Blog de JD Services

Josemi 26 julio 2023

Compartir:

Nota importante: Cada negocio es siempre el único responsable del cumplimiento de cualquier normativa que le sea aplicable. Este resumen es inexacto, está sobre-simplificado y tiene un fin meramente divulgativo y comercial. Asimismo, está orientado a pequeños negocios que realizan tratamientos de datos de poco riesgo y escala, omitiendo completamente consideraciones para otros supuestos. Podría, además, no estar actualizado.

Este resumen no supone asesoramiento legal ni reemplaza a una formación/certificación/auditoría. Consulte con su abogado antes de implementar cualquier medida o responder a cualquier solicitud de interesados. JD Services no presta servicios legales de ningún tipo. Le recomendamos recibir formación especializada al respecto. No proporcionamos ninguna garantía ni asumimos ninguna responsabilidad al respecto.

Este resumen es propiedad intelectual de JD Services y todos sus derechos quedan reservados.

Información general

¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD o GDPR) es la regulación europea relativa a privacidad y protección de datos.

Empezó a aplicarse en mayo de 2018, reemplazando a las legislaciones nacionales de protección de datos que existían previamente en cada país de la Unión Europea.

¿A quién aplica el RGPD?

El RGPD se aplica a cualquier entidad o persona en cualquier lugar del mundo y de cualquier tamaño que trate datos personales, excepto cuando el tratamiento:

• sea realizado por una persona en el ejercicio de actividades exclusivamente personales o domésticas
• sea realizado por una persona/empresa fuera de la Unión Europea, la cual no ofrezca bienes ni servicios (gratuitos ni de pago) a ninguna persona/empresa en la UE

Las empresas fuera de la UE pueden verse obligadas a designar un representante en la UE.

Definiciones importantes

A fin de entender correctamente la regulación, debemos tener siempre presente qué se entiende por ciertos términos:

• Datos personales: Cualquier dato relativo a una persona (no empresa), entendido de forma muy amplia, incluyendo:
  • Datos identificables (nombre, DNI…)
  • Datos de contacto (teléfono, email, dirección…)
  • Datos potencialmente identificables (IP…)
  • Datos de pago (cuenta bancaria, tarjeta…)
  • Datos de comportamiento (registros internos…)
  • Datos biométricos (foto, voz, huella…)
  • Otros datos asociados (cumpleaños, salud…)
• Tratamiento (processing): Cualquier trato (manual o automatizado) dado a una información:​
  • Recopilación​
  • Almacenamiento​
  • Análisis​
  • Trasmisión​
  • Uso​
  • Modificación​
  • Eliminación
  • Utilización para la toma de decisiones​
  • Elaboración de perfiles​
• Interesado (data subject): Persona cuyos datos se tratan
• Violación de la seguridad de datos personales (data breach): Cualquier incidente de seguridad que ocasione la revelación no autorizada de datos personales o su modificación/eliminación indebida
• Autoridad de control (supervisory authority / Data Protection Authority): Organismo público que supervisa el cumplimiento de la normativa de protección de datos. En cada país de la Unión Europea existe uno. Pueden consultarse en la web del European Data Protection Board (CEPD).
• Datos relativos a la salud: Datos personales relativos a la salud mental o física que revelen información sobre el estado de salud de una persona
• Datos biométricos: Datos personales relativos a las características físicas, fisiológicas o conductuales que permitan identificar a una persona (por ejemplo, imágenes de su cara o huellas dactilares)
• Destinatario: Empresa, persona u organismo al público al que se comuniquen datos personales
• Elaboración de perfiles: Formas de tratamiento automatizado de datos personales consistentes en utilizar datos personales para evaluar determinados aspectos personales de una persona

Principios generales

Principios del tratamiento

Siempre que se traten datos personales de cualquier modo, debe hacerse conforme a los siguientes principios:

• Licitud, lealtad y transparencia​
• Limitación de la finalidad​: Los datos recogidos con fines determinados no deben utilizarse posteriormente para otros fines
• Minimización de datos​: No se deben recopilar más datos personales que los justos y necesarios para los fines previstos
• Exactitud​: Los datos personales deben mantenerse actualizados
• Limitación del plazo de conservación​: Cuando los datos personales ya no sean necesarios para el fin por el que se recogieron, deben eliminarse
• Integridad y confidencialidad​: Los datos personales deben tener las medidas de seguridad adecuadas y no revelarse indebidamente a terceros
• Responsabilidad proactiva​: El responsable del tratamiento no solo debe cumplir con la normativa, sino que debe ser capaz de demostrarlo en todo momento

¿Cuándo se pueden tratar datos?

Es un error común pensar que para tratar datos personales es siempre necesario consentimiento del interesado. Bajo el RGPD, esto es solo una de las posibilidades.

Para que un tratamiento de datos personales sea legal y lícito, debe basarse siempre en alguna de las siguientes bases jurídicas:

• Consentimiento del interesado
• Necesario para la ejecución de un contrato con el interesado: Por ejemplo, prestarle servicios que haya contratado al responsable
• Cumplimiento de obligaciones legales​: Por ejemplo, podemos estar obligados a conservar facturas por un plazo determinado por obligaciones fiscales
• Protección de intereses vitales​: Por ejemplo, para evitar la muerte inminente de una persona
• Fin de interés público​: Típicamente se utiliza esta base jurídica en estudios estadísticos de organismos públicos
• Defensa de intereses legítimos: Por ejemplo, para protegerse del fraude

Validez del consentimiento

Cuando el tratamiento se base en el consentimiento del interesado:

• el interesado debe consentir de manera informada, específica, inequívoca e independiente
• el responsable deberá ser capaz de demostrarlo con pruebas
• deberá poder distinguirse claramente de otros asuntos y consentimientos
• deberá utilizarse un lenguaje claro y sencillo
• dado libremente e incondicionado (no se puede requerir un tratamiento basado en consentimiento, para la prestación de un servicio)
• deberá ser retirable:
  • habiendo informado previamente el interesado de ello
  • con la misma facilidad que fue dado
  • en cualquier momento

Consentimiento de menores de edad

A efectos del RGPD, no se tiene en consideración la edad de mayoría de edad general. En su lugar, se consideran «menores de edad» aquellas personas por debajo de la «edad de consentimiento de tratamiento de datos». Este umbral de edad, generalmente está fijado en 16 años a nivel de la Unión Europea, pero cada país puede establecer un umbral de edad diferente. Por ejemplo, en Estonia es de 13 años, en España de 14 años, y en Francia de 15 años.

El consentimiento de los «menores de edad» debe ser dado por sus tutores legales y no por el propio interesado. El responsable debe esforzarse en verificar que el consentimiento fue dado por los tutores legales.

Evaluación de intereses legítimos (LIA)

El responsable debe analizar cuidadosamente la licitud de basar jurídicamente un tratamiento en interés legítimo. Este análisis de fines, necesidad y equilibrio se conoce informalmente como LIA (Legitimate Interest Assessment).

Se debe asegurar que dicho tratamiento:

• es necesario para la satisfacción de intereses legítimos perseguidos por el responsable o por un tercero
• sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales

Categorías especiales de datos personales

De manera general, queda prohibido el tratamiento de datos personales relativos a:

• Datos biométricos
• Datos relativos a la salud
• Datos genéticos
• Raza o etnia​
• Opiniones políticas​
• Creencias religiosas/filosóficas​
• Orientación sexual​

Solo es posible tratar dichos datos especialmente sensibles en determinadas circunstancias excepcionales, incluyendo, entre otros:

• Consentimiento del interesado para fines específicos
• Para proteger los intereses vitales del interesado cuando no esté capacitado para dar consentimiento
• El interesado ha hecho manifiestamente pública dicha información
• Prevención de riesgos laborales

La información sobre condenas e infracciones penales solo puede tratarse bajo supervisión de autoridades públicas.

