Reglamento General de Protección de Datos (RGPD), introducido en 27 de abril de

2016 por el Reglamento (UE) 2016/679

Veamos a continuación un resumen del Reglamento General de Protección de Datos

(RGPD), introducido en 27 de abril de 2016 por el Reglamento (UE) 2016/679 del
Parlamento Europeo y del Consejo, que entra en vigor en España y resto de países de la
Unión Europea este 25 de mayo de 2018. La Agencia Española de Protección de Datos
(AGPD) pone a disposición de las personas y empresas toda la información a respecto.

El resumen del Reglamento General de Protección de Datos se hará desde el punto

de vista más práctico posible y aplicable a una pequeña empresa, con la visión de un
economista.

Para más información sobre el Reglamento General de Protección de Datos no dude en

usar nuestro foro gratuito de abogados y economistas o pedir una cita a los expertos del
despacho aquí.

La AGPD pone a disposición de las empresas que realizan tratamiento de datos

personales de bajo riesgo (datos de contacto, facturación, proveedores y empleados) una
herramienta online llamada Facilita. En todo caso, cualquier responsable de empresa
debería conocer al menos un buen resumen del Reglamento General de Protección de
Datos. Interesante es también esta página de la Comisión sobre la reforma en materia de
protección de datos.

¿Cumplo con el RGPD?

Este resumen del Reglamento General de Protección de Datos trata de ser una guía
simplificada para que una pequeña empresa o autónomo sepa qué obligaciones en
materia de protección de datos debe cumplir y cómo. Sin embargo, el tema es lo
suficientemente complejo y la terminología específica que por mucho que nos hayamos
esforzado en simplificar, somos conscients de la dificultad de ello. La AGPD ofrece un
lista de verificación simplificada para pymes y micropymes (que traten datos personales
de bajo nivel, como ficheros de empleados, clientes y proveedores) que vamos a
enumerar e intentar simplificar:

1. ¿Qué base jurídica me ampara para el tratamiento de datos que estoy haciendo?
2. ¿Informo adecuadamente en mi página web, en contratos y demás soportes del
tratamiento de datos que realizo?
3. ¿Informo de los derechos y cómo ejercerlos en materia de protección de datos a
los interesados?
4. ¿Llevo un adecuado registro de actividades de tratamiento?
5. ¿Uso las medidas de seguridad adecuadas al nivel de riesgo de los datos que
manejo?
6. ¿Tengo firmado un contrato de encargo con todos los encargados de tratamiento
(asesorías, gestorías, colaboradores…)?
Ámbito de aplicación del RGPD

La protección de las personas físicas en relación tratamiento de sus datos personales es

un derecho fundamental. Un derecho que evidentemente no es absoluto y debe mantener
el equilibrio con otros derechos fundamentales. El RGPD busca armonizar la protección
de datos de personas físicas en todos los Estados miembros a la vez que no se dificulta
innecesariamente la libre circulación de datos entre los Estados.

Regula el tratamiento automatizado y manual de datos, cuando los datos personales

figuren en un fichero. Los datos no estructurados según criterios específicos no entran
en el ámbito de aplicación del RGPD. No se aplica al tratamiento de datos de carácter
personal por una persona física en el curso de una actividad exclusivamente personal o
doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial.
No afecta, por ejemplo, a los datos que recabamos de nuestros contactos en el uso
normal de una red social.

Se aplica a toda información personal de una persona física identificada o

identificable, no a datos anónimos o de personas fallecidas.

Las obligaciones de notificar los ficheros gestionados a la Agencia de Protección de

Datos desaparece. A partir del 25 de mayo de 2018 las empresas debe contra con un
registro de actividades.

Consentimiento para el tratamiento de datos

Copiamos literal de la norma por su claridad:

“El consentimiento debe darse mediante un acto afirmativo claro que refleje una
manifestación de voluntad libre, específica, informada, e inequívoca del interesado
de aceptar el tratamiento de datos de carácter personal que le conciernen, como una
declaración por escrito, inclusive por medios electrónicos, o una declaración verbal.
Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros
técnicos para la utilización de servicios de la sociedad de la información, o cualquier
otra declaración o conducta que indique claramente en este contexto que el interesado
acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las
casillas ya marcadas o la inacción no deben constituir consentimiento. El
consentimiento debe darse para todas las actividades de tratamiento realizadas con el
mismo o los mismos fines.”

