¿Qué es el RGPD? Definición, Relevancia y Guía de Cumplimiento

En la era digital actual, la protección de datos personales es un derecho fundamental. El Reglamento General de Protección de Datos (RGPD) es la normativa más importante en materia de privacidad y protección de datos a nivel europeo. Entró en vigor el 25 de mayo de 2018 y desde entonces las empresas han tenido que adaptar sus políticas para cumplirlo. Con todo, aún es habitual tener dudas sobre qué es el RGPD, su aplicación y mucho más.

La empresas deben tener muy presente este reglamento para asegurarse de cumplirlo, tanto en su sitio web como en cualquier otra clase de comunicación corporativa. No hacerlo puede conllevar importantes sanciones económicas, así como daños a la reputación del negocio.

En este artículo, te guiaremos a través de todo lo que necesitas saber sobre el RGPD: qué es, por qué es importante, cómo cumplirlo y mucho más.

El Reglamento 2016/679 del Parlamento Europeo y del Consejo también se conoce como Reglamento General de Protección de Datos o RGPD. Regula el tratamiento de datos personales que realizan personas, organizaciones o empresas dentro de la Unión Europea.

El objetivo del RGPD es que las personas controlen mejor sus datos personales. Asimismo, moderniza las normas y las unifica entre los Estados miembro, facilitando que las empresas reduzcan la burocracia. Como beneficio, los consumidores pueden tener más confianza en las empresas, al ver que siguen una normativa que protege sus datos.

En concreto, el reglamento aplica a datos de personas físicas, y no incluye personas jurídicas ni fallecidas. Además, afecta solamente en el contexto de relaciones comerciales, socioculturales, financieras o profesionales de cualquier tipo. Es decir, el ámbito doméstico o personal queda exento de la normativa.

En el caso de España, desde que se promulgó el RGPD, la Ley Orgánica de Protección de Datos de Carácter Personal quedó obsoleta. Así, dicha ley de 1999 se sustituyó por La Ley Orgánica de Protección de Datos Personales y garantía de derechos digitales de 2018, que va acorde con el RGPD.

El reglamento (GDPR por sus siglas en inglés) entró en vigor en la UE el 24 de mayo de 2016. No obstante, no empezó a ser de aplicación hasta dos años más tarde, el 25 de mayo de 2018. El objetivo era dar tiempo a las empresas e instituciones para adaptarse a esta nueva normativa.

Este reglamento de la Unión Europea exige la creación de un sistema de autoridades propio e independiente en cada Estado miembro. Estas Agencias de Protección de Datos (la AEPD en España) son responsables de supervisar y velar por el cumplimiento de la norma dentro del Espacio Económico Europeo (EEE)

Estos son los objetivos del RGPD para los usuarios:

• Acceso más fácil a los datos personales que tiene una entidad
• Derecho a la portabilidad de dichos datos
• Opción de suprimir sus datos si lo desea (derecho al olvido)
• Notificación obligada en caso de que se haya violado la seguridad de sus datos

En definitiva, las personas físicas tienen más control sobre el tratamiento de los datos que hacen empresas e instituciones. Esto es crucial en la era digital actual, dado que continuamente los usuarios facilitan información personal en internet.

¿A quién se aplica y quién necesita cumplir con el RGPD? Este reglamento obliga a todas las empresas por igual. Cualquier compañía u organización que desarrolle sus operaciones en el mercado interior de la Unión Europea o el Espacio Económico Europeo, debe seguirlo.

Respecto a la aplicación de esta normativa, hay dos figuras que conviene tener bien claras: el responsable del tratamiento y el encargado del tratamiento. En este sentido el experto Eric Gracia González, abogado de Derecho.com , señala lo siguiente:

«En un tratamiento de datos personales el responsable del tratamiento es la persona física o jurídica que determina los fines (el porqué) y los medios (el cómo), lo cual puede hacerse incluso sin llegar a tener un acceso real a los datos.

Por otro lado, el encargado del tratamiento es la persona física o jurídica independiente del responsable del tratamiento que trata los datos personales por cuenta de éste, siguiendo sus instrucciones. La situación más habitual es aquella en la que el encargado del tratamiento es un proveedor del responsable del tratamiento que trata los datos personales para prestarle un determinado servicio. Es obligatorio que entre responsable y encargado se haya formalizado un contrato de tratamiento de datos, u otro acto jurídico escrito, con el contenido mínimo que establece el artículo 28 del RGPD.»

