¿Qué debo saber sobre la legislación RGPD?

Legislación sobre privacidad

La legislación sobre privacidad no es nueva. En la Unión Europea (UE), cada Estado miembro tiene actualmente su propia ley de privacidad. Todas estas leyes nacionales se basan en la directiva europea de privacidad de 1995. En los Países Bajos, la aplicación nacional de esta directiva es la Ley de Protección de Datos Personales (Wbp).

A partir del 25 de mayo de 2018 es de aplicación el Reglamento General de Protección de Datos (RGPD o GDPR en inglés). Esto significa que desde esa fecha existe una única ley de privacidad en toda la UE. La Wbp deja de estar vigente, aunque los principios básicos de dicha legislación siguen constituyendo el núcleo del nuevo RGPD. La Autoridad de Protección de Datos supervisa el cumplimiento de las normas legales para la protección de datos personales.

¿Cuál es el objetivo general del RGPD?

El objetivo general del Reglamento General de Protección de Datos es proteger a los ciudadanos de la UE en materia de normativa de privacidad y datos personales. El RGPD otorga derechos en relación con los datos personales que se comparten con organizaciones que recopilan, almacenan y tratan dichos datos personales.

¿A quién se aplica el RGPD?

El RGPD se aplica a toda organización que recopile datos personales de ciudadanos de la UE. Una organización no tiene por qué estar establecida en la UE para estar sujeta a los requisitos del RGPD. Si una organización se encuentra fuera de la UE y recopila datos personales de ciudadanos de la UE, el RGPD es de aplicación a dicha organización.

¿Qué va a cambiar?

La nueva ley RGPD refuerza las normas de la actual Ley de Protección de Datos Personales. En definitiva, muchas cosas permanecen igual. La minimización de datos, el derecho al olvido (the-right-to-be-forgotten), las obligaciones de información y los acuerdos de encargo de tratamiento siempre han estado en la ley, aunque a veces bajo otros nombres.
También siguen siendo importantes una buena política de privacidad, una declaración de privacidad comprensible, buenos acuerdos entre encargados y responsables, y un procedimiento para las filtraciones de datos.

Muchas normas existentes se han reforzado considerablemente en el nuevo RGPD, y se han añadido nuevas obligaciones. Se hace mayor hincapié en la responsabilidad de las propias organizaciones de cumplir la ley y de poder demostrar que la cumplen.

¿Qué puedo hacer yo mismo?

Como organización, ya puedes tomar medidas para estar preparado para el RGPD. Para ayudarte en esto, la Autoridad de Protección de Datos ha reunido los 10 pasos más importantes.

¿Qué son los datos personales?

El RGPD indica que un dato personal es cualquier información sobre una persona física identificada o identificable. Existen muchos tipos de datos personales. Los datos más evidentes son el nombre, la dirección y el lugar de residencia de una persona. Pero también los números de teléfono y los códigos postales con número de casa son datos personales. Los datos sensibles como la raza, la religión o la salud de una persona también se denominan datos personales especiales. Estos están especialmente protegidos por la ley.

¿En qué consiste el tratamiento de datos personales?

Por tratamiento se entiende: todas las operaciones que una organización puede realizar con datos personales, desde su recopilación hasta su destrucción. La ley menciona como ejemplos de tratamiento: la recogida, el registro, la organización, la conservación, la actualización, la modificación, la consulta, el uso, la comunicación mediante transmisión, la difusión, la puesta a disposición, la combinación, la interconexión, el bloqueo, el borrado y la destrucción de datos.
La ley establece que una organización solo puede tratar datos personales si es necesario para un fin determinado.

Principios del tratamiento

El RGPD introduce principios fundamentales que deben cumplir todos los tratamientos de datos personales:

• los datos personales deben tratarse de manera lícita, leal y transparente;
• los datos personales solo pueden tratarse para un fin específico y explícitamente definido;
• solo pueden tratarse los datos personales que sean necesarios para el fin perseguido;
• los datos deben ser exactos y estar actualizados;
• cuando la identificación ya no sea necesaria para el fin perseguido, los datos personales deben eliminarse o anonimizarse, y;
• los datos personales deben protegerse mediante medidas técnicas y organizativas.

Terminología: responsable del tratamiento / encargado del tratamiento

El RGPD utiliza los términos «responsable del tratamiento» y «encargado del tratamiento» en lugar de los términos «responsable» y «encargado» de la Wbp. En la traducción al español del RGPD se han dado las siguientes definiciones:

Responsable del tratamiento
Una persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y los medios del tratamiento de datos personales. Estos son los clientes de Teqa que adquieren i-Reserve como producto.

