Veamos a continuación un resumen del Reglamento General de Protección de Datos (RGPD), introducido en 27 de abril de 2016 por el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, que entra en vigor en España y resto de países de la Unión Europea este 25 de mayo de 2018. La Agencia Española de Protección de Datos (AGPD) pone a disposición de las personas y empresas toda la información a respecto.
El resumen del Reglamento General de Protección de Datos se hará desde el punto de vista más práctico posible y aplicable a una pequeña empresa, con la visión de un economista.
Para más información sobre el Reglamento General de Protección de Datos no dude en usar nuestro foro gratuito de abogados y economistas o pedir una cita a los expertos del despacho aquí.
La AGPD pone a disposición de las empresas que realizan tratamiento de datos personales de bajo riesgo (datos de contacto, facturación, proveedores y empleados) una herramienta online llamada Facilita. En todo caso, cualquier responsable de empresa debería conocer al menos un buen resumen del Reglamento General de Protección de Datos. Interesante es también esta página de la Comisión sobre la reforma en materia de protección de datos.
¿Cumplo con el RGPD?
Este resumen del Reglamento General de Protección de Datos trata de ser una guía simplificada para que una pequeña empresa o autónomo sepa qué obligaciones en materia de protección de datos debe cumplir y cómo. Sin embargo, el tema es lo suficientemente complejo y la terminología específica que por mucho que nos hayamos esforzado en simplificar, somos conscients de la dificultad de ello. La AGPD ofrece un lista de verificación simplificada para pymes y micropymes (que traten datos personales de bajo nivel, como ficheros de empleados, clientes y proveedores) que vamos a enumerar e intentar simplificar:
- ¿Qué base jurídica me ampara para el tratamiento de datos que estoy haciendo?
- ¿Informo adecuadamente en mi página web, en contratos y demás soportes del tratamiento de datos que realizo?
- ¿Informo de los derechos y cómo ejercerlos en materia de protección de datos a los interesados?
- ¿Llevo un adecuado registro de actividades de tratamiento?
- ¿Uso las medidas de seguridad adecuadas al nivel de riesgo de los datos que manejo?
- ¿Tengo firmado un contrato de encargo con todos los encargados de tratamiento (asesorías, gestorías, colaboradores…)?
Ámbito de aplicación del RGPD
La protección de las personas físicas en relación tratamiento de sus datos personales es un derecho fundamental. Un derecho que evidentemente no es absoluto y debe mantener el equilibrio con otros derechos fundamentales. El RGPD busca armonizar la protección de datos de personas físicas en todos los Estados miembros a la vez que no se dificulta innecesariamente la libre circulación de datos entre los Estados.
Regula el tratamiento automatizado y manual de datos, cuando los datos personales figuren en un fichero. Los datos no estructurados según criterios específicos no entran en el ámbito de aplicación del RGPD. No se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. No afecta, por ejemplo, a los datos que recabamos de nuestros contactos en el uso normal de una red social.
Se aplica a toda información personal de una persona física identificada o identificable, no a datos anónimos o de personas fallecidas.
Las obligaciones de notificar los ficheros gestionados a la Agencia de Protección de Datos desaparece. A partir del 25 de mayo de 2018 las empresas debe contra con un registro de actividades.
Consentimiento para el tratamiento de datos
Copiamos literal de la norma por su claridad:
“El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines.”
Principios del tratamiento de datos
El tratamiento de datos de carácter persona debe ser lícito y leal. Toda comunicación e información al respecto debe ser transparente, de fácil acceso, utilizando un lenguaje claro y sencillo (ver guía del cumplimiento del deber de informar). Los fines del tratamiento deben comunicarse en el momento de recoger los datos, que deben ser adecuados, pertinentes y limitados a lo necesario para los fines comunicados.
Cuando se obtengan datos del interesado, por ejemplo en un formulario web, hay que informarle, entre otras cuestiones, de:
- la identidad y los datos de contacto del responsable y, en su caso, de su representante;
- los datos de contacto del delegado de protección de datos, en su caso;
- los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;
- cuando el tratamiento se base en el artículo 6, apartado 1, letra f) (el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño), los intereses legítimos del responsable o de un tercero;
- los destinatarios o las categorías de destinatarios de los datos personales, en su caso;
- el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;
- la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;
- el derecho a presentar una reclamación ante una autoridad de control;
- si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos; la existencia de decisiones
- la existencia de decisiones automatizas, incluida la elaboración de perfiles, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
Datos sensibles
Son datos que merecen una especial protección y que una empresa jamás debería recabar sin el debido amparo legal:
- Los datos de carácter personal que revelen el origen racial o étnico.
- El tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.
- Datos personales sobre las opiniones políticas de las personas.
