FAQ

¿Qué es el RGPD y la LOPDGDD?

Reglamento General de Protección de Datos (RGPD): Marco normativos europeo que establece los requisitos específicos para empresas, autónomos, entidades y organizaciones sobre la recogida, almacenamiento, procesamiento y gestión de los datos personales.

Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD): Ley Orgánica cuyo objetivo es adaptar la normativa española sobre protección de datos al RGPD europeo.

¿A qué empresas u organizaciones se aplica?

La normativa de protección de datos (RGPD y LOPDGDD) se aplica a responsables y encargados de tratamiento de datos establecidos en la Unión Europea y se amplia a responsables y encargados no establecidos en la UE siempre que realicen tratamiento de datos como parte de las actividades destinadas a ciudadanos de la Unión o como consecuencia de una monitorización o seguimiento de su comportamiento.

Sociedades mercantiles (pymes y grandes empresas)
Autónomos.
Organismos públicos.
Administraciones públicas.
Comunidades de bienes.
Comunidades de propietarios.
Entidades sin ánimo de lucro.

¿Cuáles son los datos personales?

El RGPD define el término “datos personales” como cualquier información relacionada con una persona física identificada o identificable.

En base a esta definición podemos establecer que tendrán consideración de datos personal:

Datos identificativos como el nombre, dirección, teléfono, N.º de seguridad social, etc.
Datos de características personales: sexo, estado civil, fecha y lugar de nacimiento, …
Datos de circunstancias sociales y familiares: N.º de hijos, permisos, licencias, autorizaciones, filiaciones, …
Datos de empleo: cargo, puesto, categoría o grupo profesional, …
Datos académicos o profesionales: titulaciones, formaciones, experiencia profesional, …
Datos judiciales y administrativos: procedimientos administrativos, reclamaciones, recursos, sanciones, registros…
Control de presencia: fecha, hora de entrada y salida, ausencias…
Datos económicos y financieros: ingresos, rentas, retenciones, datos bancarios, impuestos, herencias, …
Información comercial: actividades, negocios, licencias comerciales, …
Relativos a condenas e infracciones penales: certificados de antecedentes penales, certificados de delitos de naturaleza sexual, demandas y sentencias penales, …
Y las categorías especiales de datos: origen étnico o cultural, opiniones políticas, religiosas y filosóficas, orientación sexual, afiliación sindical, datos genéticos, datos biométricos y los relativos a la salud.

Serán datos excluidos aquellos que a pesar de referirse a una persona física determinada se encuentran excluidos fuera del ámbito de aplicación de la normativa:

Tratamiento de datos con fines domésticos
Datos referidos a personas jurídicas y las personas de contacto
Tratamiento de datos relativos a empresarios individuales, cuando hagan referencia a ellos en su calidad de comerciantes, etc..
Datos relativos a personas fallecidas.

¿Qué es la Agencia Española de Protección de Datos (AEPD)?

Es el organismo o Autoridad de Control en España encargado de velar por el cumplimiento de la protección de datos y controlar su aplicación (www.aepd.es)

La Agencial Española de Protección de Datos es un ente de Derecho Público que se relaciona directamente con el Gobierno a través del Ministerio de Justicia, pero con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones.

¿Cuáles son los tipos de infracciones y sanciones que impone el RGPD y LOPDGDD?

Tipo infracción	Infracciones leves	Infracciones graves	Infracciones muy graves
Artículos que regulan	Las reguladas en: El art. 74 de la LOPD 3/2018.	Las reguladas en: El art. 73 de la LOPD 3/2018. El art. 83.4 del RGPD.	Las reguladas en: El art. 72 de la LOPD 3/2018. El art. 83.5 del RGPD. El art. 83.6 del RGPD
Sanciones	No se regula una multa específica.	Multa administrativa de 10.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.	Multa administrativa de 20.000.000€ como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
Prescripción de infracción	1 año	2 años	3 años
Prescripción de sanciones	Importe igual o inferior a 40.000€ prescriben en 1 año.	Importe comprendido entre 40.001€ y 300.000€ prescriben en 2 años.	Importe superior a 300.000€ prescriben en 3 años.

¿Qué actuaciones hay que realizar para adecuarse al RGPD y la LOPDGDD?

Designar al delegado de protección de datos si es obligatorio o si se asume voluntariamente.
Elaborar el registro de actividades de tratamiento (RAT)
Analizar las bases jurídicas de los tratamientos y articular mecanismos para recabar los consentimientos necesarios.
Efectuar un análisis de riesgos.
Revisar las medidas de seguridad en función del análisis de riesgos realizado.
Establecer mecanismos y procedimientos de gestión de quiebras de seguridad.
Llevar a cabo, cuando sea necesario, una evaluación de impacto de la protección de datos.
Adecuar los formularios de recogida de datos personales al contenido del derecho a la información del RGPD.
Adaptar los procedimientos para atender a los derechos de los afectados en relación al tratamiento de sus datos personales.
Valorar si los encargados de tratamiento ofrecen garantías de cumplimiento del RGPD.
Adoptar los contratos con encargados de tratamiento al contenido que dispone el RGPD.
Confeccionar e implantar políticas de protección de datos.

¿Cuáles son los principios relativos al tratamiento de datos?

Estos principios se encuentran recogidos en el artículo 5 del RGPD y supone que los datos personales serán:

Tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
Recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
Adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»)
Exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
Mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»). Además, el responsable del tratamiento será responsable del cumplimiento de estos principios y deberá ser capaz de demostrarlo («responsabilidad proactiva»).

