Ante la entrada en aplicación del RGPD hoy viernes 25 de mayo, recogemos aquí una lista de las 10 preguntas más frecuentes que solemos escuchar sobre el RGPD.

1. ¿Qué es el RGPD?

El RGPD (Reglamento General de Protección de Datos) es una nueva regulación europea sobre protección de datos personales de aplicación directa en todos los países miembros de la Unión Europea.

2. ¿Cuándo va a ser obligatorio el RGPD?

El RGPD entró en vigor el 24 de mayo de 2016, pero se acordó un plazo de dos años hasta su aplicación obligatoria. Este plazo finaliza este viernes 25 de mayo, fecha a partir de la cual todas las empresas y organizaciones de la UE deberán estar adaptadas a los requerimientos del RGPD.

3. ¿A quién afecta?

El RGPD afecta a todas las organizaciones radicadas en la Unión Europea y también a aquellas radicadas fuera de la UE que lleven a cabo el tratamiento de datos personales de ciudadanos de la unión.

4. ¿Qué nuevas responsabilidades tienen las empresas y organizaciones bajo el RGPD?

Los 99 artículos y 173 Considerandos del RGPD contienen muchas novedades que no vamos a recoger en este artículo por una cuestión de extensión. Sin embargo, cabe destacar que las principales novedades del RGPD emanan de un mismo principio, el principio de proactividad. Según este principio, las empresas y organizaciones deben tomar una responsabilidad activa hacia la protección de datos e integrarla dentro de sus procesos.

5. ¿A qué tipo de datos se aplica?

El RGPD se aplica a los datos personales entendidos como toda aquella información que permita identificar a un sujeto directa o indirectamente. Ejemplos de datos personales pueden ser el nombre, la dirección de correo electrónico, perfil de ADN o datos de localización GPS.

6. ¿Qué reglas deben seguir las empresas y organizaciones para asegurar el cumplimiento?

El artículo 5 del RGPD estipula que los datos personales deberán:

  • Ser procesados de manera lícita, leal y transparente.
  • Ser recogidos con unos fines determinados, explícitos y legítimos y no podrán luego ser usados para otros fines distintos.
  • Ser adecuados, pertinentes y limitados a lo necesario en relación con el fin.
  • Ser exactos y actualizados.
  • No ser mantenidos más tiempo del necesario para los fines.
  • Ser tratados de manera que se garantice la seguridad.

7. ¿Cuáles son las multas por incumplimiento?

La gravedad del incumplimiento determinará la cuantía de la multa impuesta. La máxima penalización será de 20 millones de euros o el 4% de la facturación anual de la empresa (la cifra que sea mayor de las dos).

8. ¿Qué es un DPO?

El RGPD introduce la figura del Delegado de Protección de Datos (DPO en sus siglas en inglés). Sus funciones serán:

  • Informar y asesorar sobre protección de datos a la organización.
  • Supervisar la gestión y procesamiento de datos.
  • Evaluar el nivel de riesgo e impacto de la privacidad.
  • Notificar a los sujetos sobre violaciones de datos.
  • Cooperar con las autoridades de supervisión.

El DPO podrá ser una figura interna que forme parte de la plantilla de la organización, aunque su independencia deberá estar garantizada. El RGPD permite también la externalización del servicio de DPO y abre la posibilidad de nombrar un mismo DPO para diversos establecimientos de un mismo grupo empresarial o para distintas autoridades u organismos públicos.

9. ¿Tienen que nombrar un DPO todas las empresas y organizaciones?

No, el DPO es obligatorio para:

  • Autoridades, organismos públicos y colegios profesionales.
  • Empresas cuyas actividades requieran una observación habitual y sistemática de interesados a gran escala.
  • Empresas que procesen categorías especiales de datos personales a gran escala.

10. ¿Cuáles son los derechos de los individuos bajo el RGPD?

Recogemos a continuación una lista de los derechos de los individuos que reconoce el RGPD:

  • Derecho a ser informado: las empresas y organizaciones tienen la obligación de ser completamente transparentes sobre cómo usan los datos personales.
  • Derecho de acceso: los individuos tendrán el derecho de conocer con exactitud la información que una empresa u organización tiene sobre ellos, el modo en que es procesada y los fines.
  • Derecho de rectificación: los individuos tienen derecho a corregir aquellos datos que sean incorrectos.
  • Derecho de supresión: el individuo podrá solicitar el borrado de sus datos personales cuando se cumplan determinados supuestos (consultar artículo 17 RGPD).
  • Derecho a la limitación del tratamiento: el interesado tendrá derecho a limitar el tratamiento de sus datos en determinados supuestos (consultar artículo 18 RGPD).
  • Derecho a la portabilidad de datos: cuando el tratamiento de datos se realice por medios automatizados, el individuo tendrá el derecho a obtener sus datos en un soporte electrónico de modo que se facilite la transmisión de esos datos a otro responsable de tratamiento.
  • Derecho a no ser objeto de decisiones basadas en el tratamiento automatizado de datos, incluida la elaboración de perfiles: el individuo tendrá el derecho de impugnar la decisión que un algoritmo tome en base a sus datos y podrá exigir que sea una persona la que evalúe esos datos.
  • Derecho de oposición: el individuo puede oponerse a que sus datos sean objeto de tratamiento salvo que se acrediten motivos legítimos imperiosos para el tratamiento de datos que prevalezcan sobre sus intereses, derechos y libertades.