El Reglamento General de Protección de Datos (RGPD) es una legislación de la Comunidad Europea que refuerza la protección de los datos personales de las personas físicas, y de la libre circulación de dichos datos. El reglamento entró en vigor el 25 de mayo de 2016, pero su aplicación obligatoria se establece a partir del 25 de mayo de 2018 (vamos, que es casi inminente).

Pero, pese a que el RGPD está en vigor desde 2016, muchas empresas aún no están preparadas para el desafío que implica. Y muchas empresas pequeñas y medianas y autónomos ni siquiera conocen su existencia y las obligaciones a las que el Reglamento General de Protección de Datos les somete.

Dejadez, desconocimiento y sobre todo muy poca publicidad al respecto son algunas de las causas de esta situación.

Además, no hay consenso entre los profesionales sobre cómo se aplican algunas de las regulaciones contenidas en el Reglamento, lo que esperamos se vaya aclarando en un plazo breve.

El Reglamento General de Protección de Datos

¿Quién está obligado por el Reglamento General de Protección de Datos?

Huyendo de un lenguaje más técnico, podemos decir que el Reglamento obliga a todas aquellas personas o entidades públicas o privadas que hagan un tratamiento de datos de cualquier interesado residente en la Unión Europea, salvo algunas excepciones que se mencionan en el RGPD. De estas excepciones, la que nos es más aplicable al grueso de la gente es la del tratamiento de datos realizado por una persona física en el ejercicio de actividades puramente personales o domésticas (vamos, que podemos seguir guardando los números de teléfono de nuestros amigos en la agenda, para entendernos).

Es muy importante que entendamos todos esto. Es muy posible que, aunque creamos que el RGPD no nos atañe, lo más posible es que así sea.

Caso práctico

José, un electricista que no ha oído hablar del RGPD, ni tiene página web ni nada, recibe una llamada de un posible cliente para pedirle un presupuesto. José anota en un papel su nombre y número de teléfono para llamarle más tarde y concertar una visita.

Pues bien, el nombre y número de teléfono del cliente son datos personales, y por lo tanto José pasa a estar sujeto a las disposiciones del Reglamento General de Protección de Datos.

¿Qué novedades tiene el Reglamento General de Protección de Datos?

Las novedades son muchas, tanto a nivel organizativo como de requisitos de la recogida de datos. No vamos a analizar en detalle todos los aspectos del RGPD (aunque en próximos artículos profundizaremos en algunos aspectos más determinados). Sólo en los aspectos que consideremos más relevantes.

En primer lugar, los datos personales serán recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines. (artículo 5.1.b).

Esto significa un cambio bastante importante con respecto a lo que había interiormente. Pondremos un ejemplo. Si tenemos datos personales de un cliente que nos ha pedido un presupuesto, sólo podremos utilizar dichos datos para ese fin concreto. No podremos, por ejemplo, utilizar su correo electrónico para enviarle información comercial no referida al presupuesto solicitado, dado que los datos no se recogieron con ese fin. El envío de publicidad es otro fin, para el que deberemos recibir la correspondiente autorización por parte del interesado.

Tampoco se podrán guardar los datos personales más tiempo del necesario para el cumplimiento de los fines para los que se recogieron. Es decir, que una vez enviado el presupuesto, y si no es aceptado en el plazo indicado en el mismo, los datos deberían borrarse de nuestros archivos.

El tratamiento del dato sólo será lícito si se cumple al menos una de seis condiciones determinadas, entre las que están el consentimiento expreso del interesado y la necesidad del tratamiento de datos para el cumplimiento de un contrato.

El Reglamento nos dice cuándo podemos realizar un tratamiento de datos, siendo ilícito cualquier tratamiento no recogido en los puntos anteriores. Además, deja claro qué características debe tener, por ejemplo, el consentimiento.

Otro aspecto importante es que la persona o entidad que realice el tratamiento de datos debe ser capaz de acreditar que cuenta con dicho consentimiento o que cumple con alguna otra de las condiciones establecidas.

Derechos de los interesados en el Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos establece una serie de derechos de los usuarios entre los que se encuentran:

  • Acceso y posibilidad de rectificación de sus datos personales.
  • Supresión de los datos personales (derecho al olvido).
  • Limitación de su tratamiento.
  • Oposición al tratamiento.
  • Portabilidad de los datos.
  • Revocación del consentimiento.

Quizás el más novedoso sea el último. Esto significa que el interesado puede solicitarnos sus datos en un formato estructurado de uso común y lectura mecánica. Por ejemplo, un archivo csv.

Obligaciones de los sujetos que realizan tratamiento de datos

Por supuesto, el RGPD añade también varias obligaciones a los responsables del tratamiento de datos.

La primera y más importante es la seguridad.

El Reglamento General de Protección de Datos obliga a dar un énfasis en la seguridad de los datos ya desde el diseño y por defecto. Entraremos a analizar este apartado en profundidad en posteriores artículos, pero por ejemplo obliga a notificar cualquier violación de la seguridad de los datos en un plazo de 72 horas.

Así mismo,obliga a mantener un registro exhaustivo de las actividades de tratamiento, incluyendo los consentimientos recibidos y los fines autorizados, etc.

Y, por supuesto, obliga a facilitar a los usuarios el ejercicio de los derechos que hemos mencionado anteriormente de una manera fácil.

En resumidas cuentas, una serie de obligaciones que sin duda supondrán una adecuación a las empresas.

Una adecuación que, en el caso de pequeñas y medianas empresas y/o autónomos puede resultar excesivamente compleja o requerir la intervención de asesorías especializadas, lo que sin duda recomendamos, a pesar del coste que puede suponer.

Hay más elementos dentro del RGPD que son de interés, aunque no son de aplicación tan general, como la figura del Delegado de Protección de Datos, que será obligada en el caso de tratamiento de algunos datos especialmente sensibles. De todo ello hablaremos en próximos artículos.

Mi compañero Mark Eting está también preparando artículos sobre cómo influirá el Reglamento General de Protección de Datos en nuestras páginas web (al parecer tanto el consentimiento de las cookies como los formularios necesitan una serie de modificaciones). Estad atentos a nuestro blog.

También podéis seguirnos en nuestra página de Facebook para estar al tanto de todas las novedades.