top of page
Buscar
abogmariatuozzo
4 ene 202311 Min. de lectura

Hablemos de la protección de datos según RGPD (GDPR).

Actualizado: 18 ago 2023


Foto de Markus Spiske- Unsplash

El Reglamento General de Protección de Datos (RGPD) o lo que conocemos como GDPR que no es más que su traducción al idioma inglés (General Data Protection Regulation), establece los requisitos específicos para empresas y organizaciones sobre la colección, almacenamiento y gestión de los datos personales. Se aplican tanto a las organizaciones europeas que tratan datos personales de ciudadanos en la UE, como en las organizaciones que tienen su sede fuera de la UE y cuya actividad se dirige a personas que viven en la UE.

¿Cuándo se aplica el Reglamento general de protección de datos (RGPD)?

El RGPD se aplica en los siguientes casos:

  1. La empresa trata datos personales y tiene su sede en la UE, independientemente de dónde se traten o se almacenen los datos.

  2. La empresa tiene su sede fuera de la UE pero trata datos personales relativos a ofertas de bienes o servicios a ciudadanos en la UE, o supervisa el comportamiento de ciudadanos en la UE.

Las empresas que no tienen sede dentro de la UE y que tratan datos de ciudadanos de la UE, deben nombrar un representante en la UE.

¿Qué son los datos personales?

Los datos personales son cualquier información relacionada con una persona identificada o identificable, también denominada " el interesado". Ejemplos de datos personales:

  1. Nombre y apellidos

  2. Dirección de habitación.

  3. Número de documento de identidad/pasaporte

  4. Ingresos

  5. Perfil cultural

  6. Dirección de protocolo internet (IP)

  7. Datos en poder de hospitales o médicos (que identifican únicamente a una persona con fines sanitarios).

  8. Categorías especiales de datos.

Hay que tener muy presente que hay ciertos datos que no pueden ser tratados bajo ningún concepto, pues ello acarrearía condenas e infracciones penales, a menos que lo autorice el Derecho nacional o de la UE. Alguno de los datos que no pueden ser tratados, son los siguientes:

  1. Origen racial o étnico

  2. Orientación sexual

  3. Opiniones políticas

  4. Convicciones religiosas o filosóficas

  5. Afiliación sindical

  6. Datos genéticos, biométricos o sanitarios, salvo en casos específicos (por ejemplo, cuando se da un consentimiento explícito o cuando el tratamiento es necesario por razones de interés público esencial, sobre la base del Derecho nacional o de la UE)


¿Quién puede realizar el tratamiento de los datos personales?


El tratamiento de datos personales, puede pasar por diferentes empresas u organizaciones, ajenas en muchos casos a la empresa que los colectó. Te damos una idea de cuales pueden ser, en tal sentido tenemos:

  1. El responsable del tratamiento de los datos, que decide el fin y la forma en que se tratan los datos.

  2. El encargado del tratamiento de los datos, que conserva y trata los datos en nombre de un responsable del tratamiento.

¿Quién supervisa cómo se tratan los datos personales dentro de una organización?


En toda empresa que tendrá relaciones comerciales con países de UE, debe nombrar un delegado de protección de datos, el cual será responsable de supervisar cómo se tratan los datos personales y de informar y aconsejar a los empleados que tratan los datos sobre sus obligaciones. El delegado de protección de datos coopera también con la autoridad de protección de datos y sirve de punto de contacto entre estas autoridades y los ciudadanos.

¿Cuándo se debe nombrar a un delegado de protección de datos?


Toda organización que tenga relaciones comerciales con países de la UE y sus ciudadanos, tiene la obligación de nombrar a un delegado de protección de datos cuando:

  1. Supervise periódica o sistemáticamente a los ciudadanos o trate categorías especiales de datos.

  2. El tratamiento de datos sea una actividad empresarial principal.

  3. Efectúe el tratamiento de datos a gran escala.

Hay que tener en cuenta, que si los datos personales se tratan para orientar la publicidad de los motores de búsqueda en función del comportamiento de las personas, la empresa debe contar con un delegado de protección de datos. Ahora bien si la empresa solo envía material publicitario a sus clientes una vez al año, no es necesario un delegado de protección de datos.

Así mismo ocurre en el caso de los médicos , cuando recoge datos sobre la salud de sus pacientes, probablemente no se necesite un delegado de protección de datos, pero si se tratan los datos personales sobre genética y salud para un hospital, entonces sí es necesario un delegado de protección de datos.

