El nuevo Reglamento General de Protección de Datos es obligatorio des del 25 de mayo. Eso ha supuesto un revuelo y desconcierto para muchas empresas. Vamos a intentar resolver algunas dudas al respecto y sobretodo, explicar los puntos clave que hay que entender sobre el RGPD.
¿El RGPD es de aplicación para cualquier entidad responsable de tratamiento de datos de un residente de la Unión Europea?
El ámbito de aplicación territorial del RGPD es muy amplio, no obstante debemos entender que no se debe aplicar a toda entidad que realice un tratamiento de datos de personas físicas que residan en la UE. El artículo 3 del reglamento especifica tres criterios para que sea aplicable:
1)El RGPD se aplica para el tratamiento de datos personales en el contexto de las actividades realizadas en el establecimiento del responsable o del encargado de tratamiento en la Unión Europea con independencia de que el tratamiento tenga lugar en ella o no.
2)El RGPD también será de aplicación si el responsable o el encargado de tratamiento, aun no estando establecidos en la Unión Europea, realizan actividades de tratamiento de datos personales de personas que sí se encuentran en un Estado Miembro de la Unión Europea. Por lo tanto, estamos hablando de residentes de fuera de la Unión pero que se encuentran en territorio comunitario). El RGPD, en este supuesto, se aplica cuando el responsable o el encargado de tratamiento ofrezcan bienes o servicios a dichos interesados en la Unión Europea, independientemente de si a estos se les requiere su pago o cuando controlen su comportamiento, en la medida en que este tenga lugar en la Unión Europea.
3)También se aplicará al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión Europea sino en un lugar en que el Derecho Comunitario sea de aplicación en virtud del Derecho Internacional Público, como en la misión diplomática o en la oficina consular de un Estado Miembro fuera de la UE.
¿Es obligatorio para todas las empresas el nombramiento de un Delegado de Protección de Datos (DPO)?
Sería un error considerar que el reglamento obliga a todas las compañías a nombrar un Delegado de Protección de Datos ( DPO). La designación de un DPO por parte del responsable y encargado de tratamiento solamente será obligatoria en estos tres casos:
- Si el tratamiento lo lleva a cabo una autoridad u organismo público, por lo tanto una Administración Pública, excepto los tribunales que actúen en ejercicio de su función judicial.
- Cuando las actividades principales del responsable o del encargado de tratamiento consistan en operaciones de tratamiento que, por su naturaleza y objetivos, requieren de una observación habitual y sistemática de interesados a gran escala. Un ejemplo de ello podría ser una macro cadena hotelera a nivel continental.
- Cuando la actividad principal del responsable de tratamiento consiste en el tratamiento de datos personales considerados como sensibles como pueden ser los datos biométricos, de salud, origen étnico o creencias religiosas.
En caso que el responsable de tratamiento no se encuentre dentro de estos tres supuestos, el nombramiento de un DPO se considera voluntario, y se aplican los requisitos establecidos en el RGPD para la designación, cargo y tareas de la misma forma que si la designación hubiera sido obligatoria. Las normativas internas de los Estados Miembros, como la LOPD en España, también pueden exigir el nombramiento obligatorio de un DPO en casos distintos al del RGPD.
¿Cómo debe ser el consentimiento del interesado?
El RGPD establece que el consentimiento debe otorgarse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada e inequívoca del interesado. Estos factores son fundamentales para entender que dicho consentimiento no se encuentra viciado y con el que ya podemos empezar a tratar sus datos personales:
Consentimiento libre: cuando el interesado conoce los elementos sobre los que expresa su acuerdo con el tratamiento de datos; no está condicionados ni presionado por influencias externas a su persona que hace viciar dicho consentimiento; y que conoce que puede retirar su consentimiento en cualquier momento, a través de mecanismos como por ejemplo el derecho al olvido.
Consentimiento específico: cuando el interesado expresa un consentimiento individualizado para cada operación del tratamiento de datos prevista por el responsable de datos.
Consentimiento informado: cuando el interesado ha sido informado, antes de dar su consentimiento, de las actividades de tratamiento de datos previstas por el responsable del tratamiento de datos en una forma inteligible y de fácil acceso.
Consentimiento inequívoco: cuando existe una certeza objetiva tanto de la existencia real del consentimiento del interesado como del contenido en el mismo, hecho que supone que el interesado debe prestar su consentimiento a través de un acto afirmativo claro.
Y después de todo esto… ¿Qué ocurre con el consentimiento de los usuarios otorgado antes del 25 de mayo?
Cuando el Responsable de Tratamiento ha obtenido el consentimiento por parte de los interesados con anterioridad a la fecha indicada, de forma tácita, no puede seguir tratando los datos de este individuo en base a este tipo de legitimación, como puede ser el interés legítimo de la empresa para fines de Marketing Directo.
El RGPD ha realizado un cambio importante en el otorgamiento de consentimiento por parte de los interesados. Este consentimiento ya no es una norma imperativa, sino que ahora se trata de una mera base de legitimación, donde el responsable de tratamiento tiene que tratar los datos con base a la legitimación. Por lo que a partir de ahora, el responsable de tratamiento puede disponer de varias bases de legitimación que pueden ser el consentimiento, un interés legítimo, la ejecución de un contrato redactado por las partes, un interés vital del interesado y el cumplimiento de una obligación legal.
Por ejemplo, los fines del Marketing Directo pueden considerarse como un interés legítimo en el marco de una relación contractual. En ningún caso el RGPD considera como Marketing Directo la técnica de elaboración de perfiles para segmentar y ofrecer productos en base a tratamiento. En dicho será siempre necesario ofrecer un consentimiento de forma expresa.
En base a la Ley 34/2002 de Servicios de la Sociedad de la Información, el consentimiento tiene un plazo o una vida de 5 años, con el que si no se han tratado estos datos, habrá que pedir dicho consentimiento de nuevo. En base a la Protección de Datos, para ofrecer servicios análogos a la actividad principal o relación contractual con el responsable de tratamiento siempre se mantendrá dicho consentimiento, hasta su revocación por parte del interesado.
¿Quieres saber más sobre RGPD? Apúntate a nuestros webinars gratuitos sobre RGPD
