10 respuestas que deberías saber sobre las leyes de protección de datos
La entrada en vigor de la Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD) es de OBLIGADO CUMPLIMIENTO. Eso significa que todas las empresas están obligadas a actuar según los requerimientos establecidos en esta normativa.
Las nuevas leyes de protección de datos han creado muchas dudas en todos aquellos que por la naturaleza de nuestro trabajo nos vemos obligados a coger datos personales de clientes. Para ellos hemos creado este listado con las 10 preguntas más importantes y sus respuestas. ¡Espero que te sean de ayuda!
Pero sabes a qué requerimientos nos referimos? Puede que tengas preguntas sobre estas leyes que la gran mayoría de empresas van a tener que aplicar. Por ello, hoy vamos a dedicar este post a contestar algunas de ellas.
1. ¿Qué son los datos personales?
Los datos personales son cualquier información relacionada con una persona. Por ejemplo, serían considerados como datos personales:
Nombre y apellidos
Dirección
DNI o pasaporte
Ingresos
Dirección de protocolo internet (IP)
Datos médicos (que identifican únicamente a una persona con fines sanitarios).
2. ¿Existen categorías especiales de datos?
Sí! Y estos datos no se pueden tratar. Nos referimos a:
Origen racial o étnico
Orientación sexual
Opiniones políticas
Convicciones religiosas o filosóficas
Afiliación sindical
Datos genéticos, biométricos o sanitarios, salvo en casos específicos (por ejemplo, cuando se da un consentimiento explícito o cuando el tratamiento es necesario por razones de interés público esencial, sobre la base del Derecho nacional o de la UE)
Condenas e infracciones penales, a menos que lo autorice el Derecho nacional de la UE.
3. ¿A quién implica la LOPD-GDD?
A todo tipo de empresas: grandes corporaciones, PYMES, autónomos, cooperativas, comunidades, asociaciones, administraciones públicas, etc. Las leyes se aplican tanto a las organizaciones europeas que tratan datos personales de ciudadanos en la UE como a las organizaciones que tienen su sede fuera de la UE y cuya actividad se dirige a personas que viven en la UE.
4. ¿Cuándo se aplica el Reglamento general de protección de datos (RGPD)?
El RGPD se aplica cuando:
La empresa trata datos personales y tiene su sede en la UE.
La empresa tiene su sede fuera de la UE pero trata datos personales a ciudadanos en la UE, o supervisa el comportamiento de ciudadanos en la UE. Estas empresas deben nombrar un representante en la UE.
5. ¿Cuándo NO se aplica el Reglamento general de protección de datos (RGPD)?
El RGPD no se aplica cuando se dan las siguientes circunstancias:
El interesado ha fallecido.
El interesado es una persona jurídica.
El tratamiento de datos es efectuado por una persona que actúa con fines ajenos a sus actividades comerciales, empresariales o profesionales.
6. ¿Quién efectúa el tratamiento de los datos personales?
Durante el tratamiento, los datos personales pueden pasar por diferentes empresas u organizaciones. En ese proceso, hay dos figuras principales que gestionan el tratamiento de datos personales:
El responsable del tratamiento de los datos, que decide el fin y la forma en que se tratan los datos.
El encargado del tratamiento de los datos, que conserva y trata los datos en nombre de un responsable del tratamiento.
7. ¿Quién es el encargado de supervisar cómo se tratan los datos personales dentro de una empresa?
El delegado de protección de datos, que puede ser nombrado por la empresa, es responsable de supervisar cómo se tratan los datos personales y de informar y aconsejar a los empleados que tratan los datos sobre sus obligaciones. El delegado de protección de datos coopera también con la autoridad de protección de datos y sirve de punto de contacto entre estas autoridades y los ciudadanos.
8. ¿Cuándo se debe nombrar a un delegado de protección de datos?
Una empresa tiene la obligación de nombrar a un delegado de protección de datos cuando:
Trate categorías especiales de datos personales
Supervise periódica o sistemáticamente a los ciudadanos
El tratamiento de datos sea una actividad empresarial principal
Efectúe el tratamiento de datos a gran escala.
Veamos casos prácticos.
Si una empresa trata datos personales para orientar la publicidad de los motores de búsqueda en función del comportamiento de las personas, esa empresa debe contar con un delegado de protección de datos.
Pero si la empresa solo envía material publicitario a sus clientes una vez al año, no es necesario un delegado de protección de datos.
*El delegado de protección de datos puede pertenecer a la plantilla de la organización o puede haber sido contratado externamente a través de un contrato de servicios. Un delegado de protección de datos puede ser un particular o formar parte de una organización.
9. ¿Qué sucede cuando se transfieren datos fuera de la UE?
Cuando los datos personales se transfieran fuera de la UE, la protección ofrecida por el RGPD acompañará a los datos. Eso significa que si los datos se exportan al extranjero, la empresa debe garantizar que se cumpla una de las siguientes condiciones:
La protección de datos del país no miembro de la UE se considera adecuada.
La empresa toma las medidas necesarias para proporcionar las oportunas salvaguardias, como la inclusión de cláusulas específicas en el contrato celebrado con el importador no europeo de los datos personales.
La empresa se basa en motivos específicos para la transferencia (excepciones), como el consentimiento del interesado.
10. ¿Cuándo está permitido el tratamiento de datos?
Las normas de protección de datos de la UE establecen que los datos deben tratarse de manera justa y lícita para un fin específico y legítimo y sólo deben tratarse los necesarios para alcanzar ese objetivo. La empresa debe cerciorarse de que se cumple una de las siguientes condiciones para el tratamiento de los datos personales:
Los datos personales son necesarios para respetar una obligación contractual con el interesado
Los datos personales son necesarios para cumplir una obligación legal
Se actúa en interés legítimo de la empresa, siempre que en el tratamiento de los datos del interesado no se vean gravemente afectados los derechos y libertades fundamentales de este; si los derechos de esa persona prevalecen sobre los intereses de la empresa, no se pueden tratar sus datos personales.
Los datos personales son necesarios para proteger los intereses vitales del interesado
El interesado ha dado su consentimiento
Los datos personales se tratan para una misión de interés público
¿Tienes más dudas?
Si tienes más dudas sobre las nuevas leyes de protección de datos nosotros podemos ayudarte. Desde hace un tiempo trabajamos como partners con la empresa Octalia, una consultoría que asesora a nuestros clientes para que cumplan con la nueva normativa garantizando que su actividad se desarrolla dentro del marco legal vigente.
