El RGPD explicado. ¿Qué es el RGPD? ¿Qué implica para ti este nuevo reglamento? ¿Qué significa para tu compañía u organización? ¡Lee nuestras preguntas frecuentes para descubrir más o envíanos cualquier pregunta e intentaremos responderla aquí!
El RGPD: Todo lo que querías saber

  • ¿Qué es el RGPD?

    El Reglamento General de Protección de Datos es el nuevo reglamento europeo relativo a la protección de datos personales que entra en vigor el 25 de mayo de 2018.

  • ¿Qué hace?

    Regula cómo se procesan los datos personales por las empresas, la administración estatal y otras organizaciones. (El procesamiento incluye todo aquello relacionado con la adquisición, agregación, minado y difusión de los datos.)

    El RGPD también exige que los datos personales se almacenen y procesen de manera segura.

  • ¿Para quién está pensado?

    El RGPD está diseñado para proteger los datos personales de las personas residentes en la Unión Europea. La regulación tiene como objetivo crear un estándar en todo el continente.

  • ¿Quién es responsable de su cumplimiento?

    La Unión Europea y sus Estados Miembros son responsables de hacer cumplir el RGPD.

    Cada país deberá crear un organismo público e independiente, (en el caso de España, la Agencia Española de Protección de Datos o las correspondientes agencias autonómicas que puedan crearse) para garantizar la aplicación del RGPD, procesar reclamaciones presentadas por ciudadanos y, en caso necesario, imponer multas, además de aprobar códigos de conducta o impulsar campañas de concienciación (p.ej.: mediante iniciativas educativas). Las reclamaciones que los ciudadanos presenten directamente a las empresas serán procesadas por la Autoridad para la Protección de Datos y los tribunales nacionales consultando, cuando sea necesario, al Tribunal de Justicia de la Unión Europea.

  • ¿Quién debe cumplir el Reglamento?

    El RGPD se aplicará directamente y por igual en los 28 Países que conforman la Unión Europea, a todas las empresas, administraciones estatales y otras organizaciones que almacenen y procesen datos personales. Tales entidades habrán tenido más de dos años – desde el 27 de abril de 2016 – para prepararse para su cumplimiento.

    Además, el RGPD también se aplica a compañías y organizaciones que operan desde fuera de la UE: si una empresa u organización procesa datos personales de ciudadanos de la UE, deberá cumplir el reglamento independientemente del país desde donde opere.

  • ¿Dónde puedo encontrar más información sobre el RGPD?

    • La página web de la Autoridad para la Protección de Datos de tu país debiera ofrecer información detallada además de guías y consejos prácticos
    • La Oficina del Comisionado de Información del Reino Unido ofrece información accesible y exhaustiva en inglés
    • La página web del RGPD de la Unión Europea

  • ¿Habrá anejos o revisiones al RGPD a corto plazo?

    No es probable que se introduzcan nuevos cambios legislativos en un futuro próximo. Sin embargo, es de esperar que, a raíz de la intervención de las APD y de precedentes resultado de procesos jurídicos, se publiquen guías de actuación y/o aclaraciones del texto principal a lo largo de los próximos años.

    La Unión Europea está actualmente elaborando una nueva normativa llamada ePrivacy que complementará al RGPD en lo relativo al procesamiento de datos online.

  • ¿Cómo debemos responder en caso de una fuga de datos?

    En general, bajo el RGPD debe informar de cualquier fallo de seguridad a la Autoridad para la Protección de Datos en un plazo de 72 horas desde que se conozca. También, debe informar a aquellas personas cuyos datos personales su empresa u organización haya procesado cuando sea probable que el fallo de seguridad haya afectado negativamente a esas personas, por ejemplo: en caso de fuga de datos financieros o si personas no autorizadas han conseguido acceso a sus historiales médicos.

  • ¿Hacemos lo suficiente?

    Como empresa u organización, depende de usted el valorar esto, atendiendo específicamente a la naturaleza de su modelo de negocio y a los riesgos a la privacidad asociados a este. Un buen punto de partida es la página web de la Autoridad para la Protección de Datos (APD) de su país, que contendrá guías y consejos útiles.