¿Cuáles son las bases de legitimación para el tratamiento de datos?

El RGPD mantiene el principio de que todo tratamiento de datos necesita apoyarse en una base que lo legitime.

Relación contractual.
Intereses vitales del interesado o de otras personas.
Cumplimiento de una obligación legal para el responsable.
Interés público o ejercicio de poderes públicos.
Intereses legítimos prevalentes del responsable o de terceros a los que se comunican los datos.

¿Cómo debe solicitarse el consentimiento?

El RGPD requiere que el consentimiento sea “inequívoco“, lo que supone que se preste mediante una manifestación del interesado o mediante una clara acción afirmativa. Esto excluye la utilización del llamado consentimiento tácito, que permitía la normativa española de protección de datos. Así, no se consideran formas válidas de obtener el consentimiento el uso de casillas ya marcadas o la inacción. En cambio, sí son acordes al RGPD, la utilización de una declaración por escrito, o la marcación de casillas en un sitio web de internet. El consentimiento en el marco del RGPD se caracteriza por lo siguiente:

Puede ser para uno o varios fines.
Debe ser prestado de forma libre.
El responsable debe poder probar en todo momento que ha obtenido el consentimiento.
Utilizar un lenguaje claro y sencillo.

Por otra parte, también debe ser tenido en cuenta lo siguiente:

Si se usa para obtenerlo una declaración escrita, debe quedar claramente diferenciada la parte referente a protección de datos del resto de declaraciones.
Si se recaba el consentimiento para varias finalidades: Sería posible agruparlas en virtud de su vinculación (por ejemplo, consentimiento para la recepción de publicidad propia o de terceros), pero deberían desagregarse cuando los tratamientos impliquen conductas distintas (por ejemplo tratamiento por quien recaba los datos y cesión a terceros).

Asimismo, existen supuestos en que además de inequívoco, el consentimiento ha de ser explícito:

Tratamiento de datos sensibles
Adopción de decisiones automatizadas
Transferencias internacionales

¿Cuáles son los derechos de los afectados?

DERECHO DE ACCESO: El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento (fines del tratamiento, categoría de datos, origen de dichos datos, las comunicaciones realizadas, etc.) (Art. 15 RGPD)

DERECHO DE RECTIFICACIÓN: Reconoce a los ciudadanos el derecho a que los datos personales relativos a su persona se modifiquen cuando resulten inexactos o incompletos. (Art. 16 RGPD)

DERECHO DE CANCELACIÓN – SUPRESIÓN (OLVIDO): Reconoce a los ciudadanos el derecho a que los datos personales relativos a su persona se supriman cuando resulten inadecuados o excesivos, cuando ya no sean necesarios en relación con lo fines para los que fueron recogidos o tratados, el interesado retire el consentimiento en que se basa el tratamiento, los datos hayan sido tratados ilícitamente, … (Art. 17 RGPD)

La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones Públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento de los datos, durante el plazo de prescripción de estas, transcurrido el cual deberá procederse al borrado y destrucción de dicha información.

No procederá la cancelación cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las relaciones contractuales entre el responsable del tratamiento y el interesado que justificaron el tratamiento de los datos.

DERECHO DE OPOSICIÓN: Reconoce a los ciudadanos el derecho a que no se lleve a cabo el tratamiento de sus datos cuando no sea necesario su consentimiento para el tratamiento, por la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, y siempre que una Ley no disponga lo contrario. (Art. 21 RGPD)

DERECHO A LA PORTABILIDAD DE LOS DATOS: Reconoce el derecho a que el ciudadano que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado pueda solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. (Art. 20 RGPD)

DERECHO DE LIMITACIÓN: El derecho a la limitación del tratamiento permite al interesado, cuyos datos personales son objeto de tratamiento, solicitar al responsable del tratamiento que aplique medidas sobre esos datos para, entre otras cosas, evitar su modificación o, en su caso, su borrado o supresión. (Art. 18 RGPD)

¿Mi empresa tendrá que someterse a auditorías o inspecciones por el RGPD?

El RGPD no detalla explícitamente en ninguno de los artículos la obligación de realizar una auditoría para su cumplimiento. Simplemente establece que las empresas tienen que cumplir de forma permanente y tienen que estar constantemente actualizadas y establecen la obligación de evaluar la eficacia de las medidas de seguridad implantadas al respecto.

Para los terceros que ofrecen servicios de tratamiento de datos a otros, la situación es un poco más compleja. Ellos tendrán que poner a disposición de la empresa que los contrata toda la información necesaria que demuestre el cumplimiento de sus obligaciones con arreglo al RGPD. También deberán permitir y colaborar en las auditorías o inspecciones que la empresa contratante les pida.

Aun así, el RGPD introduce nuevos requisitos trascendentes y molestos de llevanza de registros para todas las empresas. No basta con simplemente cumplir el RGPD. Cualquier empresa debe estar en condiciones de demostrar que lo hace.

Cabe resaltar que existe la posibilidad de que los gobiernos dicten procesos formales y periódicos de auditoría cuando apliquen el RGPD en la legislación nacional.

Tengo una empresa pequeña que gestiono yo solo. ¿Me afecta el RGPD?

Sí. El RGPD afecta a cualquier persona física o jurídica que desarrolle una actividad económica y que procese datos de carácter personal, incluidas entidades como sociedades, instituciones benéficas o clubes.