El Reglamento General de Protección de Datos (RGPD) es la normativa que tiene por objeto salvaguardar los datos personales de las personas físicas en su ámbito de aplicación y darles el control sobre su información personal.
El Reglamento se aplica desde el 25 de mayo de 2018 y se regula mediante el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 y, en España, también mediante la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
El Reglamento General de Protección de Datos (RGPD) sirve para salvaguardar los datos personales de las personas físicas.
La normativa protege todos aquellos datos del usuario mediante los cuales se le pueda identificar, prestando especial atención a los datos sensibles como pueden ser los de salud, biométricos, convicción religiosa o ideología política.
La aplicación del RGPD
El ámbito de aplicación del RGPD es el de la Unión Europea (UE), entendida en un sentido amplio. Por ejemplo, si una empresa tiene una sede en un Estado Miembro, está sujeta al RGPD sin importar si los datos los trata en ella o en otro lugar fuera de la UE.
También, se aplica el RGPD a las entidades que están establecidas fuera de la UE pero que ofrecen a personas residentes en Estados Miembros bienes o servicios, ya sean gratuitos u onerosos. Igualmente, entran dentro de su ámbito de aplicación las empresas que rastrean comportamientos de personas que se encuentran en la UE.
La protección que el reglamento ofrece a las personas físicas también abarca a las que están establecidas fuera de la UE, siempre y cuando el responsable de tratamiento de sus datos tenga su sede en un Estado Miembro. Entendemos el responsable del tratamiento como las personas o entidades que definen los medios y el fin del tratamiento de la información personal.
La aplicabilidad del RGPD se recoge en los artículos 2 y 3 del RGPD. Una importante característica inicial del reglamento es que no se aplica a las personas jurídicas. No obstante, sí protege los datos de las personas físicas que trabajan en ellas.
Teniendo la consideración anterior en cuenta, hay que realizar dos observaciones sobre los artículos mencionados.
- Desde un punto de vista material, el RGPD no abarca los datos de las personas físicas en el ámbito doméstico, el tratamiento de los datos por parte de instituciones, organismos y órganos de la UE, los que realizan las autoridades con fines de investigación, prevención o detección y enjuiciamiento de delitos, ni el que se realiza por un Estado miembro en el marco de política exterior y de seguridad de la UE.
- Por su parte, desde un punto de vista estrictamente territorial, no entran dentro del ámbito del RGPD los datos que reúnan tres condiciones de forma acumulativa: que el responsable del tratamiento no tenga su sede en la UE, que el tratamiento de datos no se relacione con la oferta de bienes o servicios a los usuarios de la UE ni con el seguimiento de su comportamiento en la Unión y que en la sede del encargado del tratamiento no se aplique el derecho internacional público.
¿Cuándo se pueden tratar datos personales?
Los datos personales de las personas físicas tan solo se pueden tratar cuando se esté jurídicamente legitimado para ello. Dicha legitimación existe cuando se cumplen unas bases jurídicas:
- Hay consentimiento explícito e inequívoco por parte del interesado y dicho consentimiento está limitado a uno o varios fines concretos.
- Es necesario tratar los datos del usuario para proteger su vida o la de otra persona.
- El tratamiento de los datos resulta fundamental para cumplir con una obligación legal del encargado del tratamiento.
- Se deben tratar los datos para cumplir con los intereses legítimos del encargado del tratamiento, salvo cuando la prioridad recaiga sobre los del usuario, por ejemplo, en el supuesto de los menores de edad.
- El tratamiento de los datos es necesario para la realización de un contrato con el usuario.
- Es necesario el tratamiento de los datos en base al interés público.
El consentimiento en el RGPD
El consentimiento de las personas físicas para el tratamiento de sus datos personales tiene una gran relevancia en el RGPD. Además de ser verificable, el consentimiento debe ser libre, informado, inequívoco y específico a un fin determinado, tal y como se define en el artículo 4.11) de la normativa.
El RGPD prohíbe expresamente las casillas preseleccionadas, por lo que el consentimiento debe ser expreso. Para que se cumplan todas las características concernientes al consentimiento, las entidades que lo estén solicitando no deben usar términos difíciles para los usuarios.
Por tanto, se deben evitar tecnicismos para que la política de privacidad sea entendida por el interesado. Solo de este modo el consentimiento podrá ser real. Igualmente, para que sea verídico, las personas jurídicas deben ser transparentes al solicitarlo, informando al interesado del fin específico y de la necesidad de la recogida de sus datos personales.
El consentimiento en los menores de edad solo es válido a partir de los 14 años. Para los menores de dicha edad, las entidades deben obtener el consentimiento de un progenitor o de quien ostente la tutela legal, con la única excepción de los servicios de asesoramiento o aquellos que tengan carácter preventivo.
A las personas físicas, a su vez, les asiste un derecho específico de retirada del consentimiento. Este derecho se traduce en una obligación para las organizaciones, que deben ofrecer facilidades para retirar el consentimiento, al igual que las ofrecen para obtenerlo.
A efectos de que se cumplan todas las especialidades que el RGPD recoge sobre el consentimiento de las personas físicas, es necesario que el encargado del tratamiento lleve un registro de consentimientos actualizado. Este registro debe incluir:
- La persona física que presta el consentimiento.
- El método por el cual se ha obtenido el consentimiento.
- Cuándo se ha obtenido.
- El formulario que se le ha dado al usuario para obtenerlo.
- Las condiciones legales aplicables.
¿Qué derechos tienen los interesados en el RGPD?