  • ¿Se aplica el RGPD a empresas de los Estados Unidos?

    Sí. En tanto que una empresa rastree el comportamiento de usuarios de Internet que se encuentren en territorio de la UE, el Reglamento entra en juego, sin importar dónde tenga la sede central dicha empresa.

  • ¿Se aplica el RGPD a la información personal que posee mi empresa sobre mí?

    Sí. Tu empresa, como cualquier organización que procese datos personales, debe acatar el RGPD. Sin embargo, cada Estado miembro de la UE podrá adoptar normas más específicas en cuanto a la información personal en el contexto de las relaciones laborales o contractuales. Si deseas más información al respecto puedes dirigirte a la página web de la Autoridad para la Protección de Datos de tu país.

  • ¿Quién está exento de su cumplimiento?

    1. Ciertos organismos estatales, que incluyen agencias de inteligencia, cuerpos de policía y tribunales, se regirán por leyes nacionales separadas.

    2. Las personas están exentas cuando la adquisición de datos que realicen es para uso personal – por ejemplo, al guardar los detalles personales de un contacto en el teléfono.

    3. Las organizaciones/instituciones religiosas podrán mantener sus propias normas para la protección de datos personales y sus organismos para supervisar este área, aunque sus reglas seguirán siendo acordes al RGPD.

  • ¿Qué novedades trae el RGPD?

    Aunque el RGPD es resultado de una evolución más que una revolución en las leyes actuales de la UE, incluye cambios significativos de lo que ya existía. Entre otras cosas, este nuevo reglamento:

    1. Reconoce nuevos derechos (p.ej.: el derecho a trasladar tus datos personales desde una empresa o proveedor de servicios a otro y el derecho a solicitar una copia de aquellos datos tuyos en poder de una compañía); y exige a las empresas u organizaciones ser más transparentes (p.ej.: deben informarte del origen de los datos que procesan y para qué propósito se procesan; deberán hacerte saber si están creando un perfil de ti). 2. Facilita el cumplimiento efectivo de la ley (p.ej.: multando a las compañías o permitiendo que el ciudadano se dirija directamente a los tribunales en caso de violación del reglamento).

    3. Simplifica las reglas al aplicarse por igual en todos los países de la UE al tiempo que ofrece mayor flexibilidad a las empresas a la hora de su cumplimiento.

  • ¿Qué son datos personales exactamente?

    Los datos personales son la razón de ser del RGPD, pues este reglamento no se aplica a toda la información que una empresa posee. La información de carácter personal es toda aquella que puede vincular a un individuo identificable. Ya que es posible identificar a una persona juntando/reuniendo diversos datos (incluso sin estar asociados a un nombre), lo que constituye un dato personal puede ser muy amplio. Un número de calzado, una afición o una imagen, son ejemplos de datos identificativos de una persona, si es posible establecer una asociación entre aquellos y esa persona.

    Nótese, además, que los responsables del tratamiento (las compañías y/u organizaciones que procesan los datos) no son necesariamente capaces de realizar una identificación.

  • ¿Cómo podemos asegurarnos de que los datos que procesamos se mantengan protegidos?

    El plan de acción para proteger los datos que su organización posee dependerá de muy diversos factores como, por ejemplo: el tipo de datos que almacena, la sensibilidad de los datos, cuánta información posee, la complejidad de su infraestructura digital y si su organización dispone de formación sobre seguridad digital o decide contratar este servicio. Como mínimo debería seguir los siguientes pasos:

    • Elaborar una lista de los datos personales que almacena y esquematizar dónde guarda esta información.

    • Realiza una evaluación de riesgos, y localizar las fuentes más probables de accesos no autorizados o información filtrada.

    • Implemente un plan de acción para proteger los datos que construido a partir de su evaluación de riesgos y que incluya: minimización de datos (recabar, procesar y almacenar únicamente los datos absolutamente necesarios), control de acceso (limitar quién tiene acceso a datos personales), almacenamiento seguro (¿Dónde guarda la información personal y/o sensible? ¿Se almacena separadamente de información no personal o no sensible? ¿Se almacena encriptada?), higiene digital de la plantilla y políticas de retención, archivo y eliminación de datos.

    • Ponga a prueba la seguridad de los sistemas que almacenen los datos (servidores, gestores de email, archivos, etc.).

    • Ponga por escrito todas las acciones tomadas para proteger los datos personales que posee.

    • Elabore y ponga a prueba un plan de acción ante un fallo de seguridad que defina deberes y responsabilidades de la plantilla, que dirija la comunicación don la APD, entre otros.

    • Cree un plan para revisar periódicamente estos pasos.

  • ¿Puedo hablar con las empresas sobre el uso que hacen de mis datos?

    ¡Por supuesto! El RGPD exige que las empresas y organizaciones atiendan las preguntas sobre tus datos personales. Esto incluye, en primer lugar, informar sobre si se procesa o no información y, en caso afirmativo, con qué fin, durante cuánto tiempo se almacenará y con quién se compartirá. Además, si cambias de opinión sobre lo que has aceptado o el permiso que has dado, las empresas están obligadas no sólo a facilitarte que expreses tus deseos sino, también, a llevarlos a cabo.

  • ¿Significa esto que puedo “autoeliminarme”?

    No exactamente. No podrás eliminar toda tu información personal en cualquier momento. Pero en ciertas situaciones podrás pedir la eliminación de tus datos – p.ej.: si una empresa u organización deja de requerir la información para proveer el servicio que estás usando o si decides retirar tu permiso. Sin embargo, incluso en tales casos, las empresas pueden tener razones de peso para retener tus datos; por ejemplo, por motivos fiscales o para protegerse ante posibles reclamaciones futuras.

  • ¿En qué riesgos incurrimos si no aplicamos el RGPD correctamente?

    Usted corre el riesgo de que la Agencia para la Protección de Datos le sancione con una multa. Además, podría ser llevado a juicio directamente por una persona si usted ha violado sus derechos. Sin embargo, quizá el mayor riesgo sea la pérdida de confianza de los clientes. Las encuestas muestran que la mayor parte de la gente quiere estar segura de que sus datos no son mal empleados y se preocupa cada vez más por proteger su privacidad.

  • ¿Hay una manera básica de abordar la situación?

    El RGPD se concentra en la evaluación de riesgos que toda compañía u organización ha de llevar a cabo sobre sí misma; no se trata de una solución única para todas las situaciones. Un punto de partida debiera ser entender la importancia de los derechos de las personas a controlar información acerca de ellas y la responsabilidad de usted de asegurarse de que, cuando la gente use sus servicios, estos derechos sean respetados. Pueden encontrarse ejemplos de buenas y malas prácticas en las guías publicadas por el Grupo de Trabajo del Artículo 29. Encontrará, también, guías de utilidad en la página web de la Autoridad para la Protección de Datos de su país.

  • ¿Podrían multarme?¿Cómo serán impuestas las multas?

    Si no cumple con el RGPD, la Autoridad para la Protección de Datos puede sancionarle con una multa. Esto podría ser resultado de una reclamación presentada por una persona o de una inspección abierta por la APD.

    La Autoridad para la Protección de Datos ha de garantizar que la imposición de la multa se hace de forma efectiva, proporcionada y disuasoria en cada caso individual. La APD tendrá en cuenta, entre otros, la naturaleza y gravedad de la violación, el grado de negligencia, si usted tomó o no medidas para mitigar el daño y el presupuesto de su empresa u organización.

    Las multas pueden llegar a alcanzar un máximo del 4% de los ingresos anuales de la empresa u organización o 20 millones de euros, la mayor de las dos cifras.

  • ¿Cómo sabemos si estamos preparados?

    Como mínimo, debiera ser capaz de responder afirmativamente a las siguientes preguntas:

    • ¿Hemos identificado y esquematizado qué datos procesamos y para qué fines?

    • ¿Podemos justificar el procesamiento que realizamos de cada categoría de datos (es decir, demostrar la base legal que soporta nuestro derecho a hacerlo.)?

