¿A quién Se Aplica el RGPD? ¿Cuándo Hay Que Cumplirlo?

El Reglamento General de Protección de Datos (RGPD) es una norma de obligado cumplimiento para las empresas que operan en la Unión Europea o el Espacio Económico Europeo. Se aplica en relación al tratamiento de datos personales que las compañías deben seguir.

Cualquier actividad dentro de la UE, incluído el territorio español, debe cumplir con el reglamento, que entró en vigor la norma el 25 de mayo de 2018.

Es esencial que cualquier empresa dentro del EEE garantice la privacidad de los individuos con los que tenga contacto. Esto implica un compromiso firme de proteger los datos personales de cualquier persona física que facilite información a la empresa.

Tanto si se trata de un cliente existente como si es un potencial cliente o socio que llena un formulario en la web o en redes sociales, cualquier dato personal recopilado debe ser tratado según indica el RGPD.

En concreto, ¿a quién aplica el RGPD?

• A todas las empresas, asocaciones y entidades públicas con sede en el EEE, independientemente de su tamaño o sector
• A las empresas con sede fuera de la UE que ofrecen bienes o servicios a personas ubicadas en el EEE
• A cualquier organización que monitorice el comportamiento de ciudadanos europeos

Estas organizaciones tienen una serie de obligaciones fundamentales:

• El tratamiento de datos personales debe ser lícito, leal y transparente
• Los datos personales deben ser recopilados y tratados de manera que se minimice la cantidad
• Es obligatorio que sean datos exactos y que estén actualizados
• Los datos personales no deben ser almacenados por más tiempo del necesario
• No se permite usar los datos más allá del fin por el que fueron recolectados
• Los datos personales deben ser protegidos contra el acceso no autorizado, la pérdida o la destrucción

Para cumplir con ello, se deben realizar auditorías internas, desarrollar una política de privacidad, obtener consentimiento expreso de los datos tratados e implementar medidas de seguridad.

A la hora de cumplir el reglamento europeo relativo a la protección de datos, es importante tener claro quién es el responsable. De hecho, también hay que diferenciar entre algunas figuras que están estipuladas en la normativa.

Por un lado, tenemos al responsable del tratamiento de datos personales. Puede ser una persona física o jurídica, de derecho público o privado. Su función es determinar los fines y medios del tratamiento de datos. Tanto si se trata de una empresa como de una asociación u otra entidad, debe cumplir con las siguientes obligaciones:

• Seguir los principios del reglamento de forma lícita, leal y transparente
• Obtener el consentimiento de los interesados cuando sea necesario
• Adoptar las medidas necesarias para proteger la información recopilada
• Notificar a las autoridades de posibles brechas de seguridad que afecten a la privacidad
• Atender los derechos de los individuos: acceso, rectificación, etc.

Por otro lado, hay unas entidades públicas que se encargan de velar por el cumplimiento del RGPD dentro de cada uno de los Estados miembros de la UE. En España contamos con la Agencia Española de Protección de Datos (AEPD).

La AEPD es la autoridad en España que controla el cumplimiento del Reglamento General de Protección de Datos 2016/679. No solo vela por el seguimiento de la normativa, sino también promueve la sensibilización y asesora sobre buenas prácticas.

¿Qué funciones tienen las autoridades de control?

• Supervisar que los responsables del tratamiento cumplan el reglamento
• Controlar si los encargados del tratamiento siguen la normativa
• Investigar reclamaciones presentadas por afectados
• Iniciar expedientes sancionadores si se incumple la ley
• Emitir dictámenes o guías sobre la aplicación del reglamento
• Informar y asesorar sobre el cumplimiento de la norma

Se trata de un tercero que realiza las operaciones de tratamiento de los datos bajo instrucciones del responsable del tratamiento.

Mientras el responsable es quien tiene que controlar que tanto la recopilación como el tratamiento sean acordes a la ley, el encargado es quien ejecuta el tratamiento de dichos datos.

¿Qué obligaciones tiene el encargado del tratamiento?

• Tratar los datos personales siguiendo las instrucciones del responsable del tratamiento
• Garantizar la seguridad de los datos personales
• No comunicar los datos personales a terceros sin autorización
• Ayudar al responsable del tratamiento a cumplir con sus obligaciones

Por ejemplo, dentro de esta categoría se pueden encontrar proveedores que trabajan para una empresa, como:

• Compañías de hosting, que almacenan datos
• Agencias de marketing, que envían campañas por correo electrónico
• Empresas de análisis de datos, que procesan información para extraer conclusiones comerciales

Estos ejemplos ilustran claramente que cuando hablamos a quién aplica el RGPD, son muchos los sujetos involucrados. Es el deber de todos los ciudadanos y de las empresas conocer bien el reglamento para poder cumplirlo en cualquier clase de interacción con datos personales.

