La protección de datos es un tema cada vez más relevante en nuestra sociedad, debido a la creciente cantidad de información personal que se maneja en el entorno digital. En este sentido, el Reglamento General de Protección de Datos (RGPD) establece las normas armonizadas para la protección de datos personales en todos los Estados miembros de la Unión Europea y para todos aquellos casos en los que se encuentra involucrado un dato personal de un ciudadano de la Unión Europea. En este blog te explicaremos los conceptos clave, definiciones, figuras implicadas, principios y obligaciones del RGPD.
Conceptos clave que se establecen en el RGPD
– Se entiende por datos personales a cualquier información relacionada con una persona física identificada o identificable. Esta definición, por tanto, abarca tanto la información que puede determinar la identidad de una persona de manera directa (por ejemplo, nombres, apellidos, DNI, etc.) como de manera indirecta (por ejemplo, ubicación, dirección IP, etc.)
– Tratamiento de datos: cualquier operación o conjunto de operaciones realizadas sobre datos personales (por ejemplo, recopilación, registro, organización, almacenamiento, etc.).
– Responsable del tratamiento: persona física o jurídica que determina los fines y medios del tratamiento de datos personales.
– Encargado del tratamiento: persona física o jurídica que trata datos personales en nombre del responsable del tratamiento.
– Autoridad de control: Autoridades nacionales que supervisan el cumplimiento del RGPD y las respectivas normativas de protección de datos nacionales y están dotadas de potestad sancionadora. En España encontramos la Agencia Española de Protección de Datos (AEPD).
– Interesado: persona física a la que se refieren los datos personales.
Principios que deben cumplirse en el tratamiento de datos personales
El tratamiento de los datos implicará cumplir con unos principios rectores establecidos en el RGPD y que deben cumplirse en cualquier fase del tratamiento. Estos principios son:
– Licitud, lealtad y transparencia: los datos personales deben ser tratados de manera lícita, leal y transparente. Se debe amparar el tratamiento en una base de legitimación adecuada (consentimiento, ejecución de un contrato, obligación legal, intereses vitales, interés público o interés legítimo) y se debe informar al interesado de una serie de extremos tales como: las finalidades para las qué van a ser usados sus datos, la identidad del responsable del tratamiento, de la base de legitimación del tratamiento, de los derechos que asisten a los interesados y la forma de ejercerlos, así como de la posibilidad de presentar una reclamación ante la Autoridad de Control.
– Limitación de la finalidad: Los datos deben ser recogidos con fines determinados, explícitos y legítimos, y no ser tratados de manera incompatible con dichos fines.
– Minimización de datos: los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
– Exactitud: los datos personales deben ser exactos y, si fuera necesario, actualizados.
– Limitación del plazo de conservación: Los datos personales sólo deben ser mantenidos durante el tiempo necesario para cumplir los fines del tratamiento.
– Confidencialidad, integridad y disponibilidad de los datos personales: Estas tres características son la base de la seguridad de la información y se deben garantizar, respecto de todos los datos personales, al llevar a cabo tratamiento y al diseñar las medidas técnicas y organizativas que los protejan.
– Responsabilidad proactiva: La obligación de protección de datos no se resume meramente al cumplimiento pasivo de la normativa, sino a poder demostrar ese cumplimiento (por ejemplo, de cara a un requerimiento de la Autoridad de control).
– Privacidad desde el diseño y por defecto: La protección de datos es un aspecto a tener en cuenta desde las primeras fases del diseño de las operaciones del tratamiento, tomando ex ante todas las medidas adecuadas (por ejemplo, análisis de riesgos, evaluaciones de impacto, implementación del cifrado de los datos, etc.).
Derechos de los interesados
Es importante tener en cuenta que empresas que traten con datos personales deberán respetar en todo momento una serie de derechos de las personas interesadas:
– Acceso: Derecho de conocer qué datos está tratando la empresa sobre la persona, así como a obtener una copia completa de tales datos de manera de manera clara y sencilla de comprender.
– Rectificación: Derecho a solicitar la corrección o actualización de los datos personales que estén siendo tratados.
– Oposición: Derecho a oponerse al tratamiento de datos por parte de la empresa.
– Supresión: Derecho a que los datos sean borrados de los ficheros de la empresa una vez no sean necesarios para la finalidad para los que originalmente se recogieron.
– Portabilidad: Derecho a obtener una copia completa de los datos que la entidad está tratando.
– Limitación del tratamiento: Derecho a limitar el tratamiento de datos que la empresa realiza.
– Derecho a no ser objeto de decisiones automatizadas: Derecho a impedir la toma de decisiones por medios automatizados, sin intervención humana, que afecten jurídicamente a la persona.
El ejercicio de los derechos que tienen las personas sobre sus datos de carácter personal es gratuito y la información debe ser proporcionada al interesado de forma concisa, transparente e inteligible.
De igual manera, es importante que las empresas informen de las posibles brechas de seguridad de los datos que hayan o puedan haber comprometido la confidencialidad, integridad y disponibilidad de los datos durante el tratamiento de estos. Las brechas de seguridad de los datos son un tipo de incidente de seguridad, pero no todos los incidentes de seguridad son brechas de seguridad de los datos y, por tanto, no siempre será necesario notificarlos a la Autoridad de Control. Ante estos casos, la entidad deberá identificar el problema, reportar a los departamentos responsables, y colaborar para la aplicación de medidas de seguridad mitigadoras y la realización de las notificaciones a la autoridad y a los interesados que pueden corresponder.
En Youandlaw somos abogados especializados en el sector startup, con un servicio personalizado a emprendedores e inversores. Hablamos el idioma de nuestros clientes con un asesoramiento cercano, riguroso y flexible, además de ser expertos en acompañar, con especialidad en asesoramiento durante rondas de financiación.