RGPD: tres cosas obligatorias muy fáciles de olvidar

A día de hoy, la mayoría de los ciudadanos han escuchado hablar del Reglamento General de Protección de Datos (RGPD). Hay quienes ya han empezado a adaptar su empresa a la nueva normativa europea, quienes son conscientes de que tienen que hacerlo pronto y quienes saben que la legislación de protección de datos cambia, pero no si les afecta. Precisamente ésta es la primera cuestión que no se puede escapar: ¿tengo que cumplir con el Reglamento? Si tratas cualquier tipo de dato personal, la respuesta es sí.

“No sabía que tenía que cumplir con el RGPD”

Seguramente, a partir del 25 de mayo de 2018 escucharemos más de una vez esta frase. La mayor trampa en la que se puede caer con el RGPD es pensar que solo afecta a grandes corporaciones. Todas las empresas que recojan traten o almacenen datos personales -independientemente de su industria y tamaño- tienen que ajustar sus políticas internas al Reglamento europeo.

Tampoco será excusa que la organización tenga su sede fuera de la Unión Europea. Siempre y cuando se procese un dato personal de un residente europeo, habrá que cumplir la nueva legislación.  Solo habrá dos excepciones:

  • Las actividades personales y domésticas recogidas en el considerando 18 del RGPD que como indica la Agencia Española de Protección de Datos (AEDP) “podrían incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en redes sociales y en línea realizada en el contexto de dichas actividades”.
  • Los requisitos del Reglamento General serán más flexibles para empresas con menos de 250 empleados.

“No siempre se necesita el consentimiento”

El consentimiento es uno de los seis motivos legales para procesar datos personales. Sin embargo, es uno de los puntos más controvertidos del RGPD para las empresas debido a la dificultad de conseguirlo.

La dificultad radica en que el consentimiento tiene que ser libre y explícito mediante una clara acción positiva, por tanto, las casillas premarcadas ya no se consideran válidas. Si el consentimiento se recoge para diferentes finalidades, éstas tienen que estar detalladas y explicadas de forma clara y concisa.

Es obligatorio registrar lo que el interesado ha consentido, de qué forma lo ha hecho y contar con los mecanismos de actuación adecuados por si el usuario decide retirar el consentimiento.

El RGPD diferencia entre el consentimiento general y el consentimiento explícito. Este último será necesario cuando las organizaciones tengan que legitimar el uso de datos sensibles, en la toma de decisiones automatizada, en los usos relacionados con marketing directo y en transferencias internacionales.

“¿Actúo como controlador o procesador de datos?”

En primer lugar, deben establecerse las diferencias entre estas figuras, así como sus responsabilidades. Un controlador de datos es datos es aquella persona, autoridad pública, agencia u organismo que determina el propósito del tratamiento de datos personales. El procesador es una entidad que procesa los datos personales en nombre del controlador.

Generalmente, la organización actúa como controlador y el proveedor como procesador. Sin embargo, en ocasiones la empresa también puede ser el procesador de datos. En cualquier caso, el controlador debe determinar el propósito por el que se recogen los datos personales y establecer cómo hacerlo mientras que el procesador tiene que llevarlo a cabo.

Ambos tienen que conocer sus funciones, evaluar los riesgos del tratamiento e implementar las medidas necesarias para garantizar un nivel adecuado de seguridad de la información personal.

Si quieres seguir profundizando en el Reglamento General de Protección de datos, te recomendamos la lectura de este libro de bolsillo que te dará todas las claves sobre la nueva normativa.

Consigue tu libro de referencia RGPD >>

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.