Principios del tratamiento de datos

El tratamiento de datos de carácter persona debe ser lícito y leal. Toda comunicación e
información al respecto debe ser transparente, de fácil acceso, utilizando un lenguaje
claro y sencillo (ver guía del cumplimiento del deber de informar). Los fines del
tratamiento deben comunicarse en el momento de recoger los datos, que deben ser
adecuados, pertinentes y limitados a lo necesario para los fines comunicados.

Cuando se obtengan datos del interesado, por ejemplo en un formulario web, hay que
informarle, entre otras cuestiones, de:
 1. la identidad y los datos de contacto del responsable y, en su caso, de su representante;
2. los datos de contacto del delegado de protección de datos, en su caso;

3. los fines del tratamiento a que se destinan los datos personales y la base jurídica del
tratamiento;

4. cuando el tratamiento se base en el artículo 6, apartado 1, letra f) (el tratamiento es

necesario para la satisfacción de intereses legítimos perseguidos por el responsable del
tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los
intereses o los derechos y libertades fundamentales del interesado que requieran la
protección de datos personales, en particular cuando el interesado sea un niño), los
intereses legítimos del responsable o de un tercero;

5.  los destinatarios o las categorías de destinatarios de los datos personales, en

su caso;
6.  el plazo durante el cual se conservarán los datos personales o, cuando no sea
posible, los criterios utilizados para determinar este plazo;
7.  la existencia del derecho a solicitar al responsable del tratamiento el acceso a
los datos personales relativos al interesado, y su rectificación o supresión, o la
limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a
la portabilidad de los datos;
8.  el derecho a presentar una reclamación ante una autoridad de control;
9.  si la comunicación de datos personales es un requisito legal o contractual, o
un requisito necesario para suscribir un contrato, y si el interesado está obligado
a facilitar los datos personales y está informado de las posibles consecuencias de
que no facilitar tales datos; la existencia de decisiones
10.  la existencia de decisiones automatizas, incluida la elaboración de perfiles,
información significativa sobre la lógica aplicada, así como la importancia y las
consecuencias previstas de dicho tratamiento para el interesado.

Datos sensibles

Son datos que merecen una especial protección y que una empresa jamás debería
recabar sin el debido amparo legal:

 Los datos de carácter personal que revelen el origen racial o étnico.

 El tratamiento de datos genéticos, datos biométricos o datos relativos a la salud.

 Datos personales sobre las opiniones políticas de las personas.

Ejercicio de los derechos relacionados con los datos

El interesado debe poder ejercer gratuitamente y por medios electrónicos sus derechos
de acceso, rectificación o supresión, así como el de oposición (Derechos ARCO). El
responsable de tratamiento de la empresa debe contestar al interesado en un plazo no
superior a un mes.

Se regula el derecho al olvido (“A fin de reforzar el «derecho al olvido» en el entorno

en línea, el derecho de supresión debe ampliarse de tal forma que el responsable del
tratamiento que haya hecho públicos datos personales esté obligado a indicar a los
responsables del tratamiento que estén tratando tales datos personales que supriman
todo enlace a ellos, o las copias o réplicas de tales datos. Al proceder así, dicho
responsable debe tomar medidas razonables, teniendo en cuenta la tecnología y los
medios a su disposición, incluidas las medidas técnicas, para informar de la solicitud del
interesado a los responsables que estén tratando los datos personales”) y el derecho a la
portabilidad (“cuando el tratamiento de los datos personales se efectúe por medios
automatizados, debe permitirse asimismo que los interesados que hubieran facilitado
datos personales que les conciernan a un responsable del tratamiento los reciban en un
formato estructurado, de uso común, de lectura mecánica e interoperable, y los
transmitan a otro responsable del tratamiento. Debe alentarse a los responsables a crear
formatos interoperables que permitan la portabilidad de datos”) de los datos personales.

Análisis de riesgo automático

Establece la norma que no se pueden implementar scorings de crédito automatizados,

algo que en mi opinión dificulta la evaluación automática en la concesión de créditos y
dificulta la labor de algunas iniciativas fintech en esta dirección:

“El interesado debe tener derecho a no ser objeto de una decisión, que puede incluir una
medida, que evalúe aspectos personales relativos a él, y que se base únicamente en el
tratamiento automatizado y produzca efectos jurídicos en él o le afecte
significativamente de modo similar, como la denegación automática de una solicitud de
crédito en línea o los servicios de contratación en red en los que no medie intervención
humana alguna.”

