La GDPR ¿Qué es y cómo va a cambiar?

El Reglamento General de Protección de Datos, más conocido como RGPD o GDPR por sus siglas en inglés, es una normativa europea que, en el año 2018, marcó un antes y un después en lo que respecta al modo en el que las empresas tratan los datos de sus clientes. Aquí queremos hablar de ella en profundidad y contarte cómo ha ido evolucionando a lo largo del tiempo.

¿Qué es el GDPR?

El GDPR, RGPD o Reglamento General de Protección de Datos es un reglamento europeo que trata de proteger a las personas físicas (los usuarios) en cuanto al tratamiento que las empresas y las páginas web hacen de sus datos. Entró en vigor el 24 de mayo del año 2016. Sin embargo, se concedió un plazo de 2 años para que las empresas, instituciones y organismos se adaptasen a su cumplimiento. Esto hizo que no empezase a aplicarse hasta el 25 de mayo de 2018.

A nivel nacional, este reglamento dejó obsoleta la LOPD (Ley Orgánica de Protección de Datos de Carácter Personal) de 1999. De hecho, el Gobierno de España tuvo que encargarse de la redacción y aprobación de otra legislación nueva en base al RGPD. Esto se plasmó en la LOPD-GDD (Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales), que sí se ajustó plenamente a la normativa comunitaria.

Sin embargo, España no fue el único país en tener que adaptarse a este reglamento. No olvidemos que se trata de una normativa aplicable en el conjunto de la Unión Europea, motivo por el que todas las naciones miembros tuvieron que ajustar sus leyes en materia de protección de datos en base al RGPD.

¿Qué derechos fundamentales contempla?

El RGPD reconoce a las personas físicas 8 derechos fundamentales y obliga a las empresas a hacer todo lo que esté en su mano por proporcionárselos a sus usuarios y clientes. Son estos:

• Derecho a la información. Un usuario puede solicitar a la empresa que le informe sobre cómo están siendo tratados sus datos personales y por qué se usan de ese modo.
• Derecho de acceso. El usuario también puede consultar en cualquier momento los datos recogidos por la empresa y solicitar copias de ellos.
• Derecho de rectificación. Cuando lo desee, el usuario puede efectuar cambios sobre sus datos personales sin necesidad de solicitar permiso a la empresa.
• Derecho de oposición. El usuario también puede oponerse a que sus datos personales sean tratados por parte de la empresa. Este se amplía mediante el derecho de oposición al tratamiento automático. Esto le permite revisar manualmente solicitudes efectuadas de modo automático (por ejemplo, las de préstamos personales precondecidos).
• Derecho de retirada. Aunque en un principio el usuario otorgase el consentimiento al tratamiento de sus datos personales, puede retirarlo en cualquier momento. Esto será suficiente para que la empresa deje de hacer uso de ellos.
• Derecho al olvido. Es decir, el derecho a borrar sus datos personales. Si el usuario no quiere, la empresa no puede seguir almacenando sus datos personales.
• Derecho a la portabilidad. En cualquier momento, el usuario puede solicitar a la empresa que transfiera sus datos personales a él mismo o a otro responsable usando un formato electrónico de lectura mecánica.

¿Cómo se aplica dentro de la empresa?

El RGPD implica una serie de obligaciones dentro de la empresa en lo que respecta al registro de datos y a su utilización con fines comerciales o similares. Podemos definirlas así:

• Fijar los propósitos. Recopilar datos no está prohibido, ni mucho menos. Sin embargo, aquellos que se recojan deben tener una finalidad específica. Y, evidentemente, es necesario informar a los clientes acerca de cuáles son.
• Ser transparente. El usuario debe estar informado en todo momento de que estás recolectando información. De hecho, ha de tener la oportunidad de negarse, aunque ello implique que no pueda disfrutar de tus servicios.
• Minimizar el registro de datos. Aunque el usuario dé su consentimiento y se hayan detallado los fines de la recogida de información, el RGPD establece que no se deben captar más de los necesarios en función de tus objetivos.
• Principio de utilidad. Todos aquellos datos que dejen de ser necesarios para el propósito original por el cual fueron recogidos han de ser eliminados.
• Seguridad ante todos. La empresa ha de garantizar al usuario que pone en práctica las técnicas y medidas de seguridad necesarias para salvaguardar sus datos personales de posibles ataques de terceros.

¿Quién es el responsable de su aplicación?

En el artículo 4.7 del RGPD se habla de la figura del responsable del tratamiento de datos. En concreto, se trata de una persona física o jurídica cuya función es la de garantizar el cumplimiento del reglamento en lo que respecta al tratamiento de datos personales.

Esta figura puede ser un trabajador de la empresa o, en su defecto, un profesional o entidad externa especializada en protección de datos. Entre sus funciones está la de llevar a cabo el registro de actividades de tratamiento, cooperar con la AEPD, es decir, con la autoridad de control y aplicar las técnicas organizativas necesarias para cumplir con el RGPD.

Esto implica, además, que si en algún momento la empresa no cumple con lo especificado en la normativa europea y en la LOPD-GDD, el principal responsable será él.

¿Cómo ha ido evolucionando?

Desde su aprobación y entrada en vigor, el GDPR no ha sido modificado. Es decir, se mantiene intacto. Esto, en un universo tan cambiante como es Internet, es un problema. Las empresas no solo se han adaptado a él en base a los medios existentes en ese momento, sino que también han lanzado otros nuevos para los que no existe una regulación específica.

Como afirman los expertos, los siguientes aspectos a tratar por el RGPD han de hacer referencia a la recopilación y tratamiento de datos usados por las tecnologías de aprendizaje automático e inteligencia artificial. Estos son, actualmente, los más “opacos” de todos. Aún no existe una fecha fijada para la publicación y entrada en vigor del Reglamento Europeo de e-Privacy, que será el que ponga coto a estas cuestiones.

¿Cuáles son las multas GDPR por incumplimiento?

Hay contempladas multas GDPR que pueden resultar devastadoras para cualquier negocio sin importar su tamaño. Su cuantía dependerá, fundamentalmente, de la gravedad y del mantenimiento en el tiempo de la conducta sancionable. Estos son los dos supuestos:

• Faltas menos graves. Multas GDPR de hasta 10 millones de euros o, en su defecto, de hasta el 2 % del volumen de negocio anual del ejercicio financiero anterior.
• Faltas graves. Multas de hasta 20 millones de euros o, en su defecto, de hasta el 4 % del volumen de negocio anual del ejercicio financiero anterior.

Lo que está claro es que, en caso de imponer multas GDPR, la AEPD se decantará siempre por la opción más gravosa para la empresa. Sin duda, se trata de cifras muy altas que pueden poner en riesgo la viabilidad de cualquier negocio.

En definitiva, el Reglamento Europeo e-Privacy marcará el devenir del GDPR. Una normativa europea que, a pesar de contar todavía con menos de 4 años de historia, ya parece haberse quedado atrás a la hora de proteger los datos de los usuarios ante el uso de determinadas nuevas tecnologías. No cabe duda de que estas avanzan a un ritmo mucho más elevado que la legislación.

Cuadro de mando, ¿Cómo puedo crearlo?
6 octubre, 2022

¿Es obligatorio llevar un registro de las horas complementarias?
5 octubre, 2022

Employee journey, que es y como implementarlo
4 octubre, 2022