El delegado de protección de datos puede pertenecer a la plantilla de la organización o puede haber sido contratado externamente a través de un contrato de servicios. Un delegado de protección de datos puede ser un particular o formar parte de una organización.

Transferencia de datos fuera de la UE


Se debe tener en cuenta que cuando los datos personales se transfieran fuera de la UE, la protección ofrecida por el RGPD deberá respaldar los datos. Eso significa que si los datos se exportan al extranjero, la empresa debe garantizar que se cumpla una de las siguientes condiciones:

  1. La protección de datos del país no miembro de la UE se considera adecuada.

  2. La empresa toma las medidas necesarias para proporcionar las oportunas salvaguardias, como la inclusión de cláusulas específicas en el contrato celebrado con el importador no europeo de los datos personales.

  3. La empresa se basa en motivos específicos para la transferencia (excepciones), como el consentimiento del interesado.

¿Cuándo está permitido el tratamiento de datos?


Las normas de protección de datos de la UE establecen que los datos deben tratarse de manera justa y lícita para un fin específico y legítimo y solo deben tratarse los necesarios para alcanzar ese objetivo. La empresa debe cerciorarse de que se cumple una de las siguientes condiciones para el tratamiento de los datos personales:

  1. Se tiene el consentimiento expreso del interesado.

  2. Los datos personales son necesarios para respetar una obligación contractual con el interesado.

  3. Los datos personales son necesarios para cumplir una obligación legal.

  4. Los datos personales son necesarios para proteger los intereses vitales del interesado.

  5. Los datos personales se tratan para una misión de interés público

Es decir, si se actúa en interés legítimo de la empresa, y siempre que en el tratamiento de los datos del interesado no se vean gravemente afectados los derechos y libertades fundamentales de este; no habrá problemas, sin embargo, si los derechos de esa persona prevalecen sobre los intereses de la empresa, no se pueden tratar sus datos personales.

El Reglamento General de Protección de Datos aplica normas estrictas para el tratamiento de datos basadas en el consentimiento. El objetivo de estas normas es garantizar que el interesado comprenda lo que está consintiendo. Eso significa que el consentimiento debe darse de manera libre, específica, informada e inequívoca, mediante una solicitud presentada en un lenguaje claro y sencillo. El consentimiento se expresará mediante un acto afirmativo, como marcar una casilla online o firmar un formulario.

Tener siempre presente, que cuando una persona consienta el tratamiento de sus datos personales, solo se podrán tratar para los fines para los que haya dado su consentimiento. También debe ofrecérsele la posibilidad de retirar su consentimiento.


Mantener informado al interesado, es obligatorio.


Los interesados deben recibir información clara sobre quién trata sus datos personales y por qué. Deben saber al menos lo siguiente:

  1. La identidad del responsable.

  2. Por qué se tratan sus datos personales.

  3. El basamento jurídico del tratamiento.

  4. Quién recibirá los datos (si procede).

La información proporcionada dependiendo del uso de la información, tambien deberá incluir:

  1. La información de contacto del delegado de protección de datos (en su caso).

  2. Los intereses legítimos de la empresa si se acoge a esta base jurídica para efectuar el tratamiento.

  3. Las medidas aplicadas para la transferencia de los datos a un país no perteneciente a la UE.

  4. El periodo (tiempo) de almacenamiento de los datos.

  5. Los derechos del interesado en materia de protección de datos (por ejemplo, acceso, rectificación, supresión, limitación, oposición, portabilidad, etc.)

  6. El derecho a retirar el consentimiento (cuando el consentimiento sea la base jurídica para el tratamiento).

  7. Si la comunicación de datos es un requisito legal o contractual.

  8. En caso de decisiones automatizadas, información sobre la lógica aplicada, la importancia y las consecuencias de la decisión.

Toda la información debe presentarse en un lenguaje claro y sencillo.

¿Qué sucede cuando los datos colectados son de menores de edad?


Cuando se recogen datos personales de menores de edad, que se basan en el consentimiento, por ejemplo para utilizar una red social o para una cuenta de descarga de contenidos, es preciso obtener primero la autorización parental, por ejemplo enviando una notificación al padre, madre o tutor. La edad hasta la cual una persona se considera menor varía según el país de residencia, pero se sitúa entre los 13 y los 16 años de edad.

Derecho de acceso y derecho a la portabilidad de los datos


Los ciudadanos deben tener derecho a acceder a sus datos personales gratuitamente. Cuando se recibe una petición de este tipo es necesario:

  1. Indicar claramente si se están tratando los datos personales

  2. Informar sobre el tratamiento (finalidad, categorías de datos personales, destinatarios de los datos, etc.)

  3. Entregar una copia de los datos personales objeto de tratamiento (en un formato accesible).

  4. Cuando el tratamiento se base en el consentimiento o en un contrato, el interesado también puede pedir que se le devuelvan sus datos personales o se transmitan a otra empresa. Es lo que se conoce como derecho a la portabilidad de los datos. Los datos deben facilitarse en un formato utilizado habitualmente y de lectura automática.

El interesado siempre tendrá derecho de rectificación y derecho de oposición Si una persona considera que sus datos personales son incorrectos, incompletos o inexactos, tiene derecho a rectificarlos o completarlos sin demoras indebidas. En ese caso, se debe notificar a todos los destinatarios de los datos personales si alguno de los datos compartidos con ellos se ha modificado o suprimido, así mismo se deberá comunicar a los que hayan consultado dichos datos (a menos que se considere que supone un esfuerzo desproporcionado).

Se debe tener en cuenta que quien proporciona la información, puede oponerse en todo momento al tratamiento de sus datos personales para un uso específico si la empresa los trata sobre la base de un interés legítimo o para una actividad de interés público. La empresa debe dejar de tratar los datos personales a menos que el interés legítimo prevalezca sobre el interés del interesado. He aquí la importancia del área legal de la empresa para analizar el caso.

Así mismo, una persona puede solicitar que se limite el tratamiento de sus datos personales mientras se determina si el interés legítimo de la empresa prevalece sobre su interés individual. No obstante, en caso de fines comerciales directos, la empresa siempre tiene la obligación de dejar de tratar los datos personales si lo solicita el interesado.

Derecho de supresión de quien suministró la información (derecho al olvido)


Se puede solicitar al responsable del tratamiento que suprima tus datos personales, por ejemplo si los datos ya no son necesarios para cumplir la finalidad del tratamiento. Sin embargo, la empresa no tiene la obligación de hacerlo en los siguientes supuestos:

  1. El tratamiento es necesario para respetar la libertad de expresión y de información.

  2. Existe una obligación legal en donde se requiren los datos personales proporcionados.

  3. Existen otras razones de interés público para almacenar los datos personales, como de salud pública o con fines de investigación científica e histórica.

  4. Se requieren los datos personales, para emprender una acción legal.

Pendiente con las decisiones automatizadas y elaboración de perfiles


Los interesados tienen derecho a no ser objeto de una decisión basada únicamente en un tratamiento automatizado, es por ello la importancia que antes de proceder a utilizar los datos personales para tales fines, se cuente con un consentimiento explícito.Salvo cuando una decisión automatizada se base en una ley, la empresa debe:

  1. Informar al interesado sobre las decisiones automatizadas.

  2. Dar al interesado el derecho de revisar la decisión automatizada.

  3. Dar al interesado la posibilidad de impugnar la decisión automatizada.

Ejemplo: si un banco automatiza su decisión de conceder o no un préstamo a una persona, esta debe ser informada de la decisión automatizada y tener la posibilidad de impugnar la decisión y solicitar la intervención humana.

Violación de datos: proporcionar la notificación adecuada


Uno de los riesgos para los derechos y las libertades individuales, es la violación de datos, y cuando ello ocurre, es importante notificarlo a la autoridad de protección de datos en un plazo de 72 horas a partir del momento en que se conoció de la infracción. Es importante que ante este tipo de eventos, la empresa informe a todos los afectados. Se considera violación de datos la divulgación accidental o ilegal a destinatarios no autorizados de datos que sean responsabilidad de una empresa, así como su indisponibilidad temporal o su modificación.

Importancia de responder a las solicitudes de particulares que expresan su deseo de ejercer sus derechos


Si la empresa recibe una solicitud de un particular que desea ejercer sus derechos, se debe responder a la solicitud sin demoras indebidas, para lo cual se contará con un plazo de un mes a partir de la recepción de la solicitud. Este plazo puede prorrogarse por un periodo de dos meses en caso de solicitudes complejas o múltiples, siempre y cuando se informe de la prórroga al interesado. Este tipo de solicitudes se tramitan gratuitamente. En caso de que la empresa decida rechazar la solicitud, deberá comunicar al interesado las razones que sustentan la decisión.

Evaluación de impacto para reducir riesgo de violación de derechos y libertades de las personas


Es obligatorio realizar una evaluación de impacto sobre la protección de datos cada vez que se implementan nuevas tecnologías, siempre que el tratamiento previsto pueda representar un alto riesgo para los derechos y libertades de las personas. Existe ese alto riesgo cuando:

  1. Se utilicen el tratamiento automatizado y los mecanismos de elaboración de perfiles para evaluar a las personas.

  2. Se observe a gran escala una zona de acceso público (por ejemplo con circuito cerrado de televisión).

  3. Se traten a gran escala categorías especiales de datos (por ejemplo, datos sanitarios) o datos personales relativos a condenas e infracciones penales.

***Las autoridades de protección de datos pueden considerar de alto riesgo otras categorías de tratamiento de datos.*** ***Si las medidas indicadas en la evaluación del impacto sobre la protección no eliminan todos los altos riesgos identificados, debe consultarse a la autoridad de protección de datos antes de que se lleve a cabo el tratamiento.***

Prevenir es la solución, por tanto un mantenimiento de registros adecuado es la medida más ajustada para reducir los riesgos

La empresa debe demostrar que actúa de conformidad con el Reglamento General de Protección de Datos y cumple todas las obligaciones aplicables, especialmente a petición o bajo la inspección de la autoridad de protección de datos. Una manera de hacerlo es mantener registros detallados de aspectos tales como:

  1. Nombre y datos de contacto de la empresa que intervenga en el tratamiento de datos.

  2. Razones para el tratamiento de los datos personales.

  3. Descripción de las categorías de personas que proporcionan datos personales.

  4. Categorías de organizaciones que reciben los datos personales.

  5. Transferencia de datos personales a otro país u organización.

  6. Periodo de almacenamiento de los datos personales.

  7. Descripción de las medidas de seguridad utilizadas en el tratamiento de los datos personales.

La empresa debe también conservar, y actualizar periódicamente, las directrices y procedimientos escritos y darlos a conocer a sus empleados. ***Si se trata de una pyme o una empresa más pequeña, no es necesario mantener registros de las actividades de tratamiento siempre que:

  • No se hagan habitualmente.

  • No afecten a los derechos o libertades de los interesados.

  • No traten datos confidenciales o registros de antecedentes penales.

La importancia de proteger los datos desde el diseño y por defecto


La protección de datos desde el diseño significa que la empresa debe tener en cuenta la protección de datos desde las primeras etapas de la planificación de una nueva forma de tratamiento de los datos personales. Es decir, un responsable del tratamiento debe adoptar todas las medidas técnicas y organizativas necesarias para aplicar los principios de protección de datos y proteger los derechos de las personas. Estas medidas pueden consistir, por ejemplo, en la seudonimización.

La protección de datos por defecto significa que la empresa debe siempre adoptar por defecto las configuraciones que más defiendan la privacidad. Por ejemplo, si dos configuraciones de privacidad son posibles y una de las configuraciones impide que accedan terceras personas a los datos personales, esta debería utilizarse como configuración por defecto.

¿Que sucede si se incumple con RGPD?


El incumplimiento del Reglamento General de Protección de Datos puede dar lugar a multas de hasta 20 millones de euros o del 4% del volumen de negocios mundial de la empresa, en determinadas infracciones. La autoridad de protección de datos puede imponer medidas correctivas adicionales, como obligar a poner término al tratamiento de los datos personales.

Fuente: RGPD.


María Alejandra Tuozzo M.

Abogada Venezolana.

email: abog.mariatuozzo@gmail.com


Para representación legal en Venezuela, puedes contactarme vía mensaje de texto a WhatsApp, dando click en el siguiente botón.




Asesoría legal gratuita para venezolanos, accediendo al grupo de Facebook: https://www.facebook.com/groups/consultalegal.conocetusderechos/

Puedes escanear también el código QR, desde tu teléfono celular.






12 visualizaciones0 comentarios

Comentários

Avaliado com 0 de 5 estrelas.
Ainda sem avaliações
Adicione uma avaliação
bottom of page