Contrato con los encargados del tratamiento de datos

El responsable del fichero o del tratamiento de los datos personales es, según la
AGPD, persona física o jurídica, de naturaleza pública o privada, u órgano
administrativo, que decida sobre la finalidad, contenido y uso del tratamiento, aunque
no lo realizase materialmente (la empresa o entidad que recaba datos personales y los
gestiona). Ver guía resumen del Reglamento General de Protección de Datos.

El encargado del tratamiento es la persona física o jurídica, pública o privada, u

órgano administrativo que, solo o conjuntamente con otros, trate datos personales por
cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia
de la existencia de una relación jurídica que le vincula con el mismo y delimita el
ámbito de su actuación para la prestación de un servicio (por ejemplo la asesoría laboral
y fiscal).

Con las empresas que tenemos una relación jurídica y les pasamos datos personales (los
encargados de tratamiento) hay que asegurarse que cumplen con el RGPD y tener
firmados los contratos correspondientes (ver guía de contratos). Una vez finalizado el
tratamiento el encargado del tratamiento debe, a elección del responsable, devolver o
suprimir los datos personales, salvo que haya alguna Ley que le obligue a conservarlos.
El contenido mínimo de dichos contratos entre responsable y encargados es:

 Objeto, duración, naturaleza y la finalidad del tratamientos.

 Tipo de datos personales y categorías de interesados.
  Obligación del encargado de tratar los datos personales únicamente siguiendo
instrucciones documentadas del responsable.

 Condiciones para que el responsable pueda dar su autorización previa, específica o

general, a las subcontrataciones.

 Asistencia al responsable, siempre que sea posible, en la atención al ejercicio de

derechos de los interesados.

Las empresas de menos de 250 trabajadores no están obligadas a mantener un registro

de operaciones de tratamiento, si no manejan datos sensibles.

Medidas de seguridad de los datos

Dependiendo del nivel de riesgo de los datos que manejamos, deberemos aplicar
determinadas medidas técnicas y organizativas para garantizar la integridad de la
información, entre otras:

1. la seudonimización y el cifrado de datos personales;

2. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento;

3. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma

rápida en caso de incidente físico o técnico (copias de seguridad en diferentes
ubicaciones, por ejemplo);

4. un proceso de verificación, evaluación y valoración regulares de la eficacia de las

medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Notificar violaciones de seguridad

Serían situaciones del tipo pérdida de un ordenador con datos personales, acceso no
autorizado a los datos tratados por la empresa o entidad o el borrado accidental de datos
personales. El responsable debe notificar la quiebra de seguridad en un máximo de 72
horas a la autoridad de supervisión pertinente. De momento y hasta que se implemente
un formulario estandarizado a nivel europeo, las notificacions se hacen aquí.

Sanciones por incumplir el RGPD

No debería ser la razón fundamental para preocuparnos por la buena gestión de los datos
que manejamos, pero sin duda es un tema que hay que tener en cuenta: las sanciones por
incumplir el Reglamento. El artículo 83 reseña las condiciones generales para la
imposición de multas administrativas, moduladas según cada caso individual, agravadas
o atenuadas según la naturaleza, gravedad y duración de la infracción, la intencionalidad
o negligencia, las medidas tomadas para paliar los daños y perjuicios sufridos por los
interesados, el grado de responsabilidad, existencia de infracciones anteriores. grado de
cooperación con la autoridad, tipo de datos afectados, entre otras circunstancias.

Las multas administrativas son como máximo de 10 millones de euros, el 2% el

volumen de negocio total anual global del ejercicio anterior si se trata de una empresa.
Espero que con este resumen del Reglamento General de Protección de Datos y la
información que enlazamos sea suficiente para entender y aplicar en vuestra empresa
las nuevas obligaciones en materia de protección de datos de personas físicas.

LOPD Reglamento General de Protección de Datos

← Acuerdos privados de cláusula suelo: ¿puedo reclamar?

Demandas por contratos de futuros y opciones →