Uno de los errores más comunes es pensar que el RGPD tan solo se aplica al entorno online, cuando no es así. El RGPD es neutral desde un punto de vista tecnológico: se aplica al tratamiento de datos personales, sin importar cómo se lleve a cabo (online, offline, a través de un sitio web, de una app, en el marco de una relación laboral, etc.).
El RGPD se aplica al tratamiento de datos personales, sin importar cómo se lleve a cabo (online u offline)
Este artículo se adentra en lo que llamaremos conformidad legal offline. Consulta algunos de los requisitos más importantes de conformidad legal offline a continuación:
Si eres responsable del tratamiento de datos personales y tienes tu sede fuera de la UE, pero ofertas bienes o servicios (de pago o gratuitos) a usuarios radicados en la UE o supervisas su comportamiento (siempre que este ocurra en la UE), debes designar a un representante en la UE que esté establecido en uno de los países de la Unión en los que se encuentran tus usuarios.
El representante en la UE puede ser una persona física o jurídica.
El representante en la UE actúa como una “ventanilla única” para cualquier consulta, solicitud o reclamación presentada contra el responsable del tratamiento por los interesados o las autoridades supervisoras. Esto significa que el representante tiene que reenviar al responsable del tratamiento todas las solicitudes de este tipo junto con toda la información de la que disponga relacionada con las mismas. De forma más general, tiene que ayudar al responsable del tratamiento en el cumplimiento de todos los aspectos del RGPD, incluyendo, entre otros, la notificación de violaciones de datos o la cooperación con las autoridades supervisoras. Sin embargo, en general es el responsable, y no el representante, el único responsable de las actividades de tratamiento de datos.
El representante en la UE también tiene sus propias obligaciones específicas (y por lo tanto, responsabilidades relacionadas con las mismas). Por ejemplo, tiene que mantener un registro de las actividades de tratamiento.
El RGPD exige que nombres al representante en la UE “por escrito”. Puedes utilizar, por ejemplo, nuestro acuerdo de nombramiento estándar, disponible a través de una descarga directa en .docx:
Cuando tratas los datos como responsable, a menudo necesitas que un proveedor externo realice una parte de las actividades de tratamiento. Este proveedor normalmente tratará los datos personales de tus clientes en tu nombre: no lo hará en su propio interés. El RGPD llama a estos proveedores “encargados del tratamiento”. La relación subyacente que existe entre estos encargados y tú como responsable es una orden de tratamiento de datos.
Tienes una tienda online de zapatos. Cuando los clientes hacen un pedido, un proveedor externo empaqueta y prepara los zapatos para su entrega. Obviamente, para poder entregarlos necesita recibir todos los datos personales pertinentes de los clientes. El proveedor externo está, por lo tanto, tratando los datos de tus clientes en tu nombre como encargado del tratamiento.
Según el artículo 28 del RGPD, los responsables y encargados del tratamiento deben cerrar un “Acuerdo de Tratamiento de Datos” por escrito, incluyendo la posibilidad de hacerlo en formato electrónico. Este acuerdo debe especificar los derechos y deberes de las partes en el desempeño de las actividades de tratamiento de datos por parte del encargado. Por poner algunos ejemplos, los encargados del tratamiento tan solo pueden actuar siguiendo las instrucciones del responsable. Además, deben adoptar medidas de seguridad técnicas y organizacionales para garantizar la protección de los datos personales, cooperar con el responsable en caso de que se reciban solicitudes de los interesados o de las autoridades supervisoras, etc.
La mayor novedad que trae el RGPD es que, según su artículo 82, los responsables y encargados del tratamiento tienen una responsabilidad solidaria frente a terceros. Esto significa que, cuando un interesado considere que sus datos han sido tratados de forma ilegal, puede dirigirse al responsable o al encargado y reclamar una compensación por la totalidad de los daños sufridos. La parte que haya pagado la compensación tan solo podrá recurrir a la otra a posteriori.
Un interesado recibe un par de zapatos en su domicilio, aunque no hizo ningún pedido. Opta por solicitar una compensación del proveedor. Este último paga la compensación y posteriormente recurre al responsable del tratamiento, ya que fue este el que dio la orden de entregar los zapatos al interesado reclamante.
Cualquier organización que no sea designada como encargada del tratamiento es un “tercero“. Por ello, si reenvías los datos personales de tus clientes a cualquier parte que no haya sido designada como encargada del tratamiento, desde un punto de vista legal estarás transfiriendo los datos a un tercero, algo que solo puedes hacer de acuerdo con una base legal (normalmente, el consentimiento del interesado). Sin embargo, a menudo no es fácil cumplir con los requisitos de consentimiento válido al transferir datos a un tercero.
A veces, los encargados que designas para determinadas actividades de tratamiento tienen su sede fuera de la UE. Esto te enfrenta al problema de proporcionar una base legal válida para la transferencia de datos personales a uno de estos países no pertenecientes a la Unión. Puedes encontrar nuestra explicación sobre las distintas bases legales disponibles aquí. Lo que hay que destacar es que la base legal de la transferencia y el CTD son dos cuestiones distintas que pueden coincidir o no con el mismo documento.
Puedes encontrar una plantilla básica para el Acuerdo de Tratamiento de Datos en inglés a través de una descarga directa en .docx:
Según el artículo 37 del RGPD, los responsables del tratamiento, bajo ciertas condiciones, deben designar a un Delegado de Protección de Datos (DPD). Pero: ¿qué es un Delegado de Protección de Datos?
Un DPD es una persona física (o jurídica) que debe supervisar la conformidad del responsable (o encargado) del tratamiento con la normativa de privacidad. Cuando se den las condiciones para un nombramiento obligatorio, el DPD debe, como mínimo
El RGPD no requiere explícitamente que el DPD sea una persona física: esto significa que, en principio, una persona jurídica, como una empresa consultora, puede ser nombrada DPD. Sin embargo, varios comentaristas legales ya han señalado que algunos de los requisitos impuestos por el RGPD solo pueden aplicarse a personas físicas: por ejemplo, las “cualidades profesionales y, en particular, el conocimiento experto de las leyes y las prácticas de protección de datos y la capacidad para cumplir las tareas mencionadas en el Artículo 39 del RGPD” deben referirse, claramente, a una persona física, en lugar de a una persona jurídica.
Sin embargo, a estas alturas no es posible responder a esta pregunta de forma concluyente: tendremos que esperar y ver qué enfoque adoptan las autoridades de protección de datos y/o los tribunales de justicia.
En primer lugar, el DPD puede formar parte de la organización del responsable del tratamiento (normalmente como empleado) o ser un proveedor externo (trabajador autónomo). En ambos casos, puede que realice otras tareas en el desempeño de sus actividades como DPD. Sin embargo, siempre se debe garantizar que esto no desemboque en un conflicto de intereses: así, por ejemplo, el director de la empresa no debería ser nombrado DPD. Lo mismo ocurre con el CTO (Director de Tecnología): resultaría bastante raro que la misma persona desarrollara la infraestructura TI y la verificara desde el punto de vista de la protección de datos personales.
En general, el DPD está sometido a un deber legal de confidencialidad con respecto a cualquier información obtenida en el desempeño de sus obligaciones. Además, siempre debe mantener una independencia total (incluso si es un empleado de la empresa). Esto significa que el DPD no puede estar sometido a ningún poder directivo y que debe contar con todos los medios de trabajo, mano de obra y presupuesto necesarios para cumplir con sus tareas.
La autoridad de protección de datos lleva a cabo una auditoría de protección de datos y pide acceso al registro de actividades de tratamiento en virtud del Artículo 30 del RGPD. El DPD sabe que no existe tal registro porque el responsable nunca se tomó este requisito en serio. Sin embargo, el DPD debe ser neutral y no puede “defender” al responsable del tratamiento con alguna excusa: debe confirmar que dicho registro no existe.
En términos de responsabilidad, es importante destacar que el DPD no es responsable de la conformidad legal del responsable del tratamiento. El deber del DPD es informar, asesorar y cooperar, tal y como se ha descrito anteriormente. Si el responsable del tratamiento no sigue los consejos del DPD, lo hace bajo su responsabilidad. Solo se podría considerar responsable al DPD frente al responsable del tratamiento si ha proporcionado un asesoramiento incorrecto. Pero aún así, con respecto a los interesados, el responsable del tratamiento siempre será el responsable.
Según el RGPD, el nombramiento de un DPD es obligatorio en tres situaciones:
Los escenarios 1 y 2 están relativamente claros: los datos “confidenciales” son aquellos que revelan raza u origen étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos con el fin de identificar de forma única a una persona física, datos relacionados con la salud o datos relacionados con la vida sexual u orientación sexual de una persona física.
¿Pero qué pasa con la “supervisión regular y sistemática de los interesados a gran escala”? ¿Se aplica esta regla a organizaciones como Facebook o Google, cuyo modelo de negocio se basa en el tratamiento masivo de datos personales? ¿O esto ya es aplicable si, por ejemplo, implementas Google Analytics en tu tienda online (ya que esta función te permite supervisar a tus clientes)?
La verdad es que no lo sabemos todavía. Varias autoridades, comentaristas y expertos legales, como el WP29, han dado su opinión sobre este tema, pero ninguna de ellas es legalmente vinculante. Por lo tanto, lo único que podemos hacer es esperar y ver qué enfoque adoptan las autoridades de protección de datos y/o los tribunales de justicia.
Puedes encontrar una plantilla para el nombramiento de un DPD a través de una descarga directa en .docx:
Pese a que el RGPD, a diferencia de otras leyes pre-RGPD (por ejemplo, las legislaciones italiana y alemana), no introduce un requisito general y explícito para someter a los empleados o, en general, al personal involucrado en el tratamiento de datos personales a una obligación de confidencialidad, sigue siendo aconsejable informar a los miembros del personal sobre el deber de secreto y hacerles firmar una obligación vinculante para cumplir con las condiciones establecidas por las disposiciones del RGPD, como:
Además, el Artículo 24 del RGPD exige que el responsable del tratamiento sea capaz de “demostrar que el tratamiento es conforme con el presente Reglamento”, lo que al menos incluye indirectamente ser capaz de demostrar que sus empleados y el resto de su personal han tratado datos personales en conformidad con el RGPD.
Te recomendamos cerrar un acuerdo de confidencialidad específico con todos los miembros de tu personal, refiriéndote a las instrucciones sobre el correcto tratamiento de los datos personales que les hayas proporcionado previamente. Deberías asegurarte de que dichas instrucciones se entreguen a tus empleados y que firmen su recepción, para que puedas demostrar que efectivamente las recibieron.
Puedes encontrar una plantilla para la confidencialidad de los empleados a través de una descarga directa en .docx:
De acuerdo con el Artículo 35 del RGPD, los responsables del tratamiento de datos deben, bajo ciertas condiciones, realizar una evaluación de impacto relativa a la protección de datos (EIPD). ¿Pero qué es exactamente una evaluación de impacto relativa a la protección de datos?
Una EIPD es un procedimiento utilizado para ayudar a las organizaciones a cumplir de forma efectiva con el RGPD y garantizar que pongan en práctica