El RGPD ha incorporado el derecho a la supresión, a la portabilidad y a la limitación del tratamiento, frente a los antiguos derechos ARCO (acceso, rectificación, cancelación y oposición), de los cuales se mantiene el de acceso, rectificación y oposición.
El derecho de acceso
El derecho de acceso consiste en que el usuario pueda conocer en todo momento los datos personales que se están tratando y cómo se está llevando a cabo. Podrá solicitar el resumen de las categorías de datos, una copia de los mismos y el tratamiento detallado que se esté realizando.
Este derecho incluye el conocer cómo se adquirieron los datos, el fin del tratamiento y con quién se han compartido. Una vez que el usuario ejercite su derecho, este debe hacerse efectivo en el plazo de un mes y sin retrasos injustificados.
Toda la información debe ser gratuita para el interesado, tan solo se pueden cobrar las copias siempre y cuando se haga a través de una tarifa razonable.
El derecho de rectificación
Si el interesado considera que sus datos personales están incompletos o que son inexactos, puede ejercer su derecho de rectificación. La nueva información debe comunicarse a todos los involucrados en el tratamiento de datos.
Además, el derecho deberá hacerse efectivo en el plazo de un mes y sin retrasos injustificados, si bien podrá prorrogarse a otros dos meses si existen grandes dificultades.
El derecho de oposición
El derecho de oposición capacita al interesado para rechazar ciertos tratamientos de datos concretos por parte del encargado del tratamiento.
Este derecho debe ser justificado, salvo en el supuesto del tratamiento de datos con fines de mercadotecnia o marketing, para el cual no se necesita alegar causa alguna. El plazo es también de un mes y sin retrasos injustificados.
El derecho a la portabilidad de los datos
El derecho a la portabilidad de los datos permite que el usuario pueda obtener sus datos personales y transferirlos a un encargado del tratamiento de datos diferente al primero, sin que éste pueda oponerse. El plazo también es de un mes y sin retrasos injustificados, si bien este supuesto también permite una prórroga en dos meses más si existe complejidad.
El derecho de supresión
El derecho de supresión asiste al interesado que desee eliminar sus datos personales cuando ya no son necesarios para el fin original para el cual se recogieron o cuando se tratan ilícitamente.
El plazo es igualmente de un mes, ampliable en dos meses más. Las organizaciones pueden rechazar la supresión de los datos si:
- Se están tratando con fines de interés público.
- Se necesitan para cumplir una obligación legal o para una defensa legal.
- El responsable del tratamiento tiene poderes públicos en su ejercicio.
- El tratamiento se debe a razones sanitarias.
- Son necesarios para la libertad de expresión.
El derecho a la limitación del tratamiento
El derecho a la limitación del tratamiento se debe realizar, como en los demás supuestos, en un mes y sin retrasos injustificados, y se puede ejercer cuando:
- Ya no sean necesarios pero se quieran utilizar para defender o formular una reclamación.
- Se haya impugnado su exactitud.
- El tratamiento sea ilícito pero el interesado prefiera solicitar la limitación del tratamiento en lugar de la supresión de sus datos.
- El interesado se haya opuesto al tratamiento de sus datos y todavía se esté resolviendo dicha solicitud.
Obligaciones legales en el RGPD
El RGPD contiene especialidades sobre cómo solicitar el consentimiento y recoge los derechos que asisten a los interesados. Junto a estas especificaciones de la ley, también se deben señalar otras importantes obligaciones vigentes:
- Las entidades solo pueden tomar decisiones automatizadas cuando así se establezca en una ley de la Unión, se base en el consentimiento explícito o si resulta necesario para la ejecución de un contrato.
- Las transferencias de datos transfronterizas solo se pueden llevar a cabo con un nivel adecuado de protección de datos, bajo las condiciones legales vigentes en cada momento y, si se trata de una transferencia de datos a Estados Unidos, bajo el consentimiento informado del interesado.
- Las organizaciones deben incluir una privacidad desde el diseño y por defecto, lo que implica que tienen que configurar un alto nivel de protección por defecto a los usuarios, así como disponer de medidas de privacidad adecuadas al RGPD.
- Si existe una violación de los datos personales, el responsable de tratamiento debe informar en un plazo de 72 horas a la autoridad de control, es decir, a la Agencia Española de Protección de Datos (AEPD). La única excepción es que los datos estuvieran cifrados, pues se dificulta que la violación de datos personales vaya a afectar a los derechos y a las libertades del interesado.
- Los responsables del tratamiento deben tener un registro del tratamiento de datos completo de las actividades de tratamiento de datos personales que realicen.
El Delegado de Protección de Datos (DPD o DPO)
El Delegado de Protección de Datos (DPD) es una figura que se define como el experto en protección de datos que ayuda al encargado del tratamiento a que sus actividades sean acordes al RGPD, supervisa la aplicación de la normativa y gestiona los procesos informáticos relacionados con la seguridad de los datos.
Es necesario nombrar un DPD dependiendo de las actividades que se realicen. El RGPD lo exige cuando:
- Se produce un tratamiento de datos a gran escala de forma sistemática.
- Se realizan actividades complejas, sobre todo si afectan a datos sensibles de los usuarios.
- El tratamiento lo realice una autoridad pública, salvo juzgados.
Consecuencias del incumplimiento del RGPD
Las consecuencias de incumplir el RGPD son cuantiosas sanciones que pueden conllevar multas de, bien el 4% del volumen del negocio anual, o bien hasta 20 millones de euros, lo que sea mayor.
Los usuarios tienen derecho a presentar reclamaciones en la AEPD si se han violado sus derechos de protección de datos recogidos en el RGPD. Además, los interesados tienen derecho a una compensación por los daños y perjuicios por parte de la entidad incumplidora.