Para que la protección de datos personales deba someterse al Reglamento General de Protección de Datos, hay una serie de criterios. Esta normativa no afecta a cualquier empresa, sino solamente a las que cumplen con alguna de las siguientes opciones:

• La organización tiene un establecimiento en el Espacio Económico Europeo
• Es una empresa que ofrece bienes o servicios a ciudadanos del EEE
• Se trata de una empresa que monitoriza el comportamiento de personas ubicadas en el EEE

En definitiva, afecta siempre y cuando la empresa trate datos de personas dentro de la Unión Europea o el resto del EEE. Por lo tanto, no es requisito que la compañía tenga una sede en algún Estado miembro. Podría, por ejemplo, operar desde Estados Unidos, pero tener obligaciones sobre la protección de datos de ciudadanos europeos.

Para concretar a quién se aplica el RGPD, veamos en concreto algunos ejemplos de organizaciones que deben cumplirla.

Por un lado, entrarían dentro de la normativa todas las empresas, bajo los tres supuestos señalados en el punto anterior. No importa que sean sean pymes o grandes empresas. También afecta a los autónomos que por su profesión tengan que realizar un tratamiento de los datos de terceros.

Más allá de las empresas, también deben cumplir esta norma las organizaciones sin ánimo de lucro. Cualquier ONG, asociación o fundación de la Unión Europea tiene la obligación de cumplir con la protección de datos personales que marca el reglamento.

Para terminar, tampoco están exentas las administraciones públicas. Al fin y al cabo, hablamos de derechos y libertades fundamentales que todos deben cumplir, para la protección de los ciudadanos. En este sentido, los ministerios, comunidades autónomas, ayuntamientos y otras entidades deben asegurar la protección de los datos personales.

Con todo, tal y como se describe en el artículo 6 del RGPD, hay ciertas excepciones. Por ejemplo, en caso de que el tratamiento de datos sea necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento. En este supuesto, tenemos un caso donde se considería lícito, según el reglamento, tratar los datos personales aunque no haya las condiciones que normalmente se exigen, como el consentimiento.

Se considera que el interés público prevalece sobre el interés individual del ciudadano a la protección de sus datos personales.

Sin embargo, esto no significa que las entidades públicas puedan tratar datos personales de forma arbitraria. Deben seguir cumpliendo con los principios del RGPD, como la licitud, lealtad y transparencia, la minimización de datos, la exactitud y la limitación del plazo de conservación.

A la hora de definir responsabilidades y roles en el tratamiento de datos, las empresas deben tener clara la distinción entre controlador y procesador de datos. Mientras que el primero se refiere a la persona que determine los fines o los medios, el procesador es quien trata directamente con los datos por cuenta de otro.

A muchas empresas les preocupa si están cumpliendo la normativa en materia de privacidad o si pueden ser objeto de sanciones por parte de la autoridad competente. En este sentido, vamos a ver con detalle las preguntas fundamentales para poder determinar si en su caso debes seguir el RGPD.

Veamos una serie de puntos, a modo de lista de comprobación, sobre los puntos que determinan si su organización tiene que seguir el reglamento que nos ocupa.

Hay ciertos escenarios en que las empresas deben tener presente que se aplica el RGPD, en inglés General Data Protection Regulation (GDPR). Aunque no son evidentes ni responden a los casos típicos, se debe tomar nota, por si su organización se encuentra dentro de estos parámetros.

Por ejemplo, si su empresa está fuera de la UE pero ofrece bienes o servicios (incluso gratuitos) a ciudadanos de la UE, o monitorea su comportamiento (por ejemplo, mediante el uso de cookies), el RGPD se le aplica.

El RGPD no solo regula el tratamiento de datos personales dentro de la Unión Europea, sino que también se aplica a la transferencia de datos personales fuera de la UE a países terceros u organizaciones internacionales. El objetivo es garantizar que el nivel de protección de los datos personales se mantenga, incluso cuando se transfieren a países con leyes de privacidad menos estrictas.

Las organizaciones fuera de la UE que están sujetas al RGPD deben designar un representante en uno de los estados miembros de la UE. Este actuará como punto de contacto para las autoridades supervisoras y los sujetos de datos en la UE.

Si en el punto anterior ha identificado que su empresa debe cumplir con la ley, es el momento de ver qué supone y qué medidas debe tomar. El RGPD (Reglamento General de Protección de Datos) tiene un impacto significativo en las organizaciones que lo aplican.

Las empresas deben asegurar la protección de los datos que recopilan, ¿pero cómo se materializa dicha protección? Estas son, en suma, las obligaciones que se deben seguir para un correcto tratamiento de los datos.

• Licitud, lealtad y transparencia
• Limitación de la finalidad
• Minimización de datos
• Exactitud y actualización
• Limitación del plazo de conservación
• Integridad y confidencialidad

Más allá de los principios básicos mencionados, existen medidas adicionales que se pueden implementar. No es necesario limitarse a cumplir el ordenamiento jurídico, se puede ir un paso más allá.

Por ejemplo, las empresas pueden cifrar los datos sensibles o confidenciales, además de realizar auditorías regulares de seguridad. Como el guardián de una casa, que puede agregar medidas extra para protegerla, lo mismo ocurre con la protección de la privacidad de los usuarios y sus datos.

NHay que tener en cuenta que no es suficiente con proteger los datos personales de un usuario, sino que primero se debe contar con su permiso para tener dicha información. Las organizaciones deben obtener el consentimiento libre, específico, informado e inequívoco de las personas antes de recopilar o usar sus datos personales.

Además, el consentimiento debe ser fácil de entender y de dar o retirar. Este aspecto de la normativa es clave, para evitar por ejemplo confusiones en contratos con letra pequeña. También es fundamental para evitar que las empresas pongan dificultades adicionales para penalizar de alguna forma la eliminación de datos por parte de los usuarios.

Las personas deben tener control sobre sus datos personales y poder acceder a ellos, rectificarlos, eliminarlos o restringir su tratamiento.

De acuerdo con el abogado y experto en privacidad Michael Hurckes, «la clave está en diseñar mecanismos de consentimiento que no sólo cumplan con el RGPD sino que también sean fáciles de usar y transparentes.»

Si en su organización se cumple el RGPD de forma parcial o actualmente no estaba contemplado, es fundamental que siga los siguientes pasos.

Para comenzar, identifique los riesgos para la privacidad de los datos en sus productos, servicios y procesos. Deberá poder determinar el nivel de protección necesario para los datos personales que esté tratando.

Una vez identificado el estado de la protección de datos en su empresa, es el momento de implementar medidas. Por un lado, están las de tipo técnico, y también las de carácter organizativo. Limite el acceso a los datos a las personas que los necesitan para realizar su trabajo. Además, añada la seguridad informática y física necesaria para que los datos estén a salvo. Es fundamental evitar el acceso a personas no autorizadas, así como un uso indebido, divulgación, pérdida o destrucción.

Otro de los pasos clave es la designación de un delegado de protección de datos. Esto es obligatorio si su empresa está sujeta al Reglamento de la Unión Europea. Más allá de esta figura, todo el personal deberá estar formado sobre sus responsabilidades en lo relativo al tratamiento de datos.

Las empresas no solo deben realizar una implementación inicial del reglamento. Además, es crucial la revisión y auditoría regular de las prácticas de tratamiento de datos.

Es posible, por ejemplo, que haya algunas deficiencias que necesiten corregirse, en cuanto a las prácticas de tratamiento de datos.

También hay determinados programas que ayudan a cumplir con el reglamento, soluciones digitales que facilitan seguir el RGPD.

La protección de datos no es una tarea única, sino un proceso continuo que requiere un compromiso constante por parte de las organizaciones.

De hecho, tal como señala la abogada y experta en privacidad Adrienne Fischer, «no se trata sólo de implementar procedimientos, sino de incorporar una cultura de privacidad en todas las operaciones.»

Las empresas que no cumplan con el RGPD pueden ser sancionadas con multas de hasta 20 millones de euros o el 4% de su facturación anual global.

Además, seguir esta normativa de la Unión Europea genera confianza en los clientes y favorece la buena reputación de las empresas.

¿Quiere evaluar el cumplimiento del RGPD de tu negocio y recibir asesoramiento especializado? Las soluciones digitales de Usercentrics le ayudan a cumplir la privacidad de datos y gestionar el consentimiento de los usuarios.

A día de hoy es imperativo para las empresas conocer a fondo el reglamento y su aplicación. Se trata de una norma de vital importancia cuyo incumplimento atenta contra derechos fundamentales. Además, no solo es una cuestión legal, sino también ética y de responsabilidad corporativa. Por último, cumplir con el RGPD afecta directamente a la imagen de las organizaciones.

Es fundamental tomar las medidas necesarias para estar al día de esta ley, y asegurarse de revisar su cumplimiento de manera continua. Las empresas tienen una responsabilidad y también una excelente oportunidad.

En un mundo global y digitalizado, aquellas organizaciones que transmitan mayor preocupación por proteger a los individuos y su información, serán las más valoradas. Los clientes se sentirán más seguros si saben que sus datos personales están siendo protegidos de forma adecuada. Esto puede aumentar la fidelización de los clientes y la probabilidad de que recomienden la empresa a otros.

Las empresas que se adapten al RGPD estarán mejor preparadas para afrontar los retos del futuro en materia de protección de datos.

Descargo de responsabilidad: Usercentrics no provee asesoría legal, y la información provista tiene fines únicamente educativos. Siempre recomendamos recurrir a consultorías legales cualificadas o especialistas en privacidad en relación a las cuestiones y operaciones sobre privacidad y protección de datos.