    • ¿Proporcionamos información a nuestros usuarios/clientes sobre cómo procesamos sus datos personales?

    • ¿Nos hemos asegurado de que los datos están almacenados de forma segura y de que no se puede acceder a ellos sin autorización?

    • ¿Hemos establecido mecanismos para la eliminación de datos que ya no necesitamos?

    • ¿Sabemos qué hacer cuando una persona decide ejercer alguno de sus derechos amparados por el RGPD tales como el de obtener una copia de sus datos personales?

    • ¿Hemos esquematizado el nivel y el origen de cualquier riesgo relacionado con nuestro modo de procesar los datos? ¿Hemos tomado medidas para mitigar ese riesgo?

    • ¿Disponemos de un protocolo de respuesta llegado el caso de que una persona no autorizada consiga acceso a los datos personales que almacenamos?

    • ¿Nos hemos asegurado de que todas las personas de la empresa u organización conoce los procedimientos correctos para procesar y proteger datos personales?

    • ¿Disponemos de un plan para re-evaluar nuestras prácticas de procesamiento de datos personales?

  • ¿Cómo se garantizará el cumplimiento de estos derechos?

    Cada país deberá crear un organismo público e independiente, Autoridad para la Protección de Datos (APD) para garantizar el cumplimiento del RGPD por parte de las empresas. Las personas tendrán el derecho a presentar reclamaciones ante la APD o dirigirse a los tribunales si creen que se han violado sus derechos.

  • ¿Debiéramos registrarnos en algún sitio?

    No. A diferencia de la Directiva de Protección de Datos de la UE de 1995, el RGPD no establece que deba registrar/declarar las bases de datos de su organización en la Autoridad para la Protección de Datos. Sin embargo, si encarga a alguien en su empresa la misión de la protección de datos, debiera hacer saber sus detalles de contacto a la APD.

    Bajo el RGPD, usted debe nombrar un oficial de protección de datos si usted procesa datos personales y:

    • usted es un organismo público (p.ej.: ministerio, escuela, hospital público);

    • su actividad incluye el seguimiento sistemático y regular de datos personales a gran escala (p.ej.: grandes compañías tecnológicas, agencias de puntuación de crédito o empresas de videovigilancia) o

    • procesa datos sensible a gran escala (p.ej.: hospitales).

  • ¿Existe una forma oficial de aplicar el RGPD?

    Teniendo en cuenta la amplia gama de factores que entran en juego cuando una empresa u organización procesan datos personales, los medios que emplea el RGPD no están hechos a la medida de todas las situaciones.

    En general, el RGPD ofrece a los individuos (o “interesados”) ciertos derechos y usted como empresa u organización debe asegurarse de que los respeta. En esencia, su organización deberá conocer al detalle qué información procesa y cómo lo hace además de evaluar qué riesgos ello supone a los sujetos de información. En general, cuanto mayor sea el riesgo, más deberá hacer para proteger los datos personales. Es decir, si usted almacena información personal sensible (relativa a la salud, la sexualidad, etc.) o detalles de compras y pagos, debe asumir una mayor responsabilidad al protegerla que si se tratara de la talla de calzado de una persona.

    Para asegurarse de que su compañía u organización cumple el RGPD, debería empezar evaluando sus prácticas actuales de gestión de datos personales (mapeando todos sus flujos de datos) para, después, estudiar las adaptaciones necesarias para satisfacer los requisitos del RGPD. Documente las razones de estas adaptaciones, del ejercicio completo y de las acciones que se realicen y asegúrese de realizar un seguimiento y revisión periódica de sus prácticas.

  • ¿Por qué critican el RGPD algunas empresas?

    Muchas compañías se han acostumbrado a tratar tu información personal como un ‘recurso libre y gratuito’ que pueden tomar sin permiso y explotar para su propio provecho económico, como algo que pueden recabar sin límite y sin proteger. El RGPD es una poderosa herramienta para obligar a las empresas a que vuelvan a estudiar los riesgos inherentes, no sólo a individuos cuyos datos procesan sino, también, para sí mismas en forma de multas y pérdida de confianza del consumidor; y para exigirles que traten tus datos con el cuidado y el respeto que debieran desde el principio.