Ejercicio de los derechos relacionados con los datos
El interesado debe poder ejercer gratuitamente y por medios electrónicos sus derechos de acceso, rectificación o supresión, así como el de oposición (Derechos ARCO). El responsable de tratamiento de la empresa debe contestar al interesado en un plazo no superior a un mes.
Se regula el derecho al olvido (“A fin de reforzar el «derecho al olvido» en el entorno en línea, el derecho de supresión debe ampliarse de tal forma que el responsable del tratamiento que haya hecho públicos datos personales esté obligado a indicar a los responsables del tratamiento que estén tratando tales datos personales que supriman todo enlace a ellos, o las copias o réplicas de tales datos. Al proceder así, dicho responsable debe tomar medidas razonables, teniendo en cuenta la tecnología y los medios a su disposición, incluidas las medidas técnicas, para informar de la solicitud del interesado a los responsables que estén tratando los datos personales”) y el derecho a la portabilidad (“cuando el tratamiento de los datos personales se efectúe por medios automatizados, debe permitirse asimismo que los interesados que hubieran facilitado datos personales que les conciernan a un responsable del tratamiento los reciban en un formato estructurado, de uso común, de lectura mecánica e interoperable, y los transmitan a otro responsable del tratamiento. Debe alentarse a los responsables a crear formatos interoperables que permitan la portabilidad de datos”) de los datos personales.
Análisis de riesgo automático
Establece la norma que no se pueden implementar scorings de crédito automatizados, algo que en mi opinión dificulta la evaluación automática en la concesión de créditos y dificulta la labor de algunas iniciativas fintech en esta dirección:
“El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el tratamiento automatizado y produzca efectos jurídicos en él o le afecte significativamente de modo similar, como la denegación automática de una solicitud de crédito en línea o los servicios de contratación en red en los que no medie intervención humana alguna.”
Contrato con los encargados del tratamiento de datos
El responsable del fichero o del tratamiento de los datos personales es, según la AGPD, persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente (la empresa o entidad que recaba datos personales y los gestiona). Ver guía resumen del Reglamento General de Protección de Datos.
El encargado del tratamiento es la persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio (por ejemplo la asesoría laboral y fiscal).
Con las empresas que tenemos una relación jurídica y les pasamos datos personales (los encargados de tratamiento) hay que asegurarse que cumplen con el RGPD y tener firmados los contratos correspondientes (ver guía de contratos). Una vez finalizado el tratamiento el encargado del tratamiento debe, a elección del responsable, devolver o suprimir los datos personales, salvo que haya alguna Ley que le obligue a conservarlos. El contenido mínimo de dichos contratos entre responsable y encargados es:
- Objeto, duración, naturaleza y la finalidad del tratamientos.
- Tipo de datos personales y categorías de interesados.
- Obligación del encargado de tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable.
- Condiciones para que el responsable pueda dar su autorización previa, específica o general, a las subcontrataciones.
- Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de derechos de los interesados.
Las empresas de menos de 250 trabajadores no están obligadas a mantener un registro de operaciones de tratamiento, si no manejan datos sensibles.
Medidas de seguridad de los datos
Dependiendo del nivel de riesgo de los datos que manejamos, deberemos aplicar determinadas medidas técnicas y organizativas para garantizar la integridad de la información, entre otras:
- la seudonimización y el cifrado de datos personales;
- la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
- la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico (copias de seguridad en diferentes ubicaciones, por ejemplo);
- un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
Notificar violaciones de seguridad
Serían situaciones del tipo pérdida de un ordenador con datos personales, acceso no autorizado a los datos tratados por la empresa o entidad o el borrado accidental de datos personales. El responsable debe notificar la quiebra de seguridad en un máximo de 72 horas a la autoridad de supervisión pertinente. De momento y hasta que se implemente un formulario estandarizado a nivel europeo, las notificacions se hacen aquí.
Sanciones por incumplir el RGPD
No debería ser la razón fundamental para preocuparnos por la buena gestión de los datos que manejamos, pero sin duda es un tema que hay que tener en cuenta: las sanciones por incumplir el Reglamento. El artículo 83 reseña las condiciones generales para la imposición de multas administrativas, moduladas según cada caso individual, agravadas o atenuadas según la naturaleza, gravedad y duración de la infracción, la intencionalidad o negligencia, las medidas tomadas para paliar los daños y perjuicios sufridos por los interesados, el grado de responsabilidad, existencia de infracciones anteriores. grado de cooperación con la autoridad, tipo de datos afectados, entre otras circunstancias.
Las multas administrativas son como máximo de 10 millones de euros, el 2% el volumen de negocio total anual global del ejercicio anterior si se trata de una empresa.
Espero que con este resumen del Reglamento General de Protección de Datos y la información que enlazamos sea suficiente para entender y aplicar en vuestra empresa las nuevas obligaciones en materia de protección de datos de personas físicas.