Guía esencial para pymes sobre el cumplimiento del Reglamento General de Protección de Datos (RGPD)

by on

La privacidad se ha convertido en una prioridad para todas las empresas. Es importante que las organizaciones de todo tipo, ya sean grandes corporaciones o pymes, examinen su situación en cuanto a la protección de datos personales, pues están en juego factores como la confianza de los clientes o la competitividad. La protección de datos personales de tus clientes, usuarios, colaboradores o empleados según el RGPD no solo sirve para evitar las sanciones, sino que es además un importante factor de competitividad y fidelización.

El Reglamento General de Protección de Datos (RGPD) de la Unión Europea es la ley de privacidad más robusta vigente en la actualidad, redactada para regular la forma en que las organizaciones recopilan, tratan y protegen los datos personales de los residentes de la UE. Entró en vigor el 25 de mayo de 2018 y es un reglamento vinculante que afecta de manera directa a las legislaciones de los Estados miembros. En España, el 5 de diciembre de 2018, entró en vigor la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), adaptando el derecho español al modelo establecido por el RGPD.

¿Cuándo se aplica el RGPD?

El RGPD se aplica al tratamiento de datos personales que se efectúa de manera completa o parcial a través de medios automatizados, así como al tratamiento que no utiliza medios automatizados pero que forma parte (o tiene el objetivo de formar parte) de un sistema de registro. De forma extraterritorial, el RGPD también se aplica si un responsable o encargado del tratamiento que no se encuentra establecido en la UE ofrece bienes o servicios a interesados dentro de la UE o monitoriza su comportamiento dentro de la UE. Esto aplica incluso si la oferta de bienes y servicios es gratuita y puede involucrar a organismos gubernamentales extranjeros u organizaciones sin ánimo de lucro.

Las empresas, sociedades, comunidades, asociaciones y autónomos a los que aplica el RGPD son los:

  • Establecidos en la UE, independientemente de si el tratamiento se hace o no en la UE.
  • Que monitorizan el comportamiento de las personas que se encuentran en la UE.
  • Que ofrecen bienes o servicios a personas que se encuentren en la UE.

Las empresas que no tienen sede dentro de la UE y que tratan datos de ciudadanos de la UE deben nombrar un representante en la UE.

¿Cuándo no se aplica el RGPD?

El RGPD no se aplica al tratamiento de datos personales para una actividad que no entre en el ámbito de aplicación del Derecho de la Unión, así como en los casos de tratamiento de datos por parte de una persona física en el ejercicio de actividades exclusivamente personales o domésticas. Tampoco se aplica a personas que no viven en la UE.

Definiciones clave en el RGPD

¿Qué son los datos personales?

Los datos personales son cualquier información que esté relacionada con una persona física («interesado») y que pueda identificar de modo directo o indirecto a dicha persona (o identificable). Esto incluye información como el nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. Algunas categorías de datos, como los datos genéticos, datos biométricos, datos de salud (por ejemplo, con fines sanitarios) o datos personales relativos a condenas e infracciones penales, se consideran "categorías especiales de tratamiento de datos" y requieren una protección adicional.

¿Quién efectúa el tratamiento de los datos personales?

Los datos personales son tratados por personas u organizaciones. El RGPD distingue entre:

  • El responsable del tratamiento de los datos: Persona física o jurídica, pública o privada, que decide sobre la finalidad, contenido y uso del tratamiento de datos, aunque no lo realice materialmente. Es quien decide el fin y la forma en que se tratan los datos.
  • El encargado del tratamiento de los datos: Persona física o jurídica, pública o privada, que trata datos personales por cuenta del responsable del tratamiento como consecuencia de la existencia de una relación jurídica que les vincula. Conserva y trata los datos en nombre de un responsable del tratamiento.

¿Quién supervisa cómo se tratan los datos personales dentro de una empresa?

El Delegado de Protección de Datos (DPD) es la figura encargada de monitorizar el cumplimiento normativo de la organización con respecto al RGPD, lo que incluye incrementar la concienciación y formar adecuadamente al personal. También es el punto de contacto entre las autoridades de protección de datos y los ciudadanos. El DPD puede ser un empleado de la empresa o puede haber sido contratado externamente a través de un contrato de servicios escrito entre las partes implicadas.

