Protección de datos

El RGPD se aplica a cualquier organización que procese datos personales de personas ubicadas en la Unión Europea, independientemente de si la organización está ubicada en la UE o no. Esto incluye organizaciones que ofrecen bienes o servicios a personas en la UE, o que monitorean el comportamiento de las personas en la UE.

El Reglamento General de Protección de Datos señala un conjunto de principios que los responsables y encargados del tratamiento deben observar al tratar datos personales:

• Principio de “licitud, transparencia y lealtad”, que consiste en que los datos deben ser tratados de manera lícita, leal y transparente para el interesado.
• Principio de “finalidad” que implica, por una parte, la obligación de que los datos sean tratados con una o varias finalidades determinadas, explícitas y legítimas y, por otra, que se prohíbe que los datos recogidos con unos fines determinados, explícitos y legítimos sean tratados posteriormente de una manera incompatible con esos fines.
• Principio de “minimización de datos”, es decir, aplicar medidas técnicas y organizativas para garantizar que sean objeto de tratamiento los datos que únicamente sean precisos para cada uno de los fines específicos del tratamiento reduciendo, la extensión del tratamiento, limitando a lo necesario el plazo de conservación y su accesibilidad.
• Principio de “exactitud”, que obliga a los responsables a disponer de medidas razonables para que los datos se encuentren actualizados, se supriman o modifiquen sin dilación cuando sean inexactos con respecto a los fines para los que se tratan.
• Principio de “limitación del plazo de conservación” que constituye una de las materializaciones del principio de minimización. La conservación de esos datos debe limitarse en el tiempo al logro de los fines que persigue el tratamiento. Una vez que esas finalidades se han alcanzado, los datos deben ser borrados, bloqueados o, en su defecto, anonimizados, es decir, desprovistos de todo elemento que permita identificar a los interesados.
• Principio de “seguridad” que impone a quienes tratan datos el necesario análisis de riesgos orientado a determinar las medidas técnicas y organizativas necesarias para garantizar la integridad, la disponibilidad y la confidencialidad de los datos personales que traten.
• Principio de “responsabilidad activa” o “responsabilidad demostrada” que obliga a los responsables a mantener diligencia debida de manera permanente para proteger y garantizar los derechos y libertades de las personas físicas cuyos datos son tratados en base a un análisis de los riesgos que el tratamiento representa para esos derechos y libertades, de modo que el responsable pueda, tanto garantizar como estar en condiciones de demostrar que el tratamiento se ajusta a las previsiones del RGPD y la LOPDGD.

El RGPD permite a las autoridades de protección de datos imponer multas de hasta 20 millones de euros o el 4 % de la facturación anual global de una organización, lo que sea mayor, por incumplimiento.

Hay una serie de pasos que las organizaciones pueden tomar para asegurarse de que cumplen con el RGPD, algunos son:

• Realizar una evaluación de impacto de protección de datos (DPIA) para identificar y evaluar los riesgos asociados con el tratamiento de datos personales.
• Implementar las medidas técnicas y organizativas apropiadas para proteger los datos personales.
• Formación de los empleados en materia de protección de datos.
• Crear un registro de actividades de tratamiento de datos.
• Designación de un delegado de protección de datos (DPO) en caso de ser necesario.