¿En qué consiste el Reglamento General de Protección de Datos (RGPD)?

datos1-kvEF-U501994644418kCF-624x385@Diario SurEn el marco del Reglamento General de Protección de Datos (RGPD), que entrará en vigor el 25 de mayo de 2018, se establecen normas de protección de datos coherentes en toda Europa. El Reglamento se aplica a todas las empresas que tratan datos personales sobre personas de la UE, independientemente de dónde tengan su sede comercial. El término “tratamiento” se define ampliamente y hace referencia a cualquier aspecto relacionado con datos personales, incluido cómo una empresa maneja y administra los datos, es decir, cómo recopila, almacena, usa y destruye dichos datos.

Si bien muchos de los principios de este reglamento se basan en las normas de protección de datos actuales de la UE, el RGPD tiene un mayor alcance, estándares más prescriptivos y establece multas considerables. Por ejemplo, fija requisitos más estrictos de consentimiento para el uso de ciertos tipos de datos y amplía los derechos de las personas en relación con el acceso y la transferencia de sus datos. El incumplimiento del RGPD puede conllevar multas importantes, que pueden ser de hasta un 4 % de los ingresos anuales globales en el caso de ciertas infracciones.


Afectados. Todas aquellas empresas que guarden, traten, trabajen y tengan datos de carácter personal de cualquier ciudadano de la Unión Europea, independientemente del país donde operen. Es decir, que si una empresa con sede en Estados Unidos y sin presencia física en Europa ofrece sus productos y servicios aquí, debe cumplir con la normativa.

Sanciones. De no cumplir con esta ley, las empresas se enfrentan a multas y sanciones. Existen varios rangos, pero es uno de los puntos más polémicos del texto. Las mayores multas pueden llegar a ser de 20 millones de euros o el 4% de la facturación mundial de la empresa (la cantidad que sea mayor).

«Los usuarios deben saber las empresas que tienen sus datos»

JUAN SOTO. Los responsables de la Unión de Consumidores de Andalucía creen que a los empresarios «les ha pillado el toro» con la aplicación de este reglamento europeo. El presidente de la UCE, Jesús Burgos, recuerda que le UE aprobó esta norma el 25 de mayo de 2016 y dio dos años de moratoria sin que nadie se haya adaptado hasta la fecha. No obstante agradece que por fin se vaya a poner en marcha porque «los usuarios deben saber las empresas que tienen tus datos». Burgos alerta de que como a las empresas no les va a dar tiempo a adecuarse a la normativa, «van a seguir moviendo los datos sin el consentimiento de los usuarios» por lo que espera que las administraciones tomen buena nota y sancionen. «Lo bueno es que los usuarios podrán cancelar los datos en cualquier momento».

Ciudadanos. Con el nuevo reglamento, los ciudadanos tienen más derechos. Pueden pedir que los datos personales incorrectos, inexactos o incompletos sean corregidos o que sean borrados cuando ya no sean necesarios o si el tratamiento es ilícito (derecho al olvido); oponerse al tratamiento de los datos personales con fines de marketing o por motivos relacionados con nuestra situación particular o solicitar la limitación del tratamiento de nuestros datos personales en determinados casos. También los ciudadanos comunitarios pueden recibir sus datos en un formato de lectura mecánica para poder enviarlos a otro responsable del tratamiento (‘portabilidad de datos’). Además, desde el viernes, pueden solicitar que las decisiones basadas en un tratamiento automatizado sean tomadas por personas físicas, asimismo, tiene derecho a expresar su punto de vista y a impugnar dicha decisión.

Más claridad. La nueva normativa también obliga a las empresas a informar de una manera más clara y sencilla sobre el uso y tratamiento que van a hacer de nuestros datos, especialmente cuando se dirigen a menores. Se pretende así acabar con las largas condiciones de usuario en un lenguaje muy legal en lo que al tratamiento de la información se refiere.

Consentimiento explícito. Uno de los cambios más importantes que incorpora el reglamento es que el consentimiento debe ser libre, informado, específico e inequívoco para que las empresas tengan autorización para tener y tratar los datos. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos. Cuando pidan autorización para tratar esta información, se debe especificar qué uso se hará de los datos personales e incluir la información de contacto de la empresa que los trata. El consentimiento debe darse libremente y ser una manifestación específica, informada e inequívoca.

Este consentimiento informado debe incluir, como mínimo, la siguiente información: la identidad de la organización que trata los datos, sus fines, el tipo de datos y la posibilidad de retirar el consentimiento. Si el consentimiento guarda relación con una transferencia internacional de los datos, los posibles riesgos de la transferencia de estos a países de fuera de la UE, en caso de no haber ninguna decisión de la Comisión de adecuación o no se presenten las garantías adecuadas.

Dato personal. Uno de los puntos más importantes de la normativa es su definición de dato personal. Es cualquier información relativa a una persona física viva identificada o identificable. Las distintas informaciones, que recopiladas pueden llevar a la identificación de un individuo, también constituyen datos de carácter personal. Los datos personales que hayan sido anonimizados (es decir, que no se relacionen directamente con alguien), cifrados o presentados con un seudónimo, pero que puedan utilizarse para volver a identificar a una persona, siguen siendo datos personales y se inscriben en el ámbito de aplicación del RGPD.

Tres días para informar de un incidente

Las empresas, además, están obligadas a informar si han sufrido un ataque o una brecha de seguridad que haya expuesto los datos personales que guarden de los ciudadanos de la Unión Europea. El RGPD exige a los responsables del tratamiento de los datos de las empresas que, si han sufrido un incidente que implique, por ejemplo, robo de identidad o violación de la seguridad de los datos personales, se debe avisar a la Agencia de Protección de Datos en un plazo de 72 horas. Si se ha superado el plazo, se deben explicar los motivos de esta demora.

Por otra parte, los datos personales que hayan sido anonimizados, de forma que la persona no sea identificable o deje de serlo, dejarán de considerarse datos personales. Para que los datos se consideren verdaderamente anónimos, la anonimización debe ser irreversible. Además, la Comisión Europea deja claro lo qué considera es un dato personal y qué partes lo componen: nombre y apellidos, domicilio, dirección de correo electrónico (tipo nombre.apellido@empresa.com, no info@empresa.com), número de documento nacional de identidad, datos de localización (como la función de los datos de localización de un teléfono móvil), dirección de protocolo de internet (IP), el identificador de una ‘cookie’ o los datos en poder de un hospital.Valencia Noticias , noticias de Valencia, Periódico digital con las noticias de Valencia, Alicante, Castellón, última hora, deportes, ocio, política, economía y blogs.

Te necesitamos a ti también para seguir haciendo periodismo  libre e independiente. Haz un donativo

Las noticias son gratis, pero el periodismo no, ni para hacerlo ni para venderlo

Leave a Reply

Your email address will not be published.