Encargado del tratamiento
Una persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento. Esto somos nosotros como organización en calidad de proveedor de i-Reserve y nuestro administrador de servidores en lo que respecta al alojamiento de i-Reserve.

El interesado
Es aquel cuyos datos personales trata una organización. Es decir, la persona a quien se refieren los datos personales. Son vuestros clientes, los usuarios finales.

El tratamiento de datos personales especiales
Además de los datos personales ordinarios, la ley también contempla datos personales especiales. Son datos tan sensibles que su tratamiento puede afectar gravemente a la privacidad de una persona. Según el RGPD, el tratamiento de datos personales especiales está prohibido, salvo que sea aplicable una excepción.

Los datos personales especiales son datos personales sobre origen racial o étnico, opiniones políticas, convicciones religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos con el fin de identificar de manera unívoca a una persona, datos relativos a la salud, la vida sexual o la orientación sexual. Por ello, dichos datos solo pueden tratarse en condiciones muy estrictas.

¿Cuáles son los cambios más importantes para las organizaciones?

Cuando el reglamento general de protección de datos es de aplicación, las organizaciones que tratan datos personales tienen más obligaciones.

Consentimiento
Lo novedoso es que la organización debe poder demostrar que ha obtenido el consentimiento válido de las personas para tratar sus datos personales, y que debe ser igual de fácil para las personas retirar su consentimiento que otorgarlo. Esta debe ser una manifestación de voluntad «inequívoca». ¡Por tanto, no más casillas marcadas previamente! La solicitud de consentimiento debe ser clara y comprensible, y presentarse en un lenguaje sencillo.
Como organización, en última instancia debes poder demostrar que el interesado ha dado su consentimiento. El interesado tiene en todo momento el derecho a retirar el consentimiento, y también debe ser informado de ello.

ATENCIÓN:
Solicitar consentimiento para el registro de datos personales no siempre es necesario. Por ejemplo, siempre que los datos registrados se limiten a lo necesario para la ejecución del acuerdo suscrito. En otros casos, debes solicitar consentimiento. Para averiguar qué es de aplicación en vuestro caso, encontraréis más información aquí.

Obligación administrativa
El RGPD impone una obligación de documentación, lo que significa que debe poder demostrarse que la organización actúa de conformidad con el RGPD. Esto incluye el consentimiento, la información facilitada, los derechos de los interesados, la seguridad de los datos, la minimización de los tratamientos y los acuerdos con los encargados. Por tanto: identifica los tratamientos de datos en la organización. Muchas organizaciones deberán adaptar su declaración de privacidad, y esto no es irrelevante. No contar con una declaración de privacidad (completa) conllevará en el futuro una sanción severa.

Una vez que el RGPD sea de aplicación, desaparecerá la obligación de la Wbp de notificar los tratamientos de datos a la autoridad de supervisión. En su lugar, las organizaciones deberán llevar ellas mismas un registro de las actividades de tratamiento («registro de tratamientos») que se realicen bajo su responsabilidad.

Acuerdo de encargo de tratamiento
Suscribir un acuerdo de encargo de tratamiento no es en sí algo nuevo, ya que actualmente es obligatorio en virtud de la Wbp. Con el RGPD pasará a denominarse acuerdo de tratamiento, y se establece entre el responsable de los datos personales y la parte que los trata en su nombre (actualmente conocida como encargado). Lo novedoso es que el RGPD menciona una serie de elementos obligatorios de este acuerdo, entre los que se incluyen:

• el fin del tratamiento;
• el tipo de datos personales que se tratan;
• las categorías de interesados;
• que se adoptarán las medidas de seguridad adecuadas;
• que el encargado cooperará en auditorías para verificar que cumple todas sus obligaciones, y;
• la destrucción o devolución de los datos personales al responsable una vez finalizado el tratamiento.

En adelante, el encargado no podrá contratar a una parte externa para tratar datos personales sin el consentimiento previo por escrito del responsable.

Evaluación de impacto sobre la privacidad (PIA)
En español, «evaluación de impacto sobre la protección de datos», la PIA es una herramienta indispensable para que las organizaciones estimen o evalúen el impacto en la privacidad. Mediante el uso de la PIA, la protección de datos personales puede integrarse de forma estructurada en la ponderación de intereses y la toma de decisiones dentro de las organizaciones.

En la PIA se documenta por qué, de qué manera y durante cuánto tiempo se tratan datos personales. La realización de una Evaluación de Impacto sobre la Privacidad es obligatoria cuando el tratamiento de datos personales, en particular mediante el uso de nuevas tecnologías, conlleva riesgos para los interesados.

Obligación de notificación de filtraciones de datos
Ya la conocemos en la ley neerlandesa: la obligación de notificar las filtraciones de datos. Esta también está recogida en el RGPD y permanece en gran medida sin cambios. Sin embargo, el RGPD establece requisitos más estrictos para tu propio registro de las filtraciones de datos que se hayan producido en tu organización. Debes documentar todas las filtraciones de datos.

Evita el estrés pensando de antemano cómo actuar si se produce un riesgo de seguridad. Así, como responsable del tratamiento, en determinadas situaciones debes notificar una filtración de datos a la Autoridad de Protección de Datos en un plazo de 72 horas. ¿Es probable que la filtración conlleve un alto riesgo para las personas a quienes se refieren los datos? En ese caso, también deben ser informadas de la filtración. Por tanto, define de antemano un flujo de trabajo para los incidentes de seguridad, en el que las personas adecuadas puedan tomar oportunamente una decisión sobre las acciones a seguir.

La Autoridad de Protección de Datos ha publicado directrices sobre la obligación de notificación de filtraciones de datos.

Es posible que necesitéis un delegado de protección de datos
Un delegado de protección de datos (DPO), o funcionario de protección de datos (FG por sus siglas en neerlandés), es una persona independiente dentro de la organización que asesora e informa sobre el cumplimiento del RGPD. El responsable de privacidad no era obligatorio en la Wbp, pero sí lo es bajo el RGPD en determinadas situaciones. Según la ley, es obligatorio cuando vuestra organización trata a gran escala datos personales sensibles, como datos de salud, o cuando observáis sistemáticamente a personas (física o digitalmente). Un delegado de protección de datos puede ser alguien designado internamente, pero también puede ser alguien designado externamente.

Derechos del interesado
Los datos personales deben tratarse de manera lícita, leal y transparente con respecto al interesado. La transparencia es primordial: el interesado debe ser informado sobre qué ocurre con sus datos personales. Todo debe comunicarse en un lenguaje sencillo y claro.
Además del conocido derecho de acceso, rectificación y oposición, el interesado también tiene bajo el RGPD:

• el derecho al olvido,
• el derecho a la portabilidad de sus datos (también conocido como: portabilidad de datos),
• el derecho a limitar el tratamiento y
• el derecho a oponerse a determinados tratamientos. El interesado tiene en todo momento el derecho a oponerse al tratamiento de sus datos con fines de marketing directo. Si el interesado presenta dicha objeción, sus datos ya no podrán tratarse con fines de marketing.

Derecho de acceso
Un interesado tiene derecho a que el responsable del tratamiento le informe sobre si sus datos personales están siendo tratados. Cuando se traten datos personales, el interesado tiene derecho a recibir información sobre dichos datos. El interesado tiene derecho, entre otras cosas, a recibir información sobre:

• los fines del tratamiento;
• las categorías de datos personales implicadas;
• los destinatarios a quienes se comunican los datos personales;
• el período de conservación;
• el hecho de que el interesado tiene derecho a presentar una solicitud de rectificación, una solicitud de supresión o limitación de los datos y el derecho a oponerse;
• el hecho de que el interesado puede presentar una reclamación.

Derecho de rectificación y derecho de oposición
Un interesado tiene derecho a obtener del responsable del tratamiento la rectificación de datos personales inexactos. Esto debe hacerse sin demora injustificada. El interesado puede oponerse a determinadas formas de tratamiento de datos, lo que puede dar lugar a que deba cesar el tratamiento de sus datos personales. Piénsese en una organización que utiliza datos personales con fines de marketing. (En la actualidad ya existe un derecho absoluto de oposición al marketing directo. Si un interesado hace uso de este derecho, ya no se le puede contactar con fines de marketing).

