Ayuda RGPD

HomeAyudaAyuda RGPD
¿Cuál es el ámbito de la aplicación de la RGPD?

El Reglamento General de Protección de Datos (RGPD), aumenta su alcance tanto territorial como materialmente.

Territorialmente se incluyen como sujetos a la normativa los responsables o encargados no establecidos en la Unión Europea (UE), cuando las actividades estén relacionadas con ofertas de bienes y servicios o monitorización de residentes europeos.

Así, el RGPD será aplicable a:

Responsables y encargados de tratamiento establecidos en la UE.

Conviene recordar que se entiende actualmente por “establecimiento”. El Tribunal de Justicia de la Unión Europea (TJUE) ha considerado que se produce un tratamiento de datos en un establecimiento en la UE cuando se ejerza cualquier actividad real y efectiva, la más mínima a través de una instalación estable (Caso Weltimmo c. NAIH, C-230/14).

Aquellas organizaciones cuya finalidad sea la de promover y vender publicidad o realizar actividades de marketing dirigidas a ciudadanos de la UE. Este tratamiento deberá estar relacionado y llevado a cabo “en el contexto de las actividades” de los establecimientos de la UE (Caso Google c. AEPD y Mario Costeja).

Los no establecidos en la EU pero que dirijan sus actividades o monitoricen datos de interesados de la UE.

Se considera actividad dirigida a residentes europeos la oferta de bienes o servicios, independientemente de si a estos se les requiere su pago. Una simple web que permite acceso a un servicio en la UE no es suficiente para la aplicación del RGPD. Factores como la oferta en el lenguaje del Estado Miembro o mencionando clientes de dichos estados pueden determinar la aplicación del RGPD.

El pago de una entidad a un motor de búsqueda para que su oferta aparezca en un determinado país. No obstante, en los casos que creen más dudas se deberá determinar caso por caso

¿Qué se considera dato personal?

Cualquier información relacionada con una persona física que se puede utilizar para identificarla directa o indirectamente se considera un dato personal. Puede ser cualquier cosa: un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales, información médica…

La UE ha ampliado sustancialmente la definición de datos personales en el marco del GDPR. Los identificadores online, como las direcciones IP, ahora son considerados como datos personales. Otros datos, como la información económica, cultural o de salud mental, también se consideran información de identificación personal.

Los datos personales pseudónimos también pueden estar sujetos a las reglas de GDPR, dependiendo de lo fácil o difícil que sea identificar cuáles son los datos.

¿Qué es un fichero de “datos personales”?

Un fichero es todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.

Los ficheros no automatizados consisten en conjuntos de datos personales organizados de forma no automática y estructurada conforme a criterios específicos relativos a personas físicas que permitan acceder sin esfuerzos desproporcionados a sus datos personales, ya sea centralizado, descentralizado o repartido de forma funcional o geográfica.

Los ficheros automatizados consisten en conjuntos de datos organizados de forma automática y gestionada mediante, programas, soportes, y equipos informáticos.

En caso de error o falta de cumplimiento en el tratamiento de datos de carácter personal ¿la responsabilidad recae sobre la empresa o sobre el empleado?

Si los ficheros son propiedad de la empresa, la responsabilidad del cumplimiento de estas normas recae sobre ella, ya que la ley establece que el Responsable de los Datos es el que deberá responder ante cualquier incumplimiento.

Por tanto será la empresa la responsable como entidad jurídica y no la persona física que maneje de forma efectiva el fichero.

Son múltiples los casos en los que, aún de forma involuntaria, se produce una vulneración de la ley por una mala actuación del personal encargado de los datos, de ahí la importancia de invertir en acciones formativas orientadas a fomentar la concienciación y capacitación obligada de los empleados en materia de LOPD para prevenir estas vulneraciones y evitar las sanciones que conllevan.

¿Una dirección de email se considera dato de carácter personal?

Una dirección de email es considerada un dato de carácter personal cuando a través de esta se puede identificar a su titular. Por ejemplo, la libreta de direcciones de Outlook es un fichero que contiene datos personales, una dirección de email requiere el consentimiento de los dueños de los datos o la existencia de una Ley que lo ampare. Es por ello que la utilización de un email sin consentimiento podría vulneración de la normativa sobre protección de datos y esto puede denunciarse ante la agencia.

En caso de error o falta de cumplimiento en el tratamiento de datos de carácter personal ¿la responsabilidad recae sobre la empresa o sobre el empleado?

La responsabilidad siempre recaerá sobre el responsable del fichero, por lo tanto, también recaerá sobre la empresa. En muchos casos, se produce una vulneración por parte del personal, es por eso que es importante invertir en acciones formativas que orienten a fomenten la capacitación de los empleados en materia de protección de datos, y que estos siempre se mantengan actualizados con los reglamentos.

¿A que sanciones se expone una empresa que no cumpla con la Ley?

Existen dos tipos de sanciones:

  1. Sanciones de hasta 10.000.000 de euros o el 2% como máximo del volumen de negocio total anual global. Por:
  • No aplicar medidas técnicas y organizativas por defecto.
  • No realizar la correspondiente Evaluación de Impacto.
  • No disponer del registro de actividades de tratamiento.
  • No designar un DPO
  • No notificar las brechas de seguridad.

 

  1. 20 millones de euros o el 4% como máximo del volumen de negocio total anual global por:
  • No cumplir con los principios y derechos del RGPD
  • No legalizar las transferencias internacionales de datos.
  • No atender las resoluciones de Autoridades de Control.
¿Es aplicable la legislación de protección de datos de una persona fallecida?

De conformidad con lo establecido en la normativa de aplicación sobre protección de datos, los derechos de acceso rectificación, cancelación y oposición son derechos que solo pueden ser ejecutados directamente por el afectado. Es decir, los datos de personas fallecidas no entran dentro del amparo de la LOPD ni de su reglamento en desarrollo.

El decreto 1720/2007, permite también, en algunos casos, que las personas vinculadas familiarmente al fallecido pueden notificar al responsable del fichero el fallecimiento con la finalidad de perseguir la cancelación de los datos de aquel del fichero.

Es un tratamiento de datos por parte de terceros ¿Qué diferencia hay entre “Responsable del Fichero” y “Encargado del Tratamiento”?

La LOPD define al responsable del fichero como “persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decide sobre la finalidad, contenido u uso del tratamiento”.

El encargado del tratamiento, en cambio, es la empresa a la que se contrata un servicio determinado que implica tratamiento de ficheros de datos de carácter personal. La LOPD lo define como “la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del Responsable del Tratamiento”.