RGPD – Reglamento General de Protección de Datos

1. ¿Qué es el RGPD? Reglamento General de Protección de Datos

El RGPD es el Reglamento General de Protección de Datos que establece la Unión Europea. Uno de los principios fundamentales de este reglamento europeo es conseguir que pymes, empresas, autónomos, profesionales e instituciones regulen el derecho y tratamiento de datos personales de personas físicas y la libre circulación de los mismos.

El RGPD entró en vigor en Europa el 24 de mayo de 2016 y fue de aplicación desde el 25 de mayo de 2018. En España se incorporó a la legislación vigente en materia de protección de datos el 5 de diciembre de 2018, a través de la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, LOPDGDD (BOE).

2. Ley Orgánica de Protección de datos y Garantía de los Derechos Digitales (LOPDGDD)

La LOPDGDD, a través del RGPD, incorpora los derechos y deberes vigentes en España relacionados con la protección de datos personales y el compliance. España tenía su propia normativa en materia de protección de datos personales, incorporada en el LOPD, en la Ley Orgánica 15/1999. El RGPD ha unificado y actualizado las diferentes normativas estatales de todos los países miembro de la Unión Europea. La LOPDGDD es la ley vigente en 2022.

El RGPD es de obligatorio cumplimiento para todas las pymes, empresas, sociedades, asociaciones, comunidades, profesionales e instituciones que se encuentren establecidas en la Unión Europea, que ofrezcan cualquier servicio o bien a personas en Europa, o monitorice cualquier tipo de dato de uso o comportamiento a personas que se encuentren en cualquier país de la Unión.

¿Qué pasa si no cumplo la Ley de Protección de Datos?

El RGPD ofrece herramientas a las APD – Autoridades de Protección de Datos – en caso de que no cumplamos con la ley. El organismo público encargado de velar por el cumplimiento de la ley de protección de datos en España es la AEPD – Agencia Española de Protección de Datos -.

La AEPD debe garantizar, en caso de infracción y sanción aplicada, que las multas impuestas sean efectivas, proporcionadas y disuasorias. La gravedad y la duración de la infracción, su intención o la naturaleza de la infracción serán puntos relevantes a tener en cuenta a la hora de imponer una multa.

Las sanciones están diferenciadas entre advertencias, limitaciones temporales, prohibición de tratamiento y multas por infracción.

3. Guía con los principales requisitos, derechos y libertades para cumplir la ley de protección de datos

En esta guía resumimos todos los requisitos necesarios para garantizar los derechos y libertades de las personas y sus datos personales. Para cumplir la ley deberás tener en cuenta:

• Análisis de riesgos en protección de datos:
  Realizar análisis de riesgos previo para determinar y clasificar el nivel de contingencia de las actividades de tratamiento de datos. Así podremos determinar las medidas de seguridad que serán necesarias para minimizar o evitar dichos riesgos
• Evaluación de riesgos e impacto en la privacidad:
  Ejecutar una evaluación de riesgos para instaurar las medidas técnicas y estructurales necesarias para avalar el nivel de seguridad oportuno al posible riesgo existente. En el caso de tratar datos de carácter sensible o de alto riesgo, deberás realizar antes una evaluación de impacto en privacidad
• Tratamientos de bajo riesgo con Facilita de la AEPD:
  Si los tratamientos que desarrollas se consideran de bajo riesgo – no realizas tratamientos de datos protegidos ni masivos-, podrás utilizar la herramienta de la Agencia Española de Protección de Datos, Facilita. La herramienta es gratuita y permite, completando únicamente tres páginas con preguntas, valorar la situación del tratamiento de sus datos personales. Facilita te permitirá conocer si la adaptación cumple con los requisitos o, por el contrario, debes realizar el análisis de riesgos previamente mencionado.
  Si quieres asegurarte y realizar una auditoría gratuita, contacta con nosotros
• Nombramiento de Responsable de Tratamiento de los datos:
  El responsable de tratamiento de datos será la persona física o jurídica que asumirá por qué y cómo se gestionan los datos personales, así cómo la manera en la que deben tratarse los mismos. Deberá aplicar medidas técnicas y estructurales para avalar y justificar la licitud del tratamiento de datos personales. Será el responsable, en el caso de tener cualquier incidencia o reclamación, frente a la administración pública o frente a terceros
• Licitud para el tratamiento de datos personales:
  El RGPD exige que todo tratamiento de datos personales debe ser lícito y leal, incluyendo «Para las personas físicas debe quedar totalmente claro que se están recogiendo, utilizando, consultando o tratando de otra manera datos personales que les conciernen, así como la medida en que dichos datos son o serán tratados.»
  Para que el tratamiento sea lícito, debe tener el consentimiento del interesado, así como cualquier otra base legítima establecida conforme a derecho
• Principio de transparencia:
  El principio de transparencia exige que todos los datos o información personal de cualquier persona sea de fácil acceso y fácil de entender, utilizando un lenguaje sencillo para cualquier persona.
• Garantizar el posible ejercicio de los derechos a cualquier interesado:
  Todas las personas deben conocer las normas, riesgos, protección y derechos relacionados al tratamiento de sus datos personales, así como la forma de poder ejercer cualquier derecho que la ley le permite. Derechos tales como: acceso, cancelación, rectificación, oposición, derecho al olvido, portabilidad de datos y limitación del tratamiento.
  Por otro lado, debe ser tan fácil modificar o retirar el consentimiento, como darlo.