¿Cuándo se debe nombrar a un Delegado de Protección de Datos?

Se debe nombrar a un DPD si:

  • El tratamiento lo efectúa una autoridad u organismo público (excepto los tribunales que actúen en ejercicio de su función judicial).
  • Las actividades principales del responsable o del encargado del tratamiento consisten en operaciones de tratamiento que, por su naturaleza, alcance y/o fines, requieran una observación habitual y sistemática de interesados a gran escala.
  • Las actividades principales del responsable o del encargado del tratamiento consisten en el tratamiento a gran escala de categorías especiales de datos personales o de datos personales relativos a condenas e infracciones penales.

No todas las pymes o clínicas pequeñas, por ejemplo, que tratan datos de pacientes, necesitarán un delegado de protección de datos si no efectúan el tratamiento de datos a gran escala. Sin embargo, si una pyme trata habitualmente datos confidenciales, es necesario un delegado de protección de datos. Es crucial que las organizaciones proporcionen a su personal formación inicial y periódica para el cumplimiento del RGPD.

Delegado de Protección de Datos (DPD) en Ecuador: Requisitos, Funciones y Plazos | ¡Evite Sanciones!

Aquí se muestra una tabla con una guía simplificada sobre la necesidad de un DPD:

Criterio de actividad de tratamiento Necesidad de DPD Ejemplos
Autoridad u organismo público Ayuntamientos, ministerios.
Observación habitual y sistemática de interesados a gran escala Empresas de telecomunicaciones, bancos.
Tratamiento a gran escala de categorías especiales de datos o datos penales Hospitales grandes, aseguradoras.
Tratamiento de bajo riesgo o no ocasional (menos de 250 empleados y sin datos sensibles/alto riesgo) No es obligatorio, pero sí recomendable evaluar Tiendas minoristas pequeñas, consultorios médicos pequeños sin tratamiento masivo.

Principios fundamentales del RGPD y derechos de los interesados

Principios del tratamiento de datos

El RGPD describe ciertas obligaciones que las organizaciones deben seguir y que limitan la forma en que se pueden utilizar los datos personales. Estos principios incluyen:

  • Legitimidad, equidad y transparencia: Siempre debe existir una base jurídica para cada actividad de tratamiento.
  • Limitación del propósito: Ten claro cuáles son tus propósitos de cara al tratamiento y al registro, y especifícalos en tu aviso de privacidad. Los datos personales deben ser recogidos con fines específicos, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines.
  • Minimización de datos: Los datos deben ser adecuados, pertinentes y limitados a lo necesario para alcanzar ese objetivo. No se deben recoger datos excesivos.
  • Exactitud: Asegúrate de que los datos personales que hayas tratado son exactos y están actualizados. Los datos inexactos deben rectificarse o suprimirse sin dilación.
  • Limitación del plazo de conservación: Los datos personales deben conservarse de forma que permitan la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento, a menos que sea necesario conservarlos para emprender una acción legal o para una actividad de interés público.
  • Integridad y confidencialidad: Los datos deben ser tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas.
  • Responsabilidad proactiva: El responsable del tratamiento es el encargado de aplicar una serie de medidas técnicas y organizativas para garantizar y demostrar que el tratamiento se realiza de conformidad con el Reglamento.

Derechos de los interesados

El RGPD define nueve derechos del interesado que garantizan derechos específicos con respecto a los datos personales de los individuos:

  1. Derecho a la información: Los interesados deben ser informados de forma visible, accesible, sencilla y transparente sobre el tratamiento de sus datos.
  2. Derecho de acceso: Los ciudadanos deben tener derecho a acceder a sus datos personales gratuitamente, saber qué datos se están tratando, para qué fines, quién los recibe y por qué.
  3. Derecho de rectificación: Si los datos son inexactos, el interesado tiene derecho a rectificarlos o completarlos sin demoras indebidas. La empresa debe informar a los terceros si alguno de los datos compartidos con ellos se ha modificado o suprimido.
  4. Derecho de supresión (Derecho al olvido): Los interesados tienen derecho a solicitar que se eliminen sus datos personales cuando ya no sean necesarios para el fin para el que se recogieron, si han retirado su consentimiento o si los datos se han tratado ilegalmente, entre otros casos.
  5. Derecho a la limitación del tratamiento: En determinadas circunstancias (por ejemplo, si el interesado impugna la exactitud de los datos o el tratamiento es ilícito), el interesado puede solicitar que se limite el tratamiento de sus datos, lo que significa que los datos se conservarán pero no se tratarán activamente.
  6. Derecho a la portabilidad de los datos: Los interesados tienen derecho a solicitar que sus datos se transfieran a otro responsable del tratamiento o que se les proporcionen los datos personales directamente en un formato utilizado habitualmente y de lectura automática. Esto se extiende a todo tipo de entidades (telefónicas, financieras, aseguradoras, etc.).
  7. Derecho de oposición: El interesado puede oponerse al tratamiento de sus datos personales en determinadas situaciones, como el tratamiento con fines de mercadotecnia directa o cuando el tratamiento se base en el interés público o el interés legítimo de la empresa.
  8. Derecho a no ser objeto de decisiones individuales automatizadas: Los interesados tienen derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado (incluida la elaboración de perfiles) que produzca efectos jurídicos en él o le afecte significativamente de modo similar, a menos que sea necesario para la celebración o ejecución de un contrato, esté autorizado por el Derecho de la Unión o de los Estados miembros, o se base en el consentimiento explícito del interesado. La empresa debe dar al interesado la posibilidad de impugnar la decisión automatizada y solicitar la intervención humana.
  9. Derecho a retirar el consentimiento: Cuando el tratamiento de datos se base en el consentimiento, el interesado tiene derecho a retirarlo en cualquier momento. La empresa debe facilitar la retirada del consentimiento y no debe haber consecuencias negativas para el interesado al hacerlo.

Los responsables del tratamiento tienen que facilitar a los interesados el ejercicio de sus derechos a través de medios visibles, accesibles y sencillos, preferiblemente por medios electrónicos. El plazo para responder a una solicitud de ejercicio de derechos es de un mes a partir de la recepción de la misma, aunque puede prorrogarse dos meses más si la complejidad de la solicitud lo justifica, informando de la prórroga al interesado.

El Consentimiento

Obtener el consentimiento del interesado hace referencia a cualquier «indicación de carácter libre, específico, informado e inequívoco» de que el interesado acepta el tratamiento de sus datos personales. Esto implica una posición activa del interesado, es decir, el consentimiento por silencio o tácito queda excluido. El consentimiento debe ser específico, claro y presentarse en un lenguaje sencillo; no puede estar oculto entre avisos legales, ni agruparse junto a múltiples avisos, y debe ser fácil de retirar.

Cuando se recojan datos de niños, si son menores de 16 años (o entre los 13 y 16 años, dependiendo de la legislación nacional), es preciso obtener primero la autorización parental, por ejemplo, enviando una notificación al padre, madre o tutor.

Medidas para el cumplimiento del RGPD

Para cumplir con el RGPD, las pymes deben seguir una serie de pasos y adoptar medidas organizativas y tecnológicas:

1. Análisis de riesgos de privacidad

El objetivo del análisis de riesgos es determinar si el tratamiento de la información tiene consecuencias negativas para las personas. Si ya cumplías con la LOPD, revisa que las medidas que tomas están acordes con el nuevo reglamento, pues no tienen el mismo tratamiento. Según el RGPD, la adopción de estas medidas debe tener una base en el análisis de riesgos para los derechos y libertades.

Para comenzar con el análisis de riesgos de privacidad debemos:

  • Identificar todas las fuentes de datos personales de nuestros tratamientos, catalogar todos los agentes responsables y los tipos de operaciones que se hacen con esos datos durante todo su ciclo de vida: captura, clasificación y almacenamiento, uso, cesión o transferencia y destrucción.
  • Ser exhaustivos con los datos que se recogen: ¿dónde se almacenan?, ¿durante cuánto tiempo?, ¿en un fichero o en una base de datos?, ¿en qué equipos? ¿siguen los principios del tratamiento del RGPD?
  • Hacer un diagrama de flujo de datos del tratamiento, es decir, desde que se recogen hasta que se utilizan o desechan con las transformaciones intermedias.
  • Priorizar, es decir, analizar en primer lugar a los agentes involucrados en el tratamiento y las acciones problemáticas sobre los datos, es decir, aquellas que pueden tener un efecto adverso sobre la privacidad de las personas.

Gracias al análisis de riesgos, conoceremos mejor los tratamientos y cómo proteger la privacidad durante los mismos.

2. Registro de actividades de tratamiento

El RGPD exige que las organizaciones mantengan registros de sus actividades de tratamiento y se aseguren de que estos registros estén adecuadamente actualizados. Deberás llevar un Registro de actividad del tratamiento si empleas a más de 250 personas o realizas tratamientos de datos personales de forma no ocasional o que pueda entrañar riesgos para su privacidad o con categorías especiales de datos.

3. Evaluación de Impacto en la Protección de Datos (EIPD)

El RGPD exige que los responsables del tratamiento efectúen una evaluación de impacto relativa a la protección de datos (EIPD) dondequiera que las actividades de tratamiento puedan suponer un riesgo elevado para los individuos. Este proceso debe ser más elaborado que un mero cuestionario. En la práctica, las organizaciones suelen implementar un cuestionario de verificación «rápido» para analizar los riesgos y luego determinar si se necesita una EIPD más completa. Si realizas tratamientos de alto riesgo, tendrás que hacer una EIPD antes de implantarlos.

4. Contratos con encargados del tratamiento

Revisa los contratos con los encargados de tratamiento de información, si contratas servicios externos que utilicen los datos personales de tus tratamientos. Las relaciones entre el responsable y el encargado se han de formalizar en un contrato de encargado de tratamiento que los una jurídicamente. El RGPD exige cuentas al responsable del tratamiento y lo responsabiliza de las acciones o brechas del encargado del tratamiento.

5. Medidas de seguridad y control

Realiza un análisis de riesgos para establecer las medidas técnicas y organizativas necesarias para garantizar el nivel de seguridad adecuado al riesgo existente. El RGPD requiere el despliegue de medidas técnicas y organizativas adecuadas para implementar los principios de protección de datos de forma efectiva y salvaguardar los derechos de los interesados. El nivel de seguridad no dependerá solo del tipo de datos, sino también de otras variables en función de un análisis de riesgo previo.

Para garantizar la seguridad de los tratamientos, la tecnología puede ayudar a:

  • Localización y clasificación de datos: Determinar dónde están ubicados los datos, clasificarlos según su criticidad, monitorizar su uso, conocer quién accede, cuándo se borran y cifrarlos cuando sea necesario.
  • Control de accesos: Evitar accesos no autorizados y restringir el acceso a los datos aplicando principios de mínimos privilegios mediante sistemas de gestión de identidad y autenticación.
  • Control de dispositivos: Tener controlados todos los dispositivos y soportes con herramientas que permitan hacer inventarios de los mismos y del software instalado, verificando a su vez que sea legítimo y esté actualizado.
  • Cifrado de datos: Utilizar herramientas de cifrado para garantizar la confidencialidad y la integridad, reduciendo el riesgo de sanciones y evitando tener que informar a los usuarios en caso de brecha de seguridad.
  • Backups: Realizar copias de seguridad mediante instrumentos específicos de contingencia y continuidad.
  • Protección contra amenazas: Instalar y activar herramientas anti-fraude y anti-malware.
  • Seguridad de comunicaciones: Proteger las comunicaciones tanto por cable como inalámbricas con equipos específicos, y en particular con cortafuegos, para evitar que puedan estar accesibles a terceros no autorizados.

Las medidas deben garantizar la confidencialidad, integridad y disponibilidad de los tratamientos y datos personales, y permitir que las autoridades puedan verificarlo.

6. Protección de datos por diseño y por defecto

Asegurar que las garantías de protección de datos se incorporan desde la fase misma de planificación de los procedimientos y sistemas de información, teniendo en cuenta factores como el estado de la técnica, el coste de la aplicación o los riesgos del tratamiento para los derechos y libertades de los interesados. Esto significa que la configuración que más defienda la privacidad debe utilizarse como configuración por defecto.

