El Reglamento General de Protección de Datos (RGPD) es una norma de obligado cumplimiento para las empresas que operan en la Unión Europea o el Espacio Económico Europeo. Este reglamento entró en vigor el 25 de mayo de 2018 y se aplica en relación al tratamiento de datos personales que las compañías deben seguir. Es esencial que cualquier empresa garantice la privacidad de los individuos con los que tenga contacto, tanto si se trata de un cliente existente, como si es un potencial cliente o socio que llena un formulario en la web. Es importante proteger los datos personales de cualquier persona que facilite información a la empresa, por lo que cualquier dato personal recopilado debe ser tratado según indica el RGPD.
El Periódico informa que «desde el gigante Facebook hasta cualquier empresa que utilice datos digitales de sus clientes tendrán que especificar en el documento qué uso harán de los datos personales, durante cuánto tiempo se conservarán, con quien se compartirán, si serán transferidos fuera de la UE y cómo retirar el consentimiento, que deberá ser específico, informado e inequívoco, cuando un cliente desea retirarlo».
También deben aplicar el RGPD las empresas de eCommerce y las empresas con sede fuera de la UE que ofrecen bienes o servicios a personas ubicadas en el EEE. Estas organizaciones tienen una serie de obligaciones fundamentales:
-El tratamiento de datos personales debe ser lícito y recopilados y tratados de manera que se minimice la cantidad.
-Es obligatorio que sean datos exactos y que estén actualizados.
-El tratamiento de datos personales debe ser leal y transparente.
-Los datos personales deben ser protegidos contra el acceso no autorizado y no deben ser almacenados por más tiempo del necesario.
-No se permite usar los datos más allá del fin por el que fueron recolectados
-Los datos personales deben ser protegidos contra la pérdida o la destrucción.
Para cumplir con estas obligaciones, se deben realizar auditorías internas, implementar un software RGPD, desarrollar una política de privacidad y obtener consentimiento expreso de los datos tratados. A la hora de cumplir el reglamento europeo relativo a la protección de datos, es importante tener claro quién es el responsable. Por un lado, tenemos al responsable del tratamiento de datos personales y su objetivo es determinar los fines y medios del tratamiento de datos. Puede ser una persona física o jurídica, de derecho público o privado. La empresa debe cumplir con las siguientes obligaciones:
-Seguir los principios del reglamento de forma lícita, leal y transparente.
-Obtener el consentimiento de los interesados cuando sea necesario.
-Tener en cuenta los derechos de los individuos: acceso, rectificación, etc.
-Adoptar las medidas necesarias para proteger la información recopilada.
-Notificar a las autoridades de posibles brechas de seguridad que afecten a la privacidad.
También hay unas entidades públicas que se encargan de velar por el cumplimiento del RGPD dentro de cada uno de los Estados miembros de la UE. En España, la Agencia Española de Protección de Datos (AEPD) controla el cumplimiento del Reglamento General de Protección de Datos 2016/679.
Para aportar más información sobre este tema nos hemos puesto en contacto con la empresa Dapro Cumplimiento Normativo y estos especialistas en la Protección de Datos y en el cumplimiento del RGPD y la LOPDGDD nos han explicado las principales funciones que tienen las autoridades de control:
-Emitir dictámenes sobre la aplicación del reglamento.
-Supervisar que los responsables del tratamiento cumplan el reglamento.
-Supervisar si las empresas siguen la normativa.
-Investigar reclamaciones presentadas por afectados.
-Iniciar expedientes sancionadores si se incumple la ley.
-Informar y asesorar sobre el cumplimiento de la norma.
-Velar por el seguimiento de la normativa.
– Asesorar sobre buenas prácticas.
Incluso, hay un tercero que realiza las operaciones de tratamiento de los datos bajo instrucciones del responsable del tratamiento. El responsable controla que el tratamiento sean acordes a la ley y el encargado es quien ejecuta el tratamiento de dichos datos. El encargado debe realizar las siguientes obligaciones:
– Garantizar la seguridad de los datos personales siguiendo las instrucciones del responsable del tratamiento.
-No comunicar los datos personales a terceros sin autorización.
-Ayudar al responsable del tratamiento a cumplir con sus obligaciones.
Criterios de aplicabilidad del RGPD
Para que la protección de datos personales deba someterse al Reglamento General de Protección de Datos, hay una serie de criterios. Esta normativa afecta a las que cumplen con alguna de las siguientes opciones:
-Empresas que ofrece bienes o servicios a ciudadanos del EEE.
-La organización tiene un establecimiento en el Espacio Económico Europeo.
-La empresa monitoriza el comportamiento de personas ubicadas en el EEE.
-Los autónomos que por su profesión tienen que realizar un tratamiento de los datos de terceros.
-Cualquier ONG, asociación o fundación de la Unión Europea tiene la obligación de cumplir con la protección de datos personales que marca el reglamento.
-Las administraciones públicas, los ministerios, comunidades autónomas, ayuntamientos y otras entidades deben asegurar la protección de los datos personales.