Requisitos necesarios si contamos con tratamientos de alto riesgo

El RGPD incluye las obligaciones relacionadas al tratamiento de datos de alto riesgo. Algunos ejemplos de tratamientos de alto riesgo:

• Origen Racial o Étnico
• Orientación Sexual
• Opiniones Políticas
• Convicciones Religiosas o Filosóficas
• Afiliación Sindical
• Datos Genéticos
• Datos Biométricos
• Datos Sanitarios
• Datos Penales o Condenas

Revisión de contratos entre responsables y encargados del tratamiento de datos

La revisión o regularización de la relación entre el responsable y encargado del tratamiento debe de hacerse mediante un contrato o un acto jurídico que los vincule.

El RGPD incluye los siguientes requisitos que debemos tener en cuenta:

• Servicio que el encargado va a realizar
• Naturaleza, finalidad y duración del tratamiento
• Clases de interesados
• Tipos de datos personales a los se va acceder
• Derechos y obligaciones del responsables

Desarrollar, garantizar y concienciar de todas las políticas necesarias, internas y externas a la organización

El delegado de protección de datos, según el artículo 39 del Reglamento General de Protección de Datos, está obligado a enseñar, asesorar y concienciar a todos los empleados o encargados necesarios dentro de la organización. Educará de las obligaciones que les compromete respecto al cumplimiento del RGPD.

4. Sanciones, apercibimientos, infracciones y multas por incumplimiento de la LOPDGDD

No cumplir con la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales puede provocar la imposición de una sanción. La Ley Orgánica 3/2018 califica las sanciones en:

• Infracciones LOPDGDD:
  • Infracciones leves: multa hasta 40.000€
    Entre otras la recopilación de datos sin previo aviso, o no cumplir con las funciones de los responsables y encargados de tratamiento
  • Sanciones graves: multa desde 40.001€ a 300.000€
    Infracciones como almacenar o gestionar datos de menores sin su consentimiento o no designar un Delegado de Protección de Datos estando obligado a ello
  • Sanciones muy graves: multa desde 300.001€ a 600.000€
    Utilizar datos personales recabados con distinta finalidad para la que se dio consentimiento o incumplir las resoluciones dictadas por la Agencia Española de Protección de Datos (AEPD) son algunos ejemplos de sanciones muy graves
• Sanciones RGPD hasta 10 millones de euros:
  El RGPD establece sanciones de 0 a 10 millones de euros, o hasta un 2% de la facturación anual a empresas. Multas administrativas impuestas al responsable y encargado de datos por incumplimiento del reglamento
• Sanciones RGPD hasta 20 millones de euros:
  Multas administrativas hasta 20 millones de euros, o hasta un 4% de la facturación anual a empresas.

Puedes conocer en la web de la AEPD las últimas resoluciones.

5. Seguro de Responsabilidad Civil en Protección de Datos para todos nuestros clientes

En protecciondedatos.pro incluimos un Seguro de Responsabilidad Civil a todos nuestros clientes. El seguro incluye coberturas ante cualquier violación de privacidad, sanciones impuestas por la AEPD, gastos de defensa, fianzas y conflicto de intereses. La mejor manera de estar protegido de cualquier incumplimiento del RGPD y la LOPDGDD.

La importancia del seguro de protección de datos

La LOPDGDD y el RGPD no obligan a contratar un seguro de protección de datos. Aún así, contar con un seguro te permitirá estar cubierto ante cualquier sanción.

6. Equipo de abogados expertos en cumplir el RGPD y la LOPDGDD

En protecciondedatos.pro contamos con un equipo de abogados y técnicos jurídicos expertos en protección de datos que te ayudará a implementar o resolver cualquier tema relacionado con la protección de datos personales, la LOPDGDD y el RGPD.
Contacta con nosotros y solicita a nuestro equipo una auditoría de protección de datos gratuita