Derechos del interesado

Política de privacidad para derecho a ser informados

Los interesados tienen derecho a que exista transparencia por parte del responsable del tratamiento, el cual deberá facilitarle cierta información sobre el tratamiento, incluyendo, entre otra:

• Identidad del responsable y datos de contacto
• Fines del tratamiento
• Base jurídica del tratamiento
• Destinatarios de los datos personales
• Posibles transferencias internacionales
• Plazo de conservación de los datos personales
• Derechos que corresponden al interesado
• Posibilidad de reclamar ante la autoridad de control
• La existencia de decisiones automatizadas, como la elaboración de perfiles
• El origen de los datos personales (cuando no se hayan obtenido del interesado)

Habitualmente, esta información se proporciona a los interesados mediante un texto legal denominado Política de privacidad.

Si aloja su web con JD Services, puede consultarnos sobre nuestro servicio de elaboración de políticas de privacidad.

Otros derechos del interesado

Los interesados tendrán ciertos derechos ante el responsable:

• Derecho de acceso: Obtener una copia de todos los datos personales suyos tratados e información adicional
• Derecho de rectificación: Modificar sus datos personales
• Derecho al olvido: Supresión de sus datos personales
• Derecho a la limitación del tratamiento: el marcado de los datos de carácter personal conservados con el fin de limitar su tratamiento en el futuro
• Derecho a la portabilidad de datos: Trasmitir sus datos personales a otro responsable en un formato estructurado (por ejemplo, cuando un cliente cambie de proveedor a un competidor)
• Derecho de oposición: Negarse a que sus datos personales sean utilizados para determinados fines (por ejemplo, marketing directo)
• Derecho a no ser objeto de decisiones automatizadas: Exigir que no se tomen decisiones que le afecten sin revisión humana

Debe tenerse en cuenta que algunos de estos derechos se aplican incluso aunque no se hayan recibido solicitudes del interesado.

Le recomendamos leer nuestro Resumen sobre derechos RGPD / GDPR del interesado y solicitudes DSR.

Roles del tratamiento (responsable y encargado)

Como parte de cualquier tratamiento de datos personales de un interesado, toda empresa o persona actuará en base a uno de los siguientes roles generales:

• Responsable del tratamiento (data controller): Determina los fines y medios del tratamiento
• Encargado del tratamiento (data processor): Trata datos personales por cuenta de (en nombre de) el responsable del tratamiento

También existen otras figuras adicionales:

• Sub-encargados del tratamiento (sub-processors): Otro encargado del tratamiento al que recurre el encargado del tratamiento, para llevar a cabo determinadas actividades del tratamiento por parte del responsable
• Corresponsables del tratamiento (joint controllers): Dos partes que actúan conjuntamente como responsables y acuerdan mutuamente sus respectivas responsabilidades y funciones. Esto suele suceder, por ejemplo, al respecto de las páginas de empresa creadas en Facebook o LinkedIn.

Es muy importante entender el rol que desempeña cada parte, a fin de cumplir con las obligaciones correspondientes.

Obligaciones del responsable del tratamiento

El responsable del tratamiento debe:

• Aplicar medidas técnicas y organizativas apropiadas para garantizar y poder demostrar que el tratamiento es conforme con el RGPD
• Asegurar la privacidad por diseño y por defecto: Las opciones predeterminadas siempre deben ser las más restrictivas posibles e implicar el tratamiento mínimo de los datos, realizándose de la manera más segura posible
• Elegir únicamente encargados de tratamiento que ofrezcan garantías y medidas suficientes para el cumplimiento del RGPD
• Formalizar un contrato de tratamiento de datos con sus encargados (DPA)
• Cooperar con la autoridad de control correspondiente
• Realizar evaluaciones de impacto (DPIA) cuando exista un alto riesgo, y realizar consulta previa cuando corresponda
• Llevar un registro de actividades del tratamiento (RAT/RoPA)
• Responder a las solicitudes recibidas de interesados para el ejercicio de sus derechos
• Informar a los interesados sobre el tratamiento de datos personales (típicamente mediante una política de privacidad)

Obligaciones de encargados del tratamiento

El encargado del tratamiento debe:

• Cumplir estrictamente su contrato de tratamiento de datos por cuenta del responsable (DPA)
• No recurrir a sub-encargados sin autorización previa por escrito del responsable
• Imponer a sus sub-encargados mediante contrato (DPA) las mismas obligaciones que mantiene con el responsable
• Asumir plena responsabilidad ante el responsable de cualquier incumplimiento de sus sub-encargados
• Llevar un registro de actividades del tratamiento (RAT/RoPA)
• Cooperar con la autoridad de control correspondiente
• Solo tratar los datos siguiendo instrucciones documentadas del responsable
• Garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a respetar la confidencialidad de los mismos
• Tomar las medidas de seguridad necesarias
• Asistir al responsable, para que este pueda cumplir con su obligación de responder a solicitudes de interesados
• Ayudar al responsable a garantizar el cumplimiento de sus obligaciones de seguridad
• Notificar inmediatamente al responsable cualquier violación de seguridad de datos personales
• Suprimir todos los datos personales tratados por cuenta del responsable cuando finalice su prestación de servicios
• Poner a disposición del responsable toda la información necesaria para demostrar su cumplimiento
• Permitir y contribuir a la realización de auditorías e inspecciones por parte del responsable
• Informar inmediatamente al responsable si, en su opinión, una instrucción infringe el RGPD

Registro de las actividades del tratamiento (RAT / RoPA)

Los responsables y los encargados deben llevar registros de las actividades de tratamiento efectuadas.

Este registro se conoce informalmente como RAT (Registro de Actividades del Tratamiento) o RoPA (Records of Processing Activities).

El RAT / RoPA de un responsable debe contener:

• nombre y datos de contacto del responsable (y el corresponsable, cuando corresponda)
• terceros países a los que se transfieren datos y justificaciones correspondientes
• descripción de las medidas de seguridad aplicadas
• fines del tratamiento
• descripción de las categorías de interesados y de datos personales
• categorías de destinatarios
• plazos previstos para la supresión de las diferentes categorías de datos

El RAT / RoPA de un encargado debe contener:

• nombre y datos de contacto del encargado
• terceros países a los que se transfieren datos y justificaciones correspondientes
• descripción de las medidas de seguridad aplicadas
• nombre y datos de contacto de cada responsable por cuenta del cual actúe el encargado
• las categorías de tratamientos efectuados por cuenta de cada responsable

Contrato con el encargado del tratamiento (DPA)

Los responsables de tratamiento deben siempre tener formalizado un contrato con sus encargados de tratamiento, que regule el tratamiento de datos personales que el encargado realizará por cuenta del responsable. Este contrato suele recibir el nombre informal de DPA (Data Processing Agreement).

También deberán tener un DPA los encargados con sus sub-encargados.

El DPA debe vincular al encargado y establecer, respecto al tratamiento de datos personales por cuenta del responsable:

• objeto
• duración
• naturaleza
• finalidad
• tipos de datos personales
• categorías de interesados
• obligaciones y derechos

Por ejemplo, si contrata con JD Services nuestro paquete de servicios gestionados (MSP), el contrato de Cliente de Microsoft que aceptará, incluye un DPA con Microsoft. Si contrata una licencia de Adobe Acrobat, podrá solicitarles un DPA, según se especifica en las Condiciones de Adobe.

Transferencias internacionales

Conforme a la RGPD, solo se pueden transferir datos personales internacionalmente de manera justificada a un encargado/sub-encargado, cuando esté:

• en la Unión Europea
• en un país con nivel de protección equivalente al de la UE (consultar lista de decisiones de adecuación)
• sujeto a un contrato que incluya cláusulas contractuales tipo (SCC)
• sujeto a normas corporativas vinculantes (BCR) aprobadas por la autoridad de control

Seguridad del tratamiento

Medidas de seguridad

Teniendo en cuenta los avances tecnológicos y la naturaleza del tratamiento, tanto el responsable como el encargado deben aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo del tratamiento. Estas deben incluir, entre otras:

• Cifrado de datos personales
• Capacidad de garantizar confidencialidad, integridad, disponibilidad y resiliencia permanente de los sistemas y servicios de tratamiento
• Capacidad de restaurar la disponibilidad y acceso a los datos personales de forma rápida en caso de incidente
• Ejecutar regularmente verificación, evaluación y valoración de la eficacia de las medidas de seguridad

Las medidas de seguridad deben evitar la destrucción, pérdida, alteración accidental/ilícita de datos personales, así como la comunicación o acceso no autorizado a los mismos.

Le recomendamos consultar nuestro ejemplo de Política de seguridad informática

Comunicación de violaciones de seguridad de datos personales

En caso de detectarse violaciones de la seguridad de datos personales, el responsable deberá notificarlo a:

• la autoridad de control correspondiente
• los interesados afectados

Le recomendamos consultar nuestro ejemplo de Plan de respuesta a incidentes de seguridad o datos

Tratamientos de alto riesgo

Evaluación de impacto relativa a la protección de datos (DPIA)

Aunque generalmente no es necesario realizarla, cuando sea probable que un tipo de tratamiento (especialmente si usa nuevas tecnologías) implique un alto riesgo, el responsable del tratamiento deberá realizar antes del tratamiento una evaluación de impacto. Las evaluaciones de impacto se conocen informalmente como DPIA (Data Protection Impact Assessment).

Algunos supuestos en los que se hace necesaria una DPIA son:

• evaluación automatizada, sistemática y exhaustiva de aspectos personales de personas, sobre la cual se tomen decisiones que les afecten significativamente
• tratamiento a gran escala de categorías especiales de datos
• observación sistemática a gran escala de una zona de acceso público

Cuando la DPIA muestre que un tratamiento entrañaría un alto riesgo si no se toman medidas para mitigarlo, el responsable deberá hacer una consulta previa a la autoridad de control correspondiente.

Consecuencias de incumplimientos del RGPD

Multas administrativas

En caso de incumplir el RGPD, la autoridad de control correspondiente podrá imponer multas administrativas, que se le deberán pagar a dicha autoridad.

Las multas tendrán un importe máximo limitado a:

• Infracciones leves: hasta 10.000.000 EUR (o 2% de la facturación anual, lo que sea mayor)
• Infracciones graves: hasta 20.000.000 EUR (o 4% de la facturación anual, lo que sea mayor)

La autoridad de control determinará el importe teniendo en cuenta cada caso individual (gravedad de la infracción, intencionalidad, grado de responsabilidad del responsable y del encargado, infracciones previas, grado de cooperación, categorías de datos afectados, si la autoridad fue notificada por el infractor, tamaño del negocio, etc.)

Existen webs no oficiales que recopilan algunas de las multas administrativas, por ejemplo, GDPR Enforcement Tracker. En el momento de redacción de este artículo, España es el país de toda la UE con mayor número de sanciones a empresas e individuos.

Indemnizaciones

Todo interesado que haya sufrido daños y perjuicios materiales (o incluso inmateriales) como consecuencia de una infracción del RGPD, tiene derecho a demandar judicialmente al responsable o el encargado, y obtener una indemnización al respecto.

Acciones colectivas

Las asociaciones de consumidores u otras organizaciones sin ánimo de lucro podrán iniciar acciones colectivas contra un infractor, en representación de todos los afectados.

Otras sanciones

Pueden existir otras sanciones por parte de los estados, u otras empresas o personas con las cuales se hayan incumplido compromisos contractuales.

Recursos útiles

• The EDPB data protection guide for small business | European Data Protection Board
• REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)

¿Quiere contratar nuestros servicios? Solicitar información