Derecho al olvido
En determinadas situaciones, el interesado tiene derecho a que sus datos sean eliminados por completo. En el RGPD se han añadido motivos adicionales para este último derecho. El RGPD introduce el derecho al olvido. Esto significa que el responsable del tratamiento debe suprimir los datos personales sin demora injustificada, por ejemplo cuando los datos personales ya no sean necesarios para los fines para los que fueron recogidos o tratados. También se hace obligatorio informar a las partes con quienes se han compartido los datos cuando se recibe una solicitud de este tipo. Los nombres de estas partes también deben compartirse con el interesado. El responsable del tratamiento debe tomar medidas razonables para eliminar los datos, así como para suprimir cualquier enlace, copia o reproducción de los mismos.

Consulta también la posibilidad de anonimizar datos automáticamente en i-Reserve.

Derecho a la portabilidad de datos
El RGPD introduce el derecho a la portabilidad de datos, es decir, la transferibilidad de los datos personales. Esto significa que podéis recibir solicitudes de vuestros clientes para que pongáis a su disposición sus datos personales. Se trata de todos los datos digitales que una organización trata con el consentimiento del interesado, más los datos necesarios para ejecutar un contrato. También el historial de búsqueda o los datos de ubicación están sujetos al derecho de portabilidad. Como organización, estáis entonces legalmente obligados a proporcionar los datos en un formato «estructurado, de uso común y legible por máquina». Podéis prepararos para ello pensando de antemano cómo vais a poner los datos a disposición. Por ejemplo, mediante una herramienta que permita a vuestros clientes descargar sus datos directamente de forma segura.

Cuando sea técnicamente posible, el responsable del tratamiento debe transmitir los datos directamente a otro responsable del tratamiento. Esto puede realizarse, por ejemplo, mediante una Interfaz de Programación de Aplicaciones (API), que permite establecer una conexión entre vuestro sistema y una aplicación y los de otra parte.

En i-Reserve es posible que el cliente descargue sus propios datos (descargar), que el administrador exporte los datos del cliente o que los datos se transmitan a través de una API.

Privacidad por defecto y Privacidad desde el diseño
El RGPD introduce una obligación de protección de datos mediante ajustes predeterminados (Privacy by default) y mediante funcionalidad configurable (Privacy by design) dentro del software.

La obligación de Privacy by default implica que debes adoptar medidas técnicas y organizativas para garantizar que, de forma predeterminada, solo se traten los datos personales que sean necesarios para el fin específico que deseas alcanzar. Cuando los usuarios puedan ajustar ellos mismos su configuración de privacidad, esta debe establecerse, por ejemplo, en el nivel más alto de forma predeterminada.

La obligación de Privacy by design implica que, ya en el diseño de productos, servicios y procesos organizativos, debes garantizar la protección de los datos personales.

Ejemplos:

• Al ofrecer una aplicación, no hacer que los usuarios registren su ubicación si no es necesario;
• En el sitio web, no marcar previamente la casilla «Sí, quiero recibir ofertas»;
• Cuando alguien quiera suscribirse a un boletín de noticias, no solicitar más datos de los necesarios.

Consulta aquí qué hace i-Reserve en materia de seguridad y protección de datos personales.

La seguridad debe estar en orden, y mantenerse así
La seguridad de los datos personales es crucial. Sin cifrado, autenticación de dos factores y la capacidad de separar y eliminar de forma segura la información personal, vuestra organización asume un riesgo muy elevado.

Infracciones y sanciones
La multa máxima por infracción de la actual ley de privacidad (Wbp) es de 900.000 euros. Con el RGPD, los organismos nacionales de supervisión obtienen más competencias para sancionar las infracciones del RGPD. Las multas son considerables y pueden ascender hasta 20 millones de euros o el 4% de la facturación anual mundial si una organización no cumple los requisitos de la ley. Las multas en los Países Bajos son impuestas por la autoridad de supervisión designada: la Autoridad de Protección de Datos (AP).
¿Buscas más detalles? En autoriteitpersoonsgegevens.nl también encontrarás respuestas a las preguntas más frecuentes.

Cookies, spam, correo electrónico, telemarketing y el RGPD
Las normas sobre el tratamiento de las comunicaciones electrónicas como las cookies, el seguimiento por Wifi, el correo electrónico, etc., no están recogidas en el RGPD. Las encontrarás en la directiva ePrivacy, una legislación europea existente que se actualiza en 2018. La directiva ePrivacy también es conocida como la ley de cookies. La Unión Europea espera poder lanzar las normas actualizadas junto con el RGPD, para ofrecer a los ciudadanos una mayor protección de su información personal en un mismo paso. En términos más generales, este texto legal establece las normas que las organizaciones deben seguir para garantizar la confidencialidad de las comunicaciones digitales.