7. Notificación de brechas de seguridad

El RGPD incluye requisitos estrictos de notificación de 72 horas a la autoridad de control y, cuando sea probable que la brecha de datos pueda causar un riesgo elevado para los derechos y libertades de las personas físicas, una notificación adicional para los interesados.

8. Transferencias internacionales de datos

El RGPD requiere el mismo nivel de protección para los datos personales que se transfieran fuera del Espacio Económico Europeo (EEE). Lo primero que hay que tener en cuenta es si existe una decisión de adecuación por parte de la Comisión Europea. En ausencia de una decisión de adecuación, el RGPD permite la transferencia si el responsable o el encargado del tratamiento han proporcionado las garantías adecuadas (como cláusulas contractuales tipo). La transferencia de datos también podría ser posible si no hubiera ninguna decisión de adecuación o garantías adecuadas, basándose en una excepción, como el consentimiento explícito del interesado o si la transferencia fuera necesaria para ejecutar un contrato.

9. Formación y concienciación del personal

Formar y concienciar a todos los empleados que intervengan en los tratamientos es fundamental. El DPD monitoriza el cumplimiento normativo de la organización con respecto al RGPD, lo que incluye incrementar la concienciación y formar adecuadamente al personal. Las organizaciones deben proporcionar a su personal formación inicial y periódica.

Herramientas y recursos de la AEPD para pymes

Para facilitar la adaptación y cumplimiento del RGPD, la Agencia Española de Protección de Datos (AEPD) dispone de materiales, recursos y herramientas en su página web. Para las pymes, la AEPD ha elaborado la herramienta FACILITA_RGPD, que proporciona ayuda para la elaboración del registro de actividades de tratamiento, las cláusulas informativas, las cláusulas contractuales para encargados del tratamiento y las medidas de seguridad a adoptar. Solo si realizas tratamientos de bajo riesgo (no masivos ni con datos especialmente protegidos) podrás utilizar la herramienta Facilita de la AEPD.

Entre otros materiales, destacan la “Hoja de ruta” dirigida al sector privado y la publicación de diferentes guías sobre el RGPD. Además, la AEPD cuenta con el canal INFORMA_RGPD para resolver dudas y consultas sobre la aplicación del RGPD.

Algunas guías útiles publicadas por la AEPD y otros organismos incluyen:

  • Guía del Reglamento de Protección de Datos para el responsable del tratamiento.
  • Guía para el cumplimiento del deber de informar, que recomienda facilitar la información al usuario en dos capas sucesivas.
  • Código de buenas prácticas en protección de datos para proyectos de Big Data, que introduce novedades procedimentales como la privacidad desde el diseño y la Evaluación de Impacto en la Protección de Datos.
  • Documento "Adecuación de pymes y profesionales al RGPD en ocho pasos" de la AVPD.
  • Guías sobre el derecho a la portabilidad, normas para la identificación de la autoridad de control principal y funciones de los Delegados de Protección de Datos (DPO) publicadas por el Grupo de Trabajo del Artículo 29.

FACILITA_RGPD es una herramienta clave para las pymes que buscan cumplir con el RGPD.

Consecuencias del incumplimiento del RGPD

Cualquier ciudadano de la UE tiene derecho a presentar reclamaciones de forma individual o colectiva si considera que el tratamiento de sus datos personales vulnera el RGPD. También, al ser la privacidad un derecho fundamental, tendrá derecho a la tutela judicial efectiva y a la indemnización por los daños y perjuicios sufridos a consecuencia de una infracción del RGPD.

Las autoridades podrán investigar y corregir las infracciones. Para ello, estarán en disposición de ordenar al responsable o al encargado que facilite información, lleve a cabo auditorías u obtenga acceso a los datos, locales y equipos. Las sanciones por infracción podrán ir desde advertencias (si la infracción es posible), apercibimientos y limitaciones temporales, hasta prohibir el tratamiento, ordenar la supresión de datos e imponer multas. Uno de los grandes hitos de este Reglamento es la utilización de sanciones sobre las sociedades que no se adapten a las nuevas obligaciones.

Es crucial que las pymes demuestren el cumplimiento del RGPD en todo momento, no solo para evitar sanciones, sino para construir la confianza de sus clientes y mantener su competitividad en el mercado.

tags: #guía #cumplimiento #reglamento #protección #de #datos

Publicaciones populares: