Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

Obligaciones de cumplimiento del RGPD offline

Uno de los errores más comunes es pensar que el RGPD tan solo se aplica al entorno online, cuando no es así. El RGPD es neutral desde un punto de vista tecnológico: se aplica al tratamiento de datos personales, sin importar cómo se lleve a cabo (online, offline, a través de un sitio web, de una app, en el marco de una relación laboral, etc.).

El RGPD se aplica al tratamiento de datos personales, sin importar cómo se lleve a cabo (online u offline)

Este artículo se adentra en lo que llamaremos conformidad legal offline. Consulta algunos de los requisitos más importantes de conformidad legal offline a continuación:

  1. Nombramiento de un representante del RGPD en la UE
  2. Encargados del tratamiento y Contrato de Tratamiento de Datos (CTD)
  3. El Delegado de Protección de Datos (DPD)
  4. Obligaciones de confidencialidad de los empleados
  5. La evaluación de impacto relativa a la protección de datos (EIPD)

1. Nombramiento de un representante del RGPD en la UE

Si eres responsable del tratamiento de datos personales y tienes tu sede fuera de la UE, pero ofertas bienes o servicios (de pago o gratuitos) a usuarios radicados en la UE o supervisas su comportamiento (siempre que este ocurra en la UE), debes designar a un representante en la UE que esté establecido en uno de los países de la Unión en los que se encuentran tus usuarios.

El representante en la UE puede ser una persona física o jurídica.

¿Qué hace el representante en la UE?

El representante en la UE actúa como una “ventanilla única” para cualquier consulta, solicitud o reclamación presentada contra el responsable del tratamiento por los interesados o las autoridades supervisoras. Esto significa que el representante tiene que reenviar al responsable del tratamiento todas las solicitudes de este tipo junto con toda la información de la que disponga relacionada con las mismas. De forma más general, tiene que ayudar al responsable del tratamiento en el cumplimiento de todos los aspectos del RGPD, incluyendo, entre otros, la notificación de violaciones de datos o la cooperación con las autoridades supervisoras. Sin embargo, en general es el responsable, y no el representante, el único responsable de las actividades de tratamiento de datos.

El representante en la UE también tiene sus propias obligaciones específicas (y por lo tanto, responsabilidades relacionadas con las mismas). Por ejemplo, tiene que mantener un registro de las actividades de tratamiento.

Cómo designar al representante en la UE (plantilla)

El RGPD exige que nombres al representante en la UE “por escrito”. Puedes utilizar, por ejemplo, nuestro acuerdo de nombramiento estándar, disponible a través de una descarga directa en .docx:


2. Encargados del tratamiento y Contrato de Tratamiento de Datos (CTD)

Cuando tratas los datos como responsable, a menudo necesitas que un proveedor externo realice una parte de las actividades de tratamiento. Este proveedor normalmente tratará los datos personales de tus clientes en tu nombre: no lo hará en su propio interés. El RGPD llama a estos proveedores “encargados del tratamiento”. La relación subyacente que existe entre estos encargados y tú como responsable es una orden de tratamiento de datos.

Veamos un ejemplo práctico

Tienes una tienda online de zapatos. Cuando los clientes hacen un pedido, un proveedor externo empaqueta y prepara los zapatos para su entrega. Obviamente, para poder entregarlos necesita recibir todos los datos personales pertinentes de los clientes. El proveedor externo está, por lo tanto, tratando los datos de tus clientes en tu nombre como encargado del tratamiento.

¿Qué tengo que hacer?

Según el artículo 28 del RGPD, los responsables y encargados del tratamiento deben cerrar un “Acuerdo de Tratamiento de Datos” por escrito, incluyendo la posibilidad de hacerlo en formato electrónico. Este acuerdo debe especificar los derechos y deberes de las partes en el desempeño de las actividades de tratamiento de datos por parte del encargado. Por poner algunos ejemplos, los encargados del tratamiento tan solo pueden actuar siguiendo las instrucciones del responsable. Además, deben adoptar medidas de seguridad técnicas y organizacionales para garantizar la protección de los datos personales, cooperar con el responsable en caso de que se reciban solicitudes de los interesados o de las autoridades supervisoras, etc.

La mayor novedad que trae el RGPD es que, según su artículo 82, los responsables y encargados del tratamiento tienen una responsabilidad solidaria frente a terceros. Esto significa que, cuando un interesado considere que sus datos han sido tratados de forma ilegal, puede dirigirse al responsable o al encargado y reclamar una compensación por la totalidad de los daños sufridos. La parte que haya pagado la compensación tan solo podrá recurrir a la otra a posteriori.

Continuación del ejemplo

Un interesado recibe un par de zapatos en su domicilio, aunque no hizo ningún pedido. Opta por solicitar una compensación del proveedor. Este último paga la compensación y posteriormente recurre al responsable del tratamiento, ya que fue este el que dio la orden de entregar los zapatos al interesado reclamante.

¿Qué pasa si no designo a todos mis proveedores como encargados del tratamiento?

Cualquier organización que no sea designada como encargada del tratamiento es un “tercero“. Por ello, si reenvías los datos personales de tus clientes a cualquier parte que no haya sido designada como encargada del tratamiento, desde un punto de vista legal estarás transfiriendo los datos a un tercero, algo que solo puedes hacer de acuerdo con una base legal (normalmente, el consentimiento del interesado). Sin embargo, a menudo no es fácil cumplir con los requisitos de consentimiento válido al transferir datos a un tercero.

CTD y transferencias de datos a terceros países

A veces, los encargados que designas para determinadas actividades de tratamiento tienen su sede fuera de la UE. Esto te enfrenta al problema de proporcionar una base legal válida para la transferencia de datos personales a uno de estos países no pertenecientes a la Unión. Puedes encontrar nuestra explicación sobre las distintas bases legales disponibles aquí. Lo que hay que destacar es que la base legal de la transferencia y el CTD son dos cuestiones distintas que pueden coincidir o no con el mismo documento.

Continuación del ejemplo
  • Transfieres datos a Google (por ejemplo, a Google Analytics). Necesitarás firmar un CTD con Google.
  • Transfieres datos a una empresa con sede en Australia. Actualmente, no existe una decisión de adecuación o cualquier otro marco de referencia aplicable a las transferencias de datos a Australia (desde la UE o Suiza). Por lo tanto, puede que quieras usar “cláusulas contractuales estándar” como base legal. En ese caso, tu CTD con el receptor de datos australiano también incluirá las cláusulas contractuales estándar provistas por la decisión 78/2010/EC de la Comisión Europea. En este caso, la base legal para la transferencia y el CTD coincidirán.

Plantilla

Puedes encontrar una plantilla básica para el Acuerdo de Tratamiento de Datos en inglés a través de una descarga directa en .docx:


3. El Delegado de Protección de Datos (DPD)

Según el artículo 37 del RGPD, los responsables del tratamiento, bajo ciertas condiciones, deben designar a un Delegado de Protección de Datos (DPD). Pero: ¿qué es un Delegado de Protección de Datos?

¿Qué es un Delegado de Protección de Datos?

Un DPD es una persona física (o jurídica) que debe supervisar la conformidad del responsable (o encargado) del tratamiento con la normativa de privacidad. Cuando se den las condiciones para un nombramiento obligatorio, el DPD debe, como mínimo

  • informar y asesorar al responsable (o encargado) del tratamiento y a sus empleados sobre las disposiciones relevantes de protección de datos;
  • supervisar la conformidad con las disposiciones aplicables, especialmente con el RGPD;
  • previa solicitud, ayudar al responsable (o encargado) del tratamiento en relación con la evaluación de impacto relativa a la protección de datos (EIPD) y supervisar su desempeño;
  • actuar como punto de contacto con las autoridades supervisoras y cooperar con ellas en cualquier asunto relacionado con el tratamiento de datos personales;
  • actuar como punto de contacto para los interesados con respecto a todas las cuestiones relacionadas con el tratamiento de sus datos personales y al ejercicio de sus derechos según el RGPD.

El RGPD no requiere explícitamente que el DPD sea una persona física: esto significa que, en principio, una persona jurídica, como una empresa consultora, puede ser nombrada DPD. Sin embargo, varios comentaristas legales ya han señalado que algunos de los requisitos impuestos por el RGPD solo pueden aplicarse a personas físicas: por ejemplo, las “cualidades profesionales y, en particular, el conocimiento experto de las leyes y las prácticas de protección de datos y la capacidad para cumplir las tareas mencionadas en el Artículo 39 del RGPD” deben referirse, claramente, a una persona física, en lugar de a una persona jurídica.

Sin embargo, a estas alturas no es posible responder a esta pregunta de forma concluyente: tendremos que esperar y ver qué enfoque adoptan las autoridades de protección de datos y/o los tribunales de justicia.

¿Cómo realiza el DPD sus tareas?

En primer lugar, el DPD puede formar parte de la organización del responsable del tratamiento (normalmente como empleado) o ser un proveedor externo (trabajador autónomo). En ambos casos, puede que realice otras tareas en el desempeño de sus actividades como DPD. Sin embargo, siempre se debe garantizar que esto no desemboque en un conflicto de intereses: así, por ejemplo, el director de la empresa no debería ser nombrado DPD. Lo mismo ocurre con el CTO (Director de Tecnología): resultaría bastante raro que la misma persona desarrollara la infraestructura TI y la verificara desde el punto de vista de la protección de datos personales.

En general, el DPD está sometido a un deber legal de confidencialidad con respecto a cualquier información obtenida en el desempeño de sus obligaciones. Además, siempre debe mantener una independencia total (incluso si es un empleado de la empresa). Esto significa que el DPD no puede estar sometido a ningún poder directivo y que debe contar con todos los medios de trabajo, mano de obra y presupuesto necesarios para cumplir con sus tareas.

Veamos un ejemplo práctico

La autoridad de protección de datos lleva a cabo una auditoría de protección de datos y pide acceso al registro de actividades de tratamiento en virtud del Artículo 30 del RGPD. El DPD sabe que no existe tal registro porque el responsable nunca se tomó este requisito en serio. Sin embargo, el DPD debe ser neutral y no puede “defender” al responsable del tratamiento con alguna excusa: debe confirmar que dicho registro no existe.

En términos de responsabilidad, es importante destacar que el DPD no es responsable de la conformidad legal del responsable del tratamiento. El deber del DPD es informar, asesorar y cooperar, tal y como se ha descrito anteriormente. Si el responsable del tratamiento no sigue los consejos del DPD, lo hace bajo su responsabilidad. Solo se podría considerar responsable al DPD frente al responsable del tratamiento si ha proporcionado un asesoramiento incorrecto. Pero aún así, con respecto a los interesados, el responsable del tratamiento siempre será el responsable.

¿Cuándo tengo que designar a un DPD?

Según el RGPD, el nombramiento de un DPD es obligatorio en tres situaciones:

  1. el responsable (o encargado) del tratamiento es un organismo o autoridad pública (por ejemplo, una agencia administrativa o gubernamental);
  2. las actividades principales del responsable (o encargado) del tratamiento consisten en el tratamiento a gran escala de datos confidenciales o datos personales relacionados con condenas y delitos penales;
  3. las actividades principales del responsable (o encargado) consisten en operaciones de tratamiento que requieren la supervisión regular y sistemática de los interesados a gran escala;

Los escenarios 1 y 2 están relativamente claros: los datos “confidenciales” son aquellos que revelan raza u origen étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos con el fin de identificar de forma única a una persona física, datos relacionados con la salud o datos relacionados con la vida sexual u orientación sexual de una persona física.

¿Pero qué pasa con la “supervisión regular y sistemática de los interesados a gran escala”? ¿Se aplica esta regla a organizaciones como Facebook o Google, cuyo modelo de negocio se basa en el tratamiento masivo de datos personales? ¿O esto ya es aplicable si, por ejemplo, implementas Google Analytics en tu tienda online (ya que esta función te permite supervisar a tus clientes)?

La verdad es que no lo sabemos todavía. Varias autoridades, comentaristas y expertos legales, como el WP29, han dado su opinión sobre este tema, pero ninguna de ellas es legalmente vinculante. Por lo tanto, lo único que podemos hacer es esperar y ver qué enfoque adoptan las autoridades de protección de datos y/o los tribunales de justicia.

Plantilla

Puedes encontrar una plantilla para el nombramiento de un DPD a través de una descarga directa en .docx:


4. Obligaciones de confidencialidad de los empleados

Pese a que el RGPD, a diferencia de otras leyes pre-RGPD (por ejemplo, las legislaciones italiana y alemana), no introduce un requisito general y explícito para someter a los empleados o, en general, al personal involucrado en el tratamiento de datos personales a una obligación de confidencialidad, sigue siendo aconsejable informar a los miembros del personal sobre el deber de secreto y hacerles firmar una obligación vinculante para cumplir con las condiciones establecidas por las disposiciones del RGPD, como:

  • El responsable y encargado del tratamiento tendrán que tomar las medidas necesarias para garantizar que cualquier persona física que actúe bajo la autoridad del responsable o del encargado y que tenga acceso a los datos personales no los trate excepto cuando reciba instrucciones del responsable del tratamiento, a no ser que esté obligada a hacerlo por una ley de la UE o de los Estados miembros (Artículo 32.4).
  • El encargado del tratamiento debe garantizar que las personas autorizadas para tratar datos personales se hayan comprometido a mantener la confidencialidad de los mismos o estén sometidas a una obligación legal de confidencialidad adecuada (Artículo 28.3.b).
  • El Delegado de Protección de Datos debe informar y asesorar al responsable o encargado del tratamiento y a los empleados que lleven a cabo el tratamiento de sus obligaciones de conformidad con este Reglamento y con otras disposiciones de protección de datos de la Unión o de los Estados miembros (Artículo 39.1.a).

Además, el Artículo 24 del RGPD exige que el responsable del tratamiento sea capaz de “demostrar que el tratamiento es conforme con el presente Reglamento”, lo que al menos incluye indirectamente ser capaz de demostrar que sus empleados y el resto de su personal han tratado datos personales en conformidad con el RGPD.

Te recomendamos cerrar un acuerdo de confidencialidad específico con todos los miembros de tu personal, refiriéndote a las instrucciones sobre el correcto tratamiento de los datos personales que les hayas proporcionado previamente. Deberías asegurarte de que dichas instrucciones se entreguen a tus empleados y que firmen su recepción, para que puedas demostrar que efectivamente las recibieron.

Plantilla

Puedes encontrar una plantilla para la confidencialidad de los empleados a través de una descarga directa en .docx:


5. La evaluación de impacto relativa a la protección de datos (EIPD)

De acuerdo con el Artículo 35 del RGPD, los responsables del tratamiento de datos deben, bajo ciertas condiciones, realizar una evaluación de impacto relativa a la protección de datos (EIPD). ¿Pero qué es exactamente una evaluación de impacto relativa a la protección de datos?

¿Qué es una EIPD?

Una EIPD es un procedimiento utilizado para ayudar a las organizaciones a cumplir de forma efectiva con el RGPD y garantizar que pongan en práctica los principios de responsabilidad proactiva, privacidad desde el diseño y privacidad por defecto.

La EIPD debe incluir:

  • Descripciones completas de los datos que se tratan
  • El fin de la actividad de tratamiento de datos (y cuando sea posible, información sobre los intereses legítimos del responsable del tratamiento)
  • Una evaluación del alcance y la necesidad de la actividad de tratamiento de datos en relación con su finalidad
  • Una valoración del riesgo planteado a los usuarios
  • Las medidas establecidas para abordar dicho riesgo

El procedimiento de EIPD debería quedar registrado por escrito.

¿Qué es obligatorio?

Generalmente hablando, la EIPD tan solo es obligatoria en aquellos casos en los que la actividad de tratamiento de datos pueda implicar un alto riesgo para los usuarios (esto se aplica particularmente cuando se introducen nuevas tecnologías de tratamiento). Sin embargo, si no estás seguro de si tu actividad de tratamiento se considera de “alto riesgo”, se recomienda que lleves a cabo una EIPD de todas formas, ya que es una herramienta útil para garantizar el cumplimiento de la ley.

Las actividades de tratamiento consideradas de “alto riesgo” incluyen:

  • Tratamiento a gran escala de datos sensibles
  • Supervisión sistemática de un área de acceso público (por ejemplo, un CCTV)
  • Situaciones en las que existen amplias evaluaciones automatizadas de datos personales que tienen como objetivo influir en decisiones que pueden afectar la vida del usuario de forma significativa

Las EIPD también se necesitan en otras circunstancias (que dependen de una evaluación de cada caso) incluyendo, entre otros, el tratamiento de datos relacionados con personas vulnerables (por ejemplo, niños o ancianos), transferencias de datos transfronterizas fuera de la UE y datos utilizados en la elaboración de perfiles (por ejemplo, calificaciones de crédito). Puedes leer más sobre los criterios aquí [PDF].

Si bien la publicación de la EIPD no es un requisito general del RGPD, se recomienda que los responsables del tratamiento de datos personales consideren publicar la totalidad o parte de sus EIPD como un gesto de transparencia y responsabilidad, especialmente en aquellos casos en los que miembros del público se vean afectados (por ejemplo, cuando una autoridad pública lleva a cabo la EIPD).

Una EIPD efectiva es muy útil a la hora de cumplir con el requisito de “Privacidad desde el diseño” y ayuda a las organizaciones a detectar y solucionar problemas en una fase temprana del proceso, mitigando así tanto el riesgo para los datos de los usuarios como el riesgo de multas, sanciones y daños a la reputación de la organización.

Plantilla

Puedes encontrar una plantilla básica para la evaluación de impacto relativa a la protección de datos aquí: