llegan.

¿Cómo sé si mi empresa debe implantar el RGPD?

Toda empresa debe implantarlo y adaptarse. Es un Reglamento que afecta al ámbito empresarial, no al ejercicio de actividades exclusivamente domésticas. Todos los negocios manejan datos personales de clientes, empleados, proveedores, colaboradores, currículums que nos llegan… Por eso todas, autónomos, pymes y grandes empresas, deben adaptarse. Otra cosa es el grado de profundidad, según los datos que trates… pero la protección de datos es algo que interviene en el día a día de cualquier negocio.

¿Cómo puedo saber en qué nivel de riesgo se encuentra mi empresa?

proteccion de datosPor un lado, hay que diferenciar el tipo de datos que se recopilan: datos identificativos (nombre, apellidos, DNI), datos de contacto (número de teléfono, correo electrónico), datos fiscales (número de cuenta o tarjeta de crédito/débito), datos de navegación (como dirección IP), datos de salud (enfermedades, alergias, historias clínicas, etc.), datos biométricos (huella dactilar, reconocimiento facial), datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, así como datos genéticos o relativos a la vida sexual o las orientaciones sexuales de una persona física.

Y, por otro lado, no sólo importa el grado de sensibilidad de los datos recabados, sino también el uso que se hace de ellos (la finalidad del tratamiento). Por ello el RGPD fomenta informar claramente y recabar un consentimiento expreso cuando se “escapa” de lo necesario para ofrecer el servicio (como por ejemplo hacer publicidad, elaborar perfiles o cederlos a terceros).

Para saber cuál es tu nivel de riesgo, la propia Agencia Española de Protección de Datos (AEPD) ofrece una herramienta gratuita, Facilita, que sirve para que las empresas tengan una pequeña orientación. Pero como el RGPD está lleno de múltiples particularidades que afectan a cada caso concreto, nuestra recomendación es asesorarse adecuadamente para realizar una correcta implantación del RGPD y recibir un soporte que garantice su cumplimiento en todo momento.

¿Quiénes están obligados a tener un delegado de Protección de Datos?

Deben tener un DPO todas las autoridades y organismos públicos; las empresas que realicen seguimiento de personas de forma sistemática y a gran escala; las que traten datos personales de las llamadas categorías especiales (datos biométricos, genética, de salud, religión…); las que trabajen con datos relativos al historial penal; colegios profesionales; centros docentes; entidades que explotan redes y prestan servicios de comunicaciones electrónicas; empresas que prestan de servicios de la sociedad de la información, como los medios de comunicación; entidades financieras, de crédito y aseguradoras o de inversión; compañías energéticas; agencias de publicidad y prospección comercial; el sector sanitario en general; empresas de seguridad privada o entidades que establezcan perfiles comerciales concretos. En resumen, las que traten datos sensibles o gestionen una gran cantidad de datos.

¿Qué funciones tiene un DPO?

Debe velar y supervisar el cumplimiento del RGPD. Además, debe asesorar al responsable y al encargado del tratamiento, así como a los empleados que trabajen  con estos datos. El DPO tiene, además, la obligación de cooperar con las autoridades en el control del cumplimiento de esta normativa, y actuará de enlace en este sentido. Y quizás la más importante: el DPO es el que debe mediar con los clientes preocupados por sus datos, hasta el punto que la empresa deberá exponer sus datos de contacto. Por esta razón, la AEPD establece que debe contar con autonomía total para ejercer sus funciones y tener relación directa con la Dirección.

¿Qué tipo de datos protege el nuevo reglamento que no hacía la anterior normativa?

Más que un nuevo tipo de datos, lo que hace es reforzar los derechos e imponer más obligaciones. En definitiva, obliga a las empresas a ser más transparentes, concisas, y detalladas a la hora de informar. En la información en primera capa –la primera que lees, por ejemplo, al entrar a un formulario web– debe quedar claro quién es el responsable, qué derechos tengo, si van a ceder o no mis datos… Y, después, en una segunda capa, te puedes informar más. Pero ya en la primera tiene que quedarte claro.

Aunque si es verdad, que también hace referencias a nuevas definiciones de datos personales –que no hacia la LOPD– que se ven afectados por los avances tecnológicos, como por ejemplo los datos biométricos(huellas digitales, reconocimiento facial, etc.)

¿Qué pasa con los correos que recibo para pedirme el consentimiento? ¿Debo contestarlos a todos?

En estos correos se están realizando dos prácticas: informar de los cambios al usuario, o recabar su consentimiento “expreso”. Esto sucede porque depende del origen de esos datos y para qué se utilizan. Por ejemplo, si se ofrece el servicio que has contratado, se basa en un interés legítimo, y sólo se debería informar de los cambios. Pero, en aquellos casos donde, siendo potenciales clientes, se establecen bases de datos para hacer email marketing, lo que antes era válido ahora no sirve: antes se entendía que había un consentimiento tácito; ahora, se revierte y es obligatorio tener el consentimiento expreso.

¿Qué es lo que sucede? Que hay errores de muchas empresas, que tienen tu consentimiento anterior de forma lícita, y te lo vuelven a pedir innecesariamente…

¿Qué sucede si, como usuario, no doy mi consentimiento?

En el segundo de los casos de los que hablábamos, si no das tu consentimiento, no pueden seguir enviándote comunicaciones comerciales. La clave de todo está en el interés legítimo: si tú te suscribes a una Newsletter y tus datos sólo los usan para enviarte esa Newsletter pero no para hacer publicidad, por ejemplo, el interés es legítimo, y es suficiente el consentimiento que diste en su día, al contratar o darte de alta en ese servicio.

Yo ya cumplía la LOPD. ¿Tengo que hacer algo ahora?

Actualizarte, porque, por mucho que cumplieras la legislación anterior, hay nuevas obligaciones para las empresas y nuevos derechos para las personas.

¿Cómo afecta el RGPD a la relación con mis empleados?

Las empresas descuidaban mucho este punto… En el nuevo reglamento, siempre que hay un dato personal por medio que se recabe por primera vez, hay que decirle al empleado para qué es, por qué, para cuánto tiempo, si se va a ceder a terceras empresas… Si en su momento ya has informado, y en su caso, recabado su consentimiento si fuere necesario, no tienes que volver a hacerlo. Pero en muchos casos no se ha hecho.

Por otro lado, muchos empleados van a tratar datos de clientes, y la empresa debe indicarle cómo hacerlo. En empresas de cierta dimensión debe existir un reglamento interno al respecto.

¿Y a la relación con mis proveedores?

También afecta, pues detrás de cada proveedor siempre existe una persona física de contacto.

Pero el punto más relevante con proveedores es en aquellos casos que tienen acceso a los datos de la empresa –por ejemplo, una gestoría, o un proveedor de tecnología como el que da un software de ERP–. El responsable debe garantizar que estos proveedores, que ejercen de encargados de tratamiento de esos datos a los que acceden, cumplen las obligaciones que establece el reglamento.

¿Quién puede denunciarme por incumplir el RGPD? ¿A qué sanciones me enfrento?

Puede denunciarte, ante la AEPD, cualquier usuario que vea afectados sus datos personales, o que perciba un mal uso de los mismos. O mismamente, que ejerce sus derechos y no recibe respuesta por parte de la empresa (que ha de actuar en tiempo y forma). También un empleado.

Las multas administrativas se endurecen sobre todo para empresas grandes, donde se incrementan hasta 20 millones de euros o un 4% de la facturación anual. En el caso de las pymes que no traten datos sensibles es evidente que no va haber sanciones de esa magnitud, pero no quedarán exentas de ellas… siempre teniendo en cuenta la gravedad de la situación. Además, hay medidas disuasorias. Por ejemplo, cuando una pyme comete un error y hace lo posible por solucionarlo, la sanción va a ser menor.

A su vez, el RGPD también introduce el derecho a indemnización y responsabilidad para casos concretos en los que se hayan producido daños y perjuicios.

¿Tengo que actualizar toda la información de mi empresa en la web de la AEPD?

La gestión de ficheros en la web de la AEPD desaparece, ya no existe esa obligación. Pasa a ser responsabilidad interna de la empresa, que debe tener un registro interno de la trazabilidad de los datos.

Con toda la publicidad que recibo a través de Internet, ¿cómo puedo saber quién está utilizando mis datos, y si tiene mi consentimiento? (Si es el anunciante o es Google o cualquier red social)

Lo primero, tendrías que informarte del origen de esos datos. Otra cosa es que no te acuerdes de cuándo y por qué los diste… Pero, en cualquier caso, siempre puedes ejercer tu derecho de acceso para saber los datos que tiene la entidad. Y en su caso, la entidad debe facilitar revocar el consentimiento de una forma tan sencilla como cuando lo recabó en su momento.

A la hora de hacer publicidad, si no proporciono yo los datos hacia quien va dirigida ésta, ¿debo preocuparme por el RGPD o debe hacerlo la agencia que contrato?

En principio, sí debes preocuparte. Hay que ver si la agencia a la que contratas hace esa publicidad en su nombre o en el de tu empresa. Si lo hace en el tuyo, sí es tu responsabilidad.