dasdas

¿Tiene alguna duda ?

Encuentre respuesta a las preguntas más frecuentes relacionadas con la protección de datos

En España, actualmente están vigentes dos normas específicas, una europea, el Reglamento General de Protección de Datos (RGPD), y otra nacional, la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPD-GDD).

Además, existen otras dos sectoriales cuya aplicación afecta directamente a la protección de datos. Éstas son la Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico (LSSI-CE) y la Ley General de Telecomunicaciones (LGT).

La normativa actual implica un mayor compromiso, por parte de los autónomos y las empresas. Debemos de ser conscientes de la importancia que tiene proteger los datos personales, esto conlleva tener una actitud más diligente frente a los tratamientos de datos personales que se realicen, adoptando  las medidas, tanto técnicas como organizativas, dirigidas a reducir los riesgos de incumplimiento y, además, debiendo demostrar en todo momento que se han implantado dichas medidas y que estas son las adecuadas para garantizar la protección de los datos personales.

Este principio es, precisamente, el responsable de ese mayor compromiso que ha adquirido la protección de datos.  El principio de proactividad se traduce en una serie de exigencias destinadas a prevenir el incumplimiento. La proactividad implica anticipación, de manera que empuja a hacer lo que haya que hacer antes de que ocurra algo, en contraposición a la reactividad (propiedad de reaccionar). Además, en la normativa vigente, el principio de proactividad va unido a la visibilidad de las buenas prácticas, es decir, además de hacer lo que hay que hacer se tiene que poder demostrar que se ha hecho.

El Reglamento europeo obliga a que cada Estado miembro establezca una o varias autoridades públicas independientes, denominadas Autoridades de Control, que supervisen la aplicación de la normativa, con el fin de proteger los derechos y las libertades fundamentales de las personas físicas en lo que respecta al tratamiento de datos personales en la Unión. En España contamos con la Agencia Española de Protección de Datos (AEPD), la Autoridad Catalana de Protección de Datos (APDCAT) y la Agencia Vasca de Protección de Datos (AVPD). Las tres entidades tienen como fin garantizar el derecho a la protección de datos personales, pero en el caso de la AEPD, además, tiene potestad sancionadora.

Lo que le permite imponer multas administrativas por las infracciones de la normativa de protección de datos vigente, en función de las circunstancias de cada caso individual. Dichas sanciones podrían llegar a alcanzar hasta un máximo de 20 millones de euros o, tratándose de una empresa, el 4 % del volumen de negocio total anual  del ejercicio financiero anterior, optándose por la de mayor cuantía.

La figura que ocupas va a estar determinada por tu relación con los datos que se estén tratando. Esto significa que:

    1. Si eres tú (o tu entidad) quien decide porqué y cómo deben tratarse los datos personales eres el Responsable del tratamiento.
    2. Si no decides nada de lo anterior, sino que tratas los datos por cuenta de otro/a, en ese caso eres Encargado/a del tratamiento.

Además, existe la figura de Corresponsable del tratamiento, cuando son dos o más los que determinan el porqué y el cómo.

También es posible que para unos tratamientos de datos seas Responsable y para otros Encargado/a. Esto es normal en empresas que,  por un lado, dan servicios a otras empresas y, por otro, tienen empleados, con respecto a los datos personales que traten por cuenta de la otra empresa sería Encargado/a del tratamiento, mientras que con respecto a los datos de sus empleados sería Responsable del tratamiento.

El Delegado/a de Protección de Datos (DPD), también conocido como DPO (por sus siglas en inglés), es una figura cuyo fin es garantizar el cumplimiento de la normativa de la protección de datos en las organizaciones, sin sustituir las funciones que desarrollan las Autoridades de Control.

Debe tener conocimientos de Derecho y, obviamente, en protección de datos, y debe contar con la capacidad de actuar de forma independiente. Entre sus funciones, caben destacar la de informar y asesorar, así como supervisar el cumplimiento de la normativa por parte del responsable o encargado.

Puede ser alguien tanto de dentro la entidad como de fuera. Y también es indiferente si es una persona física o jurídica.

Por un lado, el reglamento europeo obliga a las Administraciones Públicas, a las empresas de videovigilancia, a las empresas tecnológicas o de marketing que realicen perfiles y a los grandes hospitales y otras entidades que traten datos sensibles «a gran escala».

Por otro lado, la normativa española contempla un listado más específico, obligando a la designación de DPD en función de la actividad realizada por la entidad, sin importar el tamaño de la misma (ver listado).

Una Evaluación de Impacto en la Protección de Datos Personales (EIPD) es un proceso que permite identificar, evaluar y gestionar los riesgos a los que están expuestas las actividades de tratamiento. La EIPD la debe realizar el responsable del tratamiento, tiene carácter preventivo y su objetivo es garantizar los derechos y libertades de las personas físicas, ya que permite determinar el nivel de riesgo que entraña un tratamiento, para poder establecer las medidas de control más adecuadas y reducirlo hasta un nivel aceptable.

En los casos en que sea probable que exista un alto riesgo para los derechos y libertades de los interesados, la EIPD se debe llevar a cabo antes de empezar a realizar el tratamiento. Sin embargo, debido a los continuos cambios tecnológicos o como consecuencia de un cambio en nuestra metodología, es posible que se deba realizar una EIPD para determinar cómo afectarían dichos cambios al riesgo de un tratamiento que ya se esté realizando y establecer, si es necesario, nuevas medidas de control.

La normativa vigente establece que es obligatorio hacer una EIPD cuando:

    • El tratamiento, por su naturaleza, alcance, contexto o fines, pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas.
    • Se vayan a tratar, de forma sistemática y automatizada, datos personales, como ocurre en el caso de la elaboración de perfiles.
    • Se vayan a tratar a gran escala datos especialmente protegidos, datos relativos a condenas e infracciones penales o  datos personales relativos a menores.
    • Se vayan a utilizar tecnologías que se consideran especialmente invasivas con la privacidad (videovigilancia a gran escala, drones, vigilancia electrónica de datos, biometría, técnicas genéticas, geolocalización).

Siguiendo las directrices del Reglamento europeo, la Agencia Española de Protección de Datos (AEPD), ha publicado una lista con los criterios que se deben tener en cuenta para valorar la necesidad o no de realizar una EIPD (ver listado).