RGPD

Definición:

rgpdEl Reglamento General de Protección de Datos, también conocido como RGPD, es el reglamento europeo relativo al derecho a la protección de los datos personales total o parcialmente automatizados. Aunque fue aprobado por la Unión Europea en abril de 2016, la moratoria ofrecida para su aplicación provocó un importante terremoto en mayo de 2018, cuando las empresas se vieron obligadas a aplicarlo de forma definitiva. La implantación del RGPD obligó a muchas compañías a contratar abogados expertos en protección de datos para dilucidar qué hacían con las bases de datos que ya tenían y que muchos de ellos perdieron.

Una de las principales novedades del reglamento europeo de protección de datos es que, además de regular el almacenamiento de los mismos, prohíbe su circulación y posibles cesiones a terceros. De este modo, acaba con una estrategia frecuente hace unos años: la de vender bases de datos de clientes a otras empresas con el fin de impactarles con publicidad directa. Asimismo, impide la elaboración de perfiles a partir de datos cruzados de una persona que incluyan sus hábitos, sus aficiones, etc.

Uno de los puntos más importantes del RGPD es el ‘derecho al olvido’, que no es más que la facultad de los usuarios para solicitar el borrador integral de todos sus datos en los buscadores de Internet. Se basa en una sentencia pionera del Tribunal de Justicia de la UE en mayo de 2014 después de un largo litigio impulsado por la Agencia Española de Protección de Datos (AEPD) a petición de un ciudadano español. Este usuario había sufrido numerosos inconvenientes por la inclusión de su nombre en varias noticias relacionadas con unos embargos que ya habían sido resueltos. Tras esta sentencia, Google, Bing y Yahoo incluyeron los correspondientes formularios para solicitar la retirada de información personal.

rgpd

En España, muchas de estas medidas ya se habían aplicado con la entrada en vigor de la Ley Orgánica de Protección de Datos de Carácter Personal (1999), que supuso un importante avance en el tratamiento de información privada.

El RGPD es de obligado cumplimiento por parte de todos los organismos, incluso las empresas públicas. Por este motivo, en la mayoría de los organismos dependientes de la administración se han instaurado sistemas de llamada de números y letras para gestionar la espera de pacientes y usuarios.

En qué consiste el RGPD

La aplicación del RGPD es de obligado cumplimiento para las entidades con personalidad jurídica y aquellas que manejan datos personales. Esta última afirmación afecta prácticamente a todas, ya que tratan y almacenan, como mínimo, información sobre empleados y clientes.

La entrada en vigor de la nueva normativa sobre protección de datos en mayo de 2018 obligó a muchas empresas a modificar sus políticas de privacidad. Por eso, en aquellas fechas se acumulaban en todos los buzones de e-mail los mensajes en los que se pedía la confirmación del consentimiento para poder recibir notificaciones de carácter publicitario.

La RGPD afecta a gran parte de las áreas de gestión de la empresa, así como a otras como el marketing y la analítica web, al incluir normas relativas a las cookies, retención de datos y análisis y tratamiento de los datos.

Entre los principales cambios que introdujo el reglamento están los siguientes:

  • La obligatoriedad de nombrar un Delegado de Protección de Datos.
  • Consentimiento expreso RGPD: el reglamento prohíbe activar por defecto las casillas de cesión de los datos y fuerza a que sea el usuario con una acción inequívoca quien lo haga.
  • Derecho al olvido.
  • Limitación del tratamiento de los datos.
  • Derecho a la portabilidad de la información personal.
  • Nuevas categorías especiales de datos: los datos genéticos y los datos biométricos (obtenidos mediante un tratamiento técnico, como las huellas dactilares).
  • Los usuarios deben tener derecho de información sobre cuestiones como para qué objetivo concreto van a ser utilizados sus datos, por cuánto tiempo se van a almacenar, los datos de contacto del delegado de protección de datos, etc.
  • Obligación de informar sobre ‘quiebras de seguridad’ en el tratamiento y almacenamiento de los datos.

Excepciones en la RGPD

El reglamento es de obligado cumplimiento en los estados miembros de la UE, pero contempla algunas excepciones a su aplicación en los siguientes casos, entre otros:

  • Los datos han sido cedidos por el propio interesado para el fin pertinente.
  • Son necesarios para las acciones relacionadas con el Derecho laboral y de la seguridad y protección social, como en el caso de que el responsable de recursos humanos de una empresa deba tramitar un contrato laboral.
  • Su tratamiento es vital para un usuario que no está capacitado física o jurídicamente.
  • Han sido hechos públicos por el propio interesado.
  • Para investigación, prevención de delitos o ejecución de sanciones penales por parte de las autoridades competentes, en situaciones de amenaza contra la seguridad pública.

Sanciones derivadas de la protección de datos

Junto con los derechos de los usuarios y las obligaciones de las entidades que almacenan los datos personales, el Reglamento contemplan las posibles sanciones ante un posible incumplimiento. Una gestión indebida de la información podría conllevar multas que van desde el 4% del volumen de la facturación anual de la empresa hasta los 20 millones de euros. A todo esto, habría que sumarle las sanciones penales y administrativas correspondientes.

Recientemente, la AEPD ha sancionado con 250.000 euros a LaLiga, el organismo que regula la competición futbolística en España, por utilizar el altavoz de los teléfonos móviles de los usuarios de su aplicación para escuchar y determinar si los bares a los que acudían esas personas emitían partidos de fútbol sin pagar la cuota correspondiente. La AEPD determinó que el organismo había incumplido el principio de transparencia al no informar sobre esta funcionalidad de la app.

Pero la sanción más alta hasta el momento ha sido la impuesta a British Airways por la Oficina del Comisionado de Información británica a causa de un fallo grave de seguridad que afectó a 500.000 tarjetas de crédito en septiembre de 2018. La aerolínea tendrá que pagar 204 millones de euros.

Estos han sido otros casos de empresas sancionadas por incumplir el RGPD en la Unión Europea:

  • Un hospital portugués (Hospital do Barreiro) por tener fallas de seguridad que permitían el acceso a los informes de los pacientes por parte de personas sin autorización. El problema es que no había eliminado las claves de los médicos que ya no trabajaban en el centro. Multa: un total de 400.000 euros en tres multas diferentes.
  • Una casa de apuestas austriaca fue multada por instalar una cámara de seguridad que grababa gran parte de la acera. Multa: 4.800 euros.
  • La red social alemana Knuddels.de sufrió un ataque informático que expuso 808.000 cuentas de correo electrónico y más de 1,8 millones de usuarios y claves que fueron publicados posteriormente. Multa: 20.000 euros.

Términos relacionados:

Ir arriba