¿Qué es la RGPD?

En este artículo te respondemos a una pregunta habitual y de actualidad en el entorno empresarial respecto al RGPD: ¿qué es y cómo regula los derechos de los ciudadanos? Conocerás varios conceptos importantes relacionados con la Ley de Protección de Datos europea y los puntos a tener en cuenta para cumplir con el RGPD.

Te adelantamos tres novedades respecto al reglamento anterior:

1. Se acabó la cesión de datos sin conocimiento, es decir, el denominado “consentimiento tácito”. Ahora autorizamos a disponer de nuestros datos con una declaración clara. 
2. Se acabó manejar y/o ceder los datos a terceros sin control y sin previo aviso. 
3. Se acabó eludir la ley para todos bajo sanciones económicas que pueden llegar a ser millonarias. 
4. Antes de ver la regulación jurídica, veamos de qué datos estamos hablando.

¿Qué es un dato personal?

Es todo aquel que concierne al ámbito privado de las personas, diferenciando los datos personales de los datos especiales. 

Datos personales

Según la Agencia Española de Protección de Datos, los datos de carácter personal son aquellos referentes a las personas físicas identificadas o identificables por dos medios: 

• Un identificador como por ejemplo el nombre y los apellidos, un número de identificación (NIF), datos de localización o un identificador en línea.
• Un identificador de uno o varios de la identidad física (una fotografía), fisiológica, genética, psíquica, económica, cultural o social de las personas.

Hay varios tipos de datos que se manejan y que pueden hacer referencia no solo a la identificación de la persona, sino incluso a su situación laboral, financiera o de salud.

Datos especiales

La categoría de datos especiales amplía el campo de custodia a las instituciones públicas o privadas: 

• Los de origen étnico o racial.
• Las opiniones políticas y las convicciones religiosas o filosóficas.
• La afiliación sindical. 
• Los datos biométricos dirigidos a identificar de manera unívoca.
• La genética.
• Los relativos a la salud física o mental.
• La orientación sexual de una persona o su vida sexual.
• Los datos relativos a condenas o infracciones penales.

Todos ellos están contemplados y regulados por la Ley de Protección de Datos. Ahora sí,  vamos a ver qué incluye esta normativa.

¿Qué es el RGPD?

Es el Reglamento General de Protección de Datos (RGPD o GDPR en inglés) por el que se regula la gestión y la seguridad de la información personal y sensible de las personas, la cual manejan las administraciones públicas y las empresas que comercializan productos o servicios dentro de la Unión Europea.

Engloba a todas las empresas y profesionales, independientemente de su tamaño. Esto quiere decir que los autónomos, las microempresas, pymes y grandes corporaciones deben proteger los datos. Todos y cada uno con sus diferentes niveles de riesgo según el sector, la dimensión y la naturaleza de la información que maneje. 

El significado del RGPD implica derechos y deberes. 

Derechos de los ciudadanos

En comparación con la ley anterior, otorga a la ciudadanía más libertades y derechos y un poder de decisión superior acerca del uso de los datos. Por ello, supone una evolución importante donde, además, se contempla el derecho a estar bien informados, el acceso, rectificación, oposición o cancelación de los datos siempre que la persona lo desee. 

No solo eso, sino que incluso reconoce la capacidad de denunciar los abusos y regula los medios oficiales para hacerlo.

Deberes de las empresas y administraciones públicas

Las entidades adquieren mayores obligaciones y responsabilidades de forma que, si incumplen los derechos del RGPD, pueden recibir sanciones cuantiosas, cuya cantidad varía en función del tipo de infracción cometida, la voluntad de la misma y las medidas preventivas que se lleven a cabo. 

Todo esto está recogido y detallado de forma jurídica, así que para responder bien a la pregunta qué es la Ley de Protección de Datos en nuestro ámbito geográfico, debemos tener presentes dos textos legales:  1- En primer lugar tenemos la normativa superior, El Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. 

2- Y en segundo lugar, en España nos corresponde cumplir La Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales de España. 

Veamos cada uno de ellos. 

El RGPD de la Unión Europea

El Reglamento 2016/679 del Parlamento Europeo y del Consejo Europeo entró en vigor el 25 de mayo de 2018 y, como ya hemos adelantado, incrementa los derechos de la ciudadanía en materia de protección de sus datos, sobre todo ante la evolución tecnológica y la globalización. 

Además, incluye conceptos y población que no estaba contemplada anteriormente. Es el caso de la protección de los menores, dejando en manos de sus progenitores la autorización expresa del tratamiento de su información personal. Y es el caso también de medios como la videovigilancia o la publicidad. 

La LOPDGDD de España

La Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales de España, del 5 de diciembre, sustituye a la antigua LOPD, adaptándose así al derecho internacional de la normativa RGPD europea. 

La actual Ley de Protección de Datos desarrolla a lo largo de 97 artículos la normativa aplicable en España. 

Para ayudar a la difusión de la información de la LOPDGDD a todos los interesados y ejercer un control exhaustivo, se constituye la Agencia Española de Protección de Datos. Esta vela por el cumplimiento de la ley y lleva a cabo acciones concretas de ayuda a los ciudadanos con guías e incluso a las empresas con herramientas digitales.

Principios y obligaciones

Los principios de la RGPD regulan el comportamiento de las entidades, más allá de la simple obligación de informar acerca de los datos que estas recopilan y de protegerlos. Es decir, establece un código de actuación obligatorio y concreto materializado en siete fundamentos:Principio de limitación de la finalidad

Principio de minimización de datos

Principio de exactitud

Principio del plazo de conservación

Principio de integridad y seguridad

Principio de responsabilidad proactiva

Principio de transparencia 

En cuanto al control y la proactividad, no solo hay que vigilar que los datos se mantengan seguros sino que, en el caso de que haya una transferencia de los mismos, la empresa o la administración debe comunicar y reconocer que ha tenido brechas de seguridad o fallos. 

Delegado de Protección de Datos

Una de las novedades es que la RGPD introduce una nueva figura: el Delegado de Protección de Datos (DPO). Su presencia es obligatoria en las administraciones públicas y en aquellas organizaciones con tratamiento de datos sensibles a gran escala (banca, aseguradoras, empresas de vigilancia, mutuas, hospitales, partidos políticos, etc.). 

A esta persona le corresponde identificar riesgos, buscar soluciones y notificar los fallos de seguridad o las filtraciones de información, si las hubiera, a la Agencia Española de Protección de Datos, en un plazo de 72 horas. También tiene que contar con un sistema efectivo para realizar el reporte y/o para comunicar el fallo a los afectados, en el caso de existir algún riesgo para sus derechos.

Con toda esta información ya tienes una idea de qué es el RGPD. Si quieres conocer un caso concreto de actuación, te explicamos en este artículo cómo protegemos los datos en Smowltech.