¿Su empresa cumple con el Reglamento General de Protección de Datos (RGPD)?

Desde la entrada en vigor del Reglamento General de Protección de Datos (en adelante "RGPD") en 2018, la privacidad y la protección de los datos personales constituyen una nueva línea de conducta corporativa y comercial para las empresas. En este sentido, la privacidad y la protección de datos tienen un sentido amplio. La privacidad se refiere a la capacidad de las empresas para tratar la información personal de los clientes y consumidores de acuerdo con sus respectivas instrucciones, a la vez que les proporciona "medidas técnicas y organizativas" de seguridad en relación con dicha información. 

El RGPD establece un conjunto de derechos, principios y normas que las empresas, al tratar los datos personales, deben cumplir. El alcance y la magnitud de las nuevas disposiciones basadas en la privacidad sugieren que cualquier empresa que participe en el tratamiento de información personal deberá designar a un profesional de la privacidad como guía para las cuestiones relacionadas con la misma. Es importante destacar que la privacidad y la protección de datos son ahora componentes de cualquier negocio. Además, la reputación de su empresa puede depender de las prácticas de privacidad y protección de datos llevadas a cabo en el contexto de su negocio. En estas circunstancias, es primordial destacar las principales áreas de cumplimiento que las empresas deben tener en cuenta. 

¿CUÁNDO SE APLICA EL RGPD?

En primer lugar, es crucial ser consciente de si el RGPD se aplica o no a su empresa. En este sentido, el alcance territorial del RGPD sugiere que casi cualquier empresa se ve afectada por el Reglamento. En concreto, el RGPD se aplica al tratamiento de datos personales por parte de organizaciones con sede en la UE, aunque los datos se almacenen fuera de territorio Europeo. Sin embargo, el RGPD va más allá y también se aplica a las organizaciones de fuera de la UE si se cumplen las siguientes condiciones: la organización participa en la oferta de bienes o servicios a personas de la UE, o cuando la organización supervisa su comportamiento en línea. 

También hay dos excepciones. En primer lugar, el RGPD no se aplica al tratamiento que tiene lugar en el contexto de la "actividad doméstica puramente personal". Esto significa que el RGPD se aplica a las organizaciones que participan en actividades comerciales. En segundo lugar, el RGPD no se aplica a las organizaciones con menos de 250 empleados.  

DEFINICIONES CLAVE DEL RGPD

Las empresas deberán empezar a comprender cuál es su papel en relación con el tratamiento de datos. En concreto, es importante diferenciar si su empresa es un controlador de datos o un procesador de estos. Esto es crucial porque los principios de responsabilidad suelen ser más estrictos con el responsable del tratamiento que con el procesador. En general, el responsable del tratamiento es el sujeto que decide los medios y los fines del tratamiento de datos. Por el contrario, el procesador de datos es el sujeto que procesa los datos personales bajo las instrucciones del controlador de datos. Además, en el contexto del RGPD, se entiende por datos personales cualquier información relativa a una persona identificada o identificable. Por último, por tratamiento se entiende cualquier operación realizada sobre los datos personales, como la recogida, el almacenamiento, la estructuración, la consulta, la difusión, etc.

¿CUÁNDO SE PROCESAN LOS DATOS PERSONALES? 

En términos generales, para que el procesamiento sea lícito, los datos personales deben tratarse sobre la base del consentimiento del interesado o de otra base legítima. En otras palabras, el consentimiento sólo constituye una de las posibles bases legales para el tratamiento de datos.

Otras bases jurídicas son:

  • para cumplir un contrato en el que el interesado es parte;
  • para cumplir una obligación legal
  • para salvar la vida de alguien
  • realizar una tarea de interés público o llevar a cabo alguna función oficial;
  • tiene un interés legítimo en tratar los datos personales de alguien.

Es pertinente decir que su base legal para el tratamiento de datos incluirá el consentimiento y otra u otras bases legales. En este sentido, el interés legítimo es el instrumento más flexible para el tratamiento de datos. No obstante, las empresas deberán tener en cuenta que los derechos fundamentales y la libertad del interesado prevalecen sobre el interés legítimo del responsable del tratamiento. 

¿CÓMO SE DEBEN TRATAR LOS DATOS PERSONALES? 

El RGPD también establece la forma en que su empresa debe procesar los datos personales. Esto se hace a través de seis principios que las empresas deberán incluir en sus prácticas de privacidad. En este sentido, los datos personales deberán ser

  • Procesados de forma legal, justa y transparente;
  • Recogidos con fines determinados, explícitos y legítimos, y no tratados posteriormente de forma incompatible con dichos fines;
  • Adecuados, pertinentes y limitados a lo estrictamente necesario en relación con el propósito para el que fueron tratados;
  • Precisos y actualizados;
  • Conservados en una forma que permita la identificación de los interesados durante un tiempo no superior al necesario;
  • Tratados de forma que se garantice una seguridad adecuada.

Los profesionales del derecho son conscientes de que no se trata de principios vagos. Por el contrario, constituyen un elemento fundamental para la buena práctica de la protección de la información, a la vez que constituyen la base para el cumplimiento de su negocio. 

DERECHOS DEL INTERESADO

Cuando se procesan datos personales, los interesados pueden decidir ejercer alguno de los derechos que el RGPD ha establecido. Es crucial para su empresa que un profesional capacitado evalúe la solicitud de derechos de los interesados. De hecho, se trata de una medida más a partir de la cual se evalúa la responsabilidad del responsable del tratamiento. Los derechos de los interesados son:

  • Derecho de acceso: Las personas pueden solicitar el acceso a sus datos personales;
  • Derecho a ser informado: Los individuos deben ser informados antes de recoger y procesar su información personal;
  • Derecho a la portabilidad de los datos: Las personas tienen derecho a transferir su información personal de un servicio a otro en cualquier momento;
  • Derecho al olvido: Las personas tienen derecho a que se eliminen sus datos;
  • Derecho de oposición: Las personas tienen derecho a oponerse a cualquier uso o tratamiento de datos;
  • Derecho de restricción: Las personas tienen derecho a solicitar la interrupción del tratamiento de la información personal o a detener un determinado tipo de tratamiento;
  • Derecho a ser notificado: Las personas tienen derecho a ser notificadas en caso de violación de los datos;
  • Derecho de rectificación: Las personas tienen derecho a solicitar la actualización o corrección de los datos personales.

Si cree que el RGPD se aplique a su empresa, es un acierto acudir a profesionales del derecho con experiencia en privacidad y cumplimiento del RGPD. Esto le ayudará a su negocio a adoptar la privacidad y la protección de datos como parte de sus prácticas, al tiempo que establece una sólida reputación con sus clientes y/ o usuarios.

Salvo Fasciana

Profesor de la Universidad de Newcastle

Giambrone & Partners es un bufete de abogados internacional con oficinas en Barcelona, Munich, Londres, Milán, Roma, Gran Canaria, Tunez,  Palermo, Porto, Napoli y Sassari.  Para cualquier información o asesoramiento sobre su caso particular, póngase en contacto con nosotros en los siguientes números de teléfono:

Oficina de Barcelona: +34 932 201 627

Oficina de Madrid+34 932 201 627  

Oficina de Milano: +39 02 9475 4184

Oficina de Roma: +39 06326498

Oficina de Palermo: +39091743 4778

Oficina de Sassari: +39 0799220012

O bien en el correo electrónico: info@giambronelaw.com