La protección de datos se ha convertido ya es un aspecto muy relevante a tener en cuenta en la gestión empresarial moderna, especialmente en un contexto donde la información personal es un activo valioso. La normativa de protección de datos impone obligaciones específicas a las empresas para garantizar la privacidad y seguridad de los datos personales, que te desglosamos para que tu empresa cumpla con la normativa vigente.
Fundamentos del Reglamento General de Protección de Datos (RGPD)
El Reglamento General de Protección de Datos (RGPD), que entró en vigor el 25 de mayo de 2018, es la principal normativa europea que regula la protección de datos personales. Afecta a todas las empresas que procesan datos personales de residentes en la Unión Europea, independientemente de la ubicación de la empresa.
Los principios fundamentales del RGPD son los siguientes:
- Licitud, lealtad y transparencia. Los datos personales deben ser tratados de manera lícita, leal y transparente para el interesado.
- Limitación de la finalidad. Los datos deben recogerse con fines determinados, explícitos y legítimos, y no deben ser tratados de manera incompatible con dichos fines.
- Minimización de datos. Los datos personales deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados.
- Exactitud. Los datos personales deben ser exactos y, cuando sea necesario, actualizarse.
- Limitación del plazo de conservación. Los datos deben ser mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento.
- Integridad y confidencialidad. Los datos deben ser tratados de manera que se garantice una seguridad adecuada, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
Derechos de los interesados
El RGPD otorga a los individuos una serie de derechos sobre sus datos personales, que las empresas deben respetar y facilitar. Son los siguientes:
- Derecho de acceso.Los interesados tienen derecho a obtener confirmación de si se están tratando sus datos personales y, en caso afirmativo, acceso a los mismos y a la información relacionada con su tratamiento.
- Derecho de rectificación.Los interesados pueden solicitar la corrección de datos personales inexactos o incompletos.
- Derecho de supresión («derecho al olvido»).Los individuos pueden solicitar la eliminación de sus datos personales cuando ya no sean necesarios para los fines para los que fueron recogidos, cuando retiren su consentimiento, o cuando se hayan tratado ilícitamente, entre otros motivos.
- Derecho a la limitación del tratamiento.Este derecho permite a los interesados solicitar la restricción del tratamiento de sus datos personales en determinadas circunstancias.
- Derecho a la portabilidad de los datos.Los interesados pueden solicitar recibir sus datos personales en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable del tratamiento sin impedimentos.
- Derecho de oposición.Los individuos tienen derecho a oponerse al tratamiento de sus datos personales en determinadas situaciones, como el marketing directo.
- Derecho a no ser objeto de decisiones individualizadas automatizadas.Los interesados tienen derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado de sus datos, incluida la elaboración de perfiles, que produzca efectos jurídicos o les afecte significativamente.
Obligaciones de las empresas en materia de protección de datos
Las empresas que manejan datos personales deben cumplir con una serie de obligaciones bajo el RGPD:
- Registro de actividades de tratamiento.Las empresas deben mantener un registro de las actividades de tratamiento que realicen, describiendo la naturaleza de los datos, los fines del tratamiento, y las medidas de seguridad implementadas.
- Evaluaciones de Impacto sobre la Protección de Datos (EIPD).Cuando un tipo de tratamiento entrañe un alto riesgo para los derechos y libertades de las personas físicas, las empresas deben llevar a cabo una Evaluación de Impacto sobre la Protección de Datos.
- Notificación de brechas de seguridad.En caso de una violación de la seguridad de los datos personales, las empresas deben notificarlo a la autoridad de control competente sin dilación indebida, y a más tardar 72 horas después de haber tenido constancia de ella.
- Designación de un Delegado de Protección de Datos (DPO).En ciertos casos, como cuando el tratamiento se realiza por una autoridad u organismo público, o cuando las actividades principales del responsable o encargado consisten en operaciones de tratamiento que requieran una observación habitual y sistemática a gran escala, es obligatorio nombrar un DPO.
- Adopción de medidas técnicas y organizativas adecuadas.Las empresas deben implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, como la pseudonimización y cifrado de datos personales, y la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento.
Transferencias internacionales de datos
El RGPD establece requisitos estrictos para las transferencias de datos personales fuera del Espacio Económico Europeo (EEE) para garantizar que el nivel de protección de los datos no se vea comprometido. Las transferencias sólo pueden realizarse si el país de destino garantiza un nivel adecuado de protección, o si se han proporcionado garantías adecuadas, como cláusulas contractuales tipo o normas corporativas vinculantes.
Sanciones y multas
El incumplimiento del RGPD puede acarrear sanciones significativas. Las multas pueden alcanzar hasta 20 millones de euros o el 4% del volumen de negocios global anual del ejercicio financiero anterior, lo que sea mayor. Estas sanciones subrayan la importancia de cumplir con la normativa de protección de datos.
Normativa española en protección de datos: la LOPDGDD
En España, además del RGPD, la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) adapta y complementa el RGPD, proporcionando directrices adicionales y especificidades locales. La LOPDGDD introduce aspectos como la protección de los menores en internet, la desconexión digital en el ámbito laboral y el tratamiento de datos en situaciones de videovigilancia y denuncias internas en empresas.
Cumplir con estos requisitos no solo evita sanciones legales, sino que también fortalece la confianza de clientes y socios comerciales en la empresa.