  • ¿Qué puedo hacer si una compañía está usando mis datos personales en contra de mi voluntad?

    • Puede ser útil contactar primero con la compañía. Con independencia de que lo hagas, sin embargo, puedes presentar una reclamación ante tu Autoridad para la Protección de Datos incluso si dicha compañía no tiene ninguna sede en tu país. Si, aún así, no estás conforme con la decisión de la APD, puedes llevar la compañía a juicio.
    • Siempre puedes también dirigirte directamente a los tribunales sin pasar por la APD si crees que tus derechos han sido vulnerados.
    • Si, como resultado de una vulneración de derechos, sufres daños materiales o no materiales, podrás pedir una indemnización monetaria.
    • Terceras partes como agencias de protección de derechos de los consumidores, fundaciones por los derechos digitales u otros grupos de interés podrían, asimismo, litigar en tu nombre y en el de otros.

  • ¿Debo hacer algo?

    No. Son las empresas y organizaciones las que deben asegurarse de que tus datos personales estén protegidos. Sin embargo, cada persona deberá tomar algunas decisiones.

    • Antes de usar un servicio: si la empresa solicita que proporciones datos personales, ¿estás realmente de acuerdo? (Si el servicio procesa únicamente datos necesarios, la empresa proveedora está obligada a informarte pero no necesita solicitar un permiso específico para ello. Sí deben, no obstante, solicitar permiso expreso cuando quieran obtener información no imprescindible).

    • En cuanto a servicios que usas actualmente: ¿sigues estando conforme con el modo en que una empresa recaba, analiza y comparte tu información personal? Si ya no estás de acuerdo puedes sencillamente decir ‘no’.

    • Finalmente: si crees que tus derechos no están siendo respetados puedes denunciarlo a tu APD (en España, la Agencia Española de Protección de Datos) o, incluso, llevar a la empresa a juicio.

  • ¿Cuáles son mis derechos bajo el RGPD?

    1. Tienes derecho a estar informado.

    • Las compañías y organizaciones deberán, ahora, comunicarte, en un lenguaje claro y sencillo, qué datos personales procesan sobre ti y cómo los usan. (“Procesar” incluye todo aquello relacionado con la adquisición, agregación, minado y difusión de información.)
    • Si una compañía u organización crea un perfil sobre ti (p.ej.: con información cotejada/contrastada a partir de diversas fuentes), tienes derecho a saber qué contiene tal perfil.

    2. Tienes derecho a que tus datos se manejen de forma segura.

    El RGPD establece que los datos personales deben almacenarse y procesarse de manera segura.

    3. Tienes derecho a acceder a la información personal que una empresa u organización tiene sobre ti en cualquier momento.

    • Si la información es imprecisa puedes cambiarla o completarla.
    • Si la información ya no es necesaria puedes pedir a la empresa u organización que la elimine.
    • Si diste a la empresa u organización más información de la necesaria para disfrutar de sus servicios (p.ej.: para fines publicitarios), pero ya no deseas que la tengan, puedes solicitar que la eliminen.
    4. Tienes derecho a usar el servicio sin aportar información personal adicional.

    Si una empresa u organización quiere procesar datos personales que no son estrictamente necesarios para proveer su servicio (p.ej.: una aplicación de transportes que quiere acceder a la lista de contactos de tu teléfono), necesitarán tu consentimiento expreso para procesarlos. (Nótese que, aunque si una compañía crea que va en su interés el procesar ciertos datos, no siempre significa que sean necesarios.) Si previamente diste tu permiso a que se procesen tales datos personales adicionales siempre tendrás la opción de oponerte a ello.

    5. En lo relativo a decisiones automatizadas tienes derecho a una explicación y a que una persona intervenga.

    • Si se ha tomado una decisión sobre ti por medios automáticos tienes derecho a saber cómo se tomó tal decisión (es decir, tienes derecho a una explicación acerca de la lógica tras el mecanismo empleado).
    • En cuanto a la toma de decisiones automatizadas tienes derecho a que una persona intervenga y a disputar/impugnar cualquier decisión.