La importancia de la privacidad se ha elevado a un nivel prioritario tanto para las empresas como para los usuarios en la era digital. Reconociendo el valor fundamental de los datos personales y la necesidad de salvaguardar su privacidad, la Unión Europea decidió crear el Reglamento General de Protección de Datos (RGPD), diseñado para establecer un marco común en la materia.
A continuación, destacamos los diez puntos clave del RGPD que toda organización debe tener en cuenta para adaptarse a este marco normativo:
1. Finalidad
Uno de los aspectos básicos que establece el RGPD es la obligación de que los datos personales sean tratados con una o varias finalidades determinadas, explícitas y legítimas y, prohíbe que estos mismos datos sean tratados posteriormente de manera incompatible con estos fines.
2. Consentimiento
Con la implementación del RGPD, el concepto de consentimiento experimentó diversas modificaciones significativas. Ahora, para que el consentimiento sea válido, debe ser otorgado de manera libre, específica, informada e inequívoca. Los consentimientos conocidos como “tácitos”, basados en la inacción del interesado, no son válidos.
3. Legitimación
El RGPD mantiene el principio de que todo tratamiento de datos debe basarse en una justificación legítima, que puede ser el consentimiento del interesado, una relación contractual, intereses vitales tanto del interesado como de otros, el cumplimiento de obligaciones legales por parte del Responsable del Tratamiento, el interés público o el ejercicio de poderes públicos, así como intereses legítimos primordiales del Responsable del Tratamiento o de terceros a quienes se les transmiten los datos.
4. Deber de información
La obligación de informar a las personas interesadas sobre las circunstancias relativas al tratamiento de sus datos recae sobre el Responsable del Tratamiento.
Para cumplir con los requisitos del RGPD de proporcionar información detallada de manera clara y concisa, se recomienda un modelo de información por capas o niveles. En cualquier caso, la información a las personas interesadas debe proporcionarse con un lenguaje claro y sencillo, de forma concisa, transparente, inteligible y de fácil acceso.
5. Encargados del Tratamiento
El encargado del tratamiento es la persona física o jurídica, autoridad pública, servicio u organismo que presta un servicio al Responsable que conlleva el tratamiento de datos personales por cuenta de este. La regulación de la relación entre el Responsable y el Encargado del Tratamiento debe establecerse a través de un contrato o de un acto jurídico similar que los vincule.
6. Registro de Actividades del Tratamiento
En función del volumen de la entidad, o del nivel de riesgo para los derechos y libertades de los interesados que comporten los tratamientos realizados, el Responsable del Tratamiento deberá elaborar el Registro de Actividades del Tratamiento. Dicho registro contendrá información relativa al tipo de datos personales que se recogen, la finalidad del tratamiento, los plazos previstos para la supresión, las medidas técnicas y organizativas adoptadas por la entidad, entre otros aspectos.
7. Derechos de los interesados
La normativa de protección de datos permite a los interesados ejercer ante el Responsable del Tratamiento sus derechos de acceso, rectificación, oposición, supresión, limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas. El Responsable del
Tratamiento está obligado a responder a las solicitudes del interesado sin dilación indebida y a más tardar en el plazo de un mes, y a explicar sus motivos en caso de que no fuera a atenderlas.
8. Brechas de seguridad
Según el RGPD, una brecha de seguridad es “toda violación de la seguridad que ocasionen la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.”
No es necesario notificar la violación de datos personales cuando el Responsable pueda asegurar que es poco probable que la violación de datos personales represente un riesgo para los derechos y libertades de los interesados. En caso contrario, la notificación debe realizarse sin dilación y a más tardar en las 72 horas después de que haya tenido constancia del incidente.
9. Delegado de Protección de Datos
Una de las nuevas figuras que introdujo el RGPD fue la del Delegado de Protección de Datos (DPD). Será necesario designar un DPD en función del tipo de entidad, actividad principal y tratamientos realizados. El DPD se encargará de supervisar y asesorar al Responsable del Tratamiento, así como de ejercer de nexo con la Autoridad de Control de Protección de Datos.
10.-Transferencias internacionales
El RGPD contempla la posibilidad de realizar una transferencia internacional de datos a un tercer país u organización internacional, cuando la Comisión Europea haya determinado que dicho país u organización internacional, proporcionan un nivel de protección adecuado. A falta de dicha decisión, la transferencia de datos podrá realizarse siempre y cuando se hayan implementado las garantías adecuadas, y los interesados afectados dispongan de derechos exigibles y recursos legales efectivos.
Recuerda que desde Metricson podemos ayudarte a adaptar tu negocio a la normativa de protección de datos, así como a despejar todas aquellas dudas que puedan surgir en el proceso.
Artículo escrito por:
Abogada especialista en privacidad y contratación tecnológica
Sobre Metricson
Con oficinas en Barcelona, Madrid, Valencia y Sevilla y una importante presencia internacional, Metricson es una firma pionera en servicios legales para empresas innovadoras y tecnológicas y especialista en privacidad. Desde su nacimiento en 2009, ha asesorado a más de 1.400 clientes de 15 países distintos, incluyendo startups, inversores, grandes corporaciones, universidades, instituciones y gobiernos.
Si quieres contactar con nosotros, no dudes en escribirnos a contacto@metricson.com. ¡Estamos deseando hablar contigo!