La distinción entre el responsable del tratamiento y el encargado del tratamiento es importante. Cada uno tiene diferentes responsabilidades y obligaciones legales bajo el RGPD. ¿Por qué se hace así? Para garantizar una protección adecuada de los datos personales y asegurar el cumplimiento de las leyes de protección de datos. Así, se asignan responsabilidades claramente, y se garantiza que los datos se usen de forma ética y legítima.

Además, la formalización de un contrato entre el responsable y el encargado del tratamiento ayuda a establecer claramente los términos y condiciones del tratamiento de datos personales. Todo ello contribuye a una mayor transparencia y seguridad, en favor del usuario.

Toda normativa implica una serie de obligaciones para quien debe seguirla, y también va asociada a unos derechos. En este caso, las empresas deben cumplir una serie de exigencias del reglamento. Por su parte, a los ciudadanos de la UE se les reconoce con el reglamento unos derechos fundamentales.

Obligaciones de las empresas respecto al tratamiento de datos

Para cumplir con el RGPD, las empresas deben llevar a cabo una serie de acciones:

• Implementar medidas de seguridad adecuadas para proteger los datos personales
• Obtener el consentimiento explícito de los individuos para el tratamiento de sus datos
• Mantener registros detallados de las actividades del tratamiento de datos
• En determinados caosos, designar a un delegado de protección de datos (DPO, por sus siglas en inglés)

Además, las empresas deben estar preparadas para responder a los usuarios de los que tengan datos. Estas personas, denominadas interesados en la ley, pueden solicitar el acceso a los mismos, así como su rectificación o eliminación.

Derechos de protección de datos de los ciudadanos europeos

Bajo el RGPD, dichos interesados tienen estos derechos según el RGPD:

• Recibir información clara y transparente sobre cómo se utilizan sus datos
• Acceder a sus datos personales
• Obtener confirmación de si están siendo procesados
• Conocer la información relacionada con el procesamiento
• Corregir sus datos inexactos o incompletos
• Solicitar la restricción del procesamiento en determinados casos
• Impugnar la exactitud de los datos personales
• Cuestionar la legalidad del procesamiento de datos

Además, las personas tienen derecho a recibir sus datos personales en un formato estructurado, de uso común y legible por máquina. Es decir, es fundamental que sean comprensibles y no se confunda a los usuarios con tecnicismos o ambigüedades.

Por otro lado, el individuo puede transmitir esos datos a otro controlador sin impedimentos, lo que se denomina portabilidad de datos. Por ejemplo, en caso de cambiar de proveedor de servicios.

También las personas se pueden oponer a que se traten sus datos para ciertos fines, como el marketing dirigido. Por eso a menudo aparecen dos casillas de verificación sobre el uso de datos en formularios online: para consentir su procesamiento para el servicio en sí, y para fines comerciales.

Las empresas deben seguir una serie de pasos para implementar el reglamento de la Unión Europea en materia de protección de datos.

En primer lugar, han de realizar una auditoría de privacidad datos, en la que se identifiquen y documenten todos los datos recopilados y procesados. También se deben evaluar los sistemas existentes y determinar si son acordes al RGPD.

Otro punto importante es la actualización de las políticas de privacidad o su producción, en caso de no tenerla. Deben ser transparentes, aparecer en canales digitales como la página web de forma accesible para cualquiera, y su contenido ha de ser verídico y cumplir con el Reglamento General de Protección de Datos.

Además, se deben establecer procedimientos internos que garanticen el ejercicio efectivo de los derechos individuales.

El Delegado de Protección de Datos (DPO) desempeña un papel fundamental en el cumplimiento del Reglamento.

¿Cuáles son las responsabilidades del DPO?

• Asesoramiento y orientación sobre el cumplimiento del RGPD
• Supervisión de la conformidad de la empresa con el RGPD
• Revisión del cumplimiento de otras leyes de protección de datos
• Conectar a las autoridades de protección de datos y a los individuos afectados
• Coordinar las evaluaciones de impacto en la protección de datos
• Gestionar la respuesta a las violaciones de datos
• Facilitar la formación y la concienciación del personal

Esta figura proporciona a las empresas la experiencia especializada necesaria para abordar la complejidad del tratamiento de datos.

Además de las obligaciones señaladas, es fundamental proteger a los individuos de potenciales amenazas. Las empresas deben identificar posibles riesgos para la privacidad de los datos y las vulnerabilidades en los procesos de tratamiento de datos personales. Asimismo, tienen que evaluar las brechas entre las prácticas actuales y los requisitos del RGPD y priorizar las áreas de mejora.

Según señala Gracia González, «legalmente no existe una metodología concreta y obligatoria para llevar a cabo un análisis de riesgos o una evaluación de impacto relativa a la protección de datos (EIPD), por lo que puede elegirse la que más convenga.»

Por su parte, el experto comparte un ejemplo que puede ser de interés para las empresas. Tal como señala, «la Agencia Española de Protección de Datos ha publicado su Guía de gestión del riesgo y evaluación de impacto en tratamientos de datos personales, donde propone una metodología para llevar a cabo ambas cosas, y la herramienta online Evalúa-Riesgo RGPD v2, específica para la realización de análisis de riesgos.»

La implementación práctica de la protección de datos pasa por contar con un sistema de seguridad robusto que pueda garantizarla.

Medidas de seguridad recomendadas para seguir el reglamento

Hay una serie de aspectos clave de un sistema de seguridad que garantice la confidencialidad, integridad y disponibilidad de los datos.

• Encriptación de los datos personales tanto en tránsito como en reposo
• Controles de acceso adecuados para restringir el acceso a los datos
• Técnicas de pseudonimización y anonimización para reducir el riesgo de identificación
• Políticas de contraseñas sólidas
• Promoción de prácticas de gestión de contraseñas seguras
• Auditorías periódicas de seguridad
• Usar software de seguridad actualizado y soluciones antivirus para proteger contra ataques cibernéticos

Cómo obtener y gestionar el consentimiento

El consentimiento expreso es una parte fundamental del RGPD y debe obtenerse de manera clara, específica, informada e inequívoca.

En este sentido, las empresas deben seguir estas prácticas, según marca el Reglamento General de Protección de Datos Personales:

• Proporcionar información clara y comprensible sobre cómo se utilizarán los datos
• Obtener el consentimiento de forma activa y positiva, mediante una acción clara y afirmativa
• Permitir que los individuos retiren su consentimiento en cualquier momento (de forma sencilla y sin perjuicio)
• Mantener un registro claro y detallado de los consentimientos obtenidos
• Obtener consentimiento separado para cada finalidad específica de tratamiento de los datos

En caso de procesar datos de menores de 13 años, se debe obtener consentimiento de los padres o tutores legales. Nota: de acuerdo a la legislación española la edad mínima asciende a 14 años.

El Registro de Actividades de Tratamiento es un requisito clave del Reglamento General de Protección de Datos. Se trata de una herramienta fundamental para demostrar el cumplimiento de la normativa.

En cuanto a lo que debe contener dicho registro, ¿qué no puede faltar? Es obligado que facilite información detallada sobre las actividades de tratamiento de datos personales llevadas a cabo por la organización. Esto incluye: finalidad, categorías de datos, categorías de destinatarios a quien se les ha revelado esos datos y plazos.

Este registro se debe mantener actualizado por las empresas u organizaciones. Cada cierto tiempo se debe revisar para reflejar los cambios en las actividades de tratamiento de datos.

Asimismo, la organización debe tener el registro de actividades de tratamiento disponible para su presentación a las autoridades.

Este registro también puede servir como base para realizar Evaluaciones de Impacto en la Protección de Datos (EIPD). Esto se da cuando se necesita examinar o mitigar algún riesgo para la privacidad de los individuos.

La implementación del RGPD también implica la creación y actualización de una serie de textos legales. Éstos deben estar en consonancia con las disposiciones de la normativa de protección de datos.

¿Qué documentos debe tener la empresa en este sentido?

Texto legal que describe cómo la organización recopila, utiliza, divulga y protege los datos personales de los individuos. También recoge los derechos de los interesados en relación a sus datos personales.

Se trata de declaraciones breves que se proporcionan a los individuos en el momento de la recopilación de datos. Con estos avisos se les informa de cómo se utilizarán sus datos personales.

Establecen las reglas y condiciones que rigen la relación entre la organización y los usuarios en relación al tratamiento de datos.

Son los archivos en los que se encuentra la autorización explícita del individuo sobre el tratamiento de datos de carácter personal para fines específicos.

Estos textos legales deben redactarse de manera clara y comprensible, y además deben ser accesibles para las personas involucradas.

No cumplir con el reglamento general de protección de datos puede acarrear graves consecuencias para las empresas. Ello puede suponer desde multas financieras hasta daños en la reputación. Asimismo, más allá de las implicaciones legales y éticas, puede suponer la pérdida de la confianza por parte de los clientes y usuarios.

En este sentido, tal como indica Gracia González, no cumplir con el reglamento»puede comportar la imposición de elevadas multas administrativas que pueden alcanzar los 20.000.000 EUR o, si el infractor es una empresa, una cuantía equivalente al 4% de su volumen de negocio total anual global del ejercicio financiero anterior, siempre optándose por la de mayor cuantía.»

Además, ¿qué ocurre con la persona que ha recibido daños o alguna clase de perjuicio material o inmaterial por una infracción? Por ejemplo, un usuario que ve comprometida información personal porque la empresa no respeta su privacidad de datos. El experto indica que «tiene derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. Dicha indemnización debe solicitarse por vía judicial.»

Otro punto que las organizaciones deben valorar antes de infringir esta normativa de la Unión Europea es el daño en su imagen:

«El daño reputacional que puede sufrir una empresa si se hace público que ha cometido una infracción en materia de protección de datos puede ser muy elevado, especialmente si su actividad principal tiene que ver con servicios que implican tratar datos personales de sus clientes«, señala Eric Gracia González.

En resumen, el incumplimiento del RGPD puede tener consecuencias significativas y costosas para las organizaciones. Por tanto, es crítico tomar las medidas necesarias para revisar y estar al día del cumplimiento de esta normativa.

¿Necesita cumplir con el RGPD? Contáctenos

Si quiere que su empresa cumpla con el RGPD, puede ponerse en contacto con nuestro equipo. Más de un millón de sitios web en más de 180 países de todo el mundo ya confían en Usercentrics. Haremos que su página cumpla con el RGPD y cualquier otra normativa relacionada con la protección de datos.

En definitiva, el Reglamento General de Protección de Datos es una normativa crucial dentro de la UE para las empresas.

• Todas las personas tienen derecho a que se protejan sus datos personales
• Se aplica a todas las empresas que operan en el mercado interior de la UE/EEE
• Es fundamental contar con el consentimiento de los individuos de que aceptan el tratamiento de sus datos personales
• El incumplimiento del RGPD puede resultar en multas financieras significativas y daños a la reputación
• Algunos de los derechos de los interesados son: derecho de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad de datos
• El tratamiento de datos debe tener un responsable en las empresas, así como un encargado del tratamiento
• Las compañías deben realizar una evaluación de impacto en la protección de datos (EIPD), para evaluar el impacto de una acción sobre la protección de los datos personales
• El Delegado de protección de datos (DPD) es la persona encargada de supervisar el cumplimiento del RGPD dentro de una organización
• Además, el DPD actúa como punto de contacto con las autoridades de protección de datos

Cumplir con el RGPD es esencial para proteger la privacidad de los individuos y garantizar el cumplimiento legal de las empresas que operan en la UE.

El cumplimiento del RGPD no es solo una obligación legal, también es una oportunidad para las empresas. Es crucial conocer a fondo esta normativa y tener los mecanismos necesarios para cumplirla.

Aquellas empresas o entidades que auditen y trabajen por cumplir exhaustivamente la protección de datos personales pueden lograr tres grandes beneficios:

• Mayor confianza de sus clientes
• Mejora de la reputación
• Aumento de la competitividad

En Usercentrics, le ayudamos a cumplir con el RGPD de forma fácil y eficiente. Nuestra plataforma de gestión del consentimiento te permite realizar el proceso de forma cómoda, sin quebraderos de cabeza. ¡Descubra más y empiece a mejorar el tratamiento de datos de su negocio!