Guía Práctica para Entender y Aplicar el Régimen General de Protección de Datos (RGPD) de la Unión Europea (UE)
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) entra en vigencia desde el 25 de mayo de 2018 y otorga a los residentes de la Unión Europea (UE) una variedad de nuevos derechos con respecto a cómo las organizaciones (dentro y fuera de la UE) recopilan y procesan nuestra información personal.
Veamos un par de conceptos importantes:
¿Qué es información personal? Cualquier información que se relacione con un individuo vivo identificado o identificable. Es decir:
- Nombre y apellidos, dirección IP asociada a una persona, número de DNI / NIE / PASAPORTE, dirección de correo electrónico con su nombre completo, identificación de cookies, etc.
- Cualquier otro dato que identifique a una persona viva.
¿Qué es el “tratamiento” de la información personal? Cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.
Es importante resaltar que cualquier organización sin importar su situación geográfica, es decir, si está ubicada dentro o fuera de la Unión Europea (USA, Latinoamérica, África, etc.) procesa o trata “información personal” de un residente de la Unión Europea (UE) estará obligada a aplicar y respetar el RGPD de la UE.
Principales novedades y obligaciones del RGPD de la UE
- MAYOR ALCANCE TERRITORIAL => El RGPD se aplica a todas las empresas (dentro y fuera de la UE) que procesan datos de residentes de la UE. Artículo 3.
- DERECHO DE ACCESO A LOS DATOS DEL INTERESADO => Los titulares de los datos tienen derecho a obtener cualquier dato personal que se almacene sobre ellos, junto con la finalidad para la que se está tratando, en formato electrónico. Artículo 15.
- DERECHO DE RECTIFICACIÓN => Los titulares de los datos tienen derecho a obtener sin dilación indebida la rectificación de los datos personales inexactos que le conciernan. Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional. Artículo 16.
- DERECHO DE SUPRESIÓN O AL OLVIDO => Nosotros, como usuarios, tenemos derecho a obtener sin dilación indebida la supresión de los datos personales que le concierne (se aplican algunas exclusiones menores). Artículo 17.
- PORTABILIDAD DE LOS DATOS => Tenemos derecho a recibir nuestros datos en un formato de uso común y de lectura mecánica, y transmitirlos a otro responsable del tratamiento sin que se lo impida el responsable inicial que se los proporcionó. Artículo 20.
- CONSENTIMIENTO => Las empresas (dentro y fuera de la UE) DEBEN hacer que su consentimiento para tratar tus datos sea informado y comprensible, y la posibilidad de retirarlos debería ser igual de fácil.
- NOTIFICACIÓN DE INCUMPLIMIENTO => Si se produce una pérdida o violación de datos personales que suponga un riesgo para los derechos y libertades de las personas afectadas, la incidencia debe ser reportada dentro de las 72 horas a los Estados miembros y los Titulares/Interesados.
- PRIVACIDAD POR DISEÑO => A partir de la fecha de vigencia, los nuevos diseños deben tener privacidad por defecto y no como una acción adicional.
- RESPONSABLE DE PRIVACIDAD DE LOS DATOS (DPO) => Se requerirá un DPO para cualquier empresa que maneje datos personales a gran escala, especialmente sensibles, o que tenga más de 250 empleados.
Algunos conceptos que debemos tener claro
¿Qué es el derecho de acceso a los datos del interesado (DSAR en inglés)?
El derecho de acceso, comúnmente conocido como acceso del sujeto/interesado, otorga a las personas el derecho a obtener una copia de sus datos personales, así como otra información complementaria. Ayuda a las personas a comprender cómo y por qué está utilizando sus datos y a comprobar que lo está haciendo de forma legal.
¿Cómo reconocemos una solicitud de acceso a los datos del sujeto/interesado (DSAR)?
Una persona puede realizar una solicitud verbalmente o por escrito, incluso en las redes sociales. Una solicitud es válida si está claro que la persona solicita sus propios datos personales. Un individuo no necesita usar una forma específica de palabras, referirse a la legislación o dirigir la solicitud a un contacto específico.
Un individuo puede pedirle a un tercero (por ejemplo, un familiar, amigo o abogado) que realice una solicitud en su nombre. Antes de responder, se debe verificar que el tercero que realiza la solicitud tiene derecho a actuar en nombre de esa persona. Es responsabilidad del tercero proporcionar evidencia de su autoridad.
¿Qué debemos considerar al responder a una solicitud?
Debe cumplir con una solicitud sin demoras indebidas y, a más tardar, en el plazo de un mes a partir de la recepción de la solicitud. Puede ampliar el plazo de respuesta otros dos meses si la solicitud es compleja o si ha recibido varias solicitudes de la persona, por ejemplo, otros tipos de solicitudes relacionadas con los derechos de las personas.
Si procesa una gran cantidad de información sobre una persona, es posible que pueda pedirle que especifique la información o las actividades de procesamiento con las que se relaciona su solicitud, si no está claro. El plazo para responder a la solicitud se pausa hasta que reciba una aclaración, aunque debe proporcionar cualquier información complementaria que pueda hacer dentro de un mes.
¿Podemos pedir una identificación?
Sí. Se debe estar seguro de que conoce la identidad del solicitante (o de la persona en nombre de la cual se realiza la solicitud). Si no está seguro, puede solicitar información para verificar la identidad de una persona. El plazo para responder a una solicitud no comienza hasta que haya recibido la información solicitada. Sin embargo, debe solicitar los documentos de identificación de inmediato.
¿Podemos cobrar una tarifa?
No usualmente. En la mayoría de los casos, no se puede cobrar una tarifa para cumplir con una solicitud. Sin embargo, puede cobrar una 'tarifa razonable' por los costos administrativos de cumplir con una solicitud si es manifiestamente INFUNDADA o EXCESIVA, o si una persona solicita más copias de sus datos.
¿Cómo encontramos y recuperamos la información relevante?
Se deben realizar todos los esfuerzos razonables para encontrar y recuperar la información solicitada. Sin embargo, no está obligado a realizar búsquedas que no sean razonables o desproporcionadas con respecto a la importancia de proporcionar acceso a la información.
¿Cómo debemos proporcionar información al solicitante?
Una persona tiene derecho a una copia de sus datos personales y a otra información complementaria (que se corresponde en gran medida con la información que debe proporcionar en un aviso de privacidad) en un formato electrónico de uso común, a menos que la persona solicite lo contrario. Al decidir qué formato usar, se debe considerar tanto las circunstancias de la solicitud en particular como si la persona tiene la capacidad de acceder a los datos que usted proporciona en ese formato. Es una buena práctica establecer el formato preferido de la persona antes de cumplir con su solicitud. Las alternativas también pueden incluir permitir que la persona acceda a sus datos de forma remota y descargue una copia en un formato apropiado.
Se debe mantener un registro de la fecha en que hicieron la solicitud, la fecha en que respondió, los detalles de quién proporcionó la información y qué información se proporcionó. Como controlador de la información, usted es responsable de tomar todas las medidas razonables para garantizar su seguridad.
¿Cuándo podemos negarnos a cumplir con una solicitud?
Cuando se aplique una exención, nos podemos negar a proporcionar toda o parte de la información solicitada, según las circunstancias. También puede negarse a cumplir con una solicitud si es manifiestamente INFUNDADA o EXCESIVA.
Sanciones del RGPD de la UE
Y las muy graves.
Hay mucha materia más por tratar, pero la idea de este artículo es mostrar lo más relevante de este importante tema.
Ya para terminar, aquí les dejo el enlace de la web oficial de la UE donde podrán acceder al documento oficial del RGPD en el idioma de su preferencia:
Y seguimos avanzando.
Project Manager at KMax LLC
3 añosHola Julio, muchas gracias por compartirlo. Es un tema muy interesante. Algún día, cuando retorne la normalidad en Venezuela, deberían reglamentar el Artículo Nro.60 de la Constitución Nacional, que fue una propuesta que hice en el el año 1999 y fue incluida en esa reforma... precisamente establece las bases para la protección de los datos de las personas. Confío que algún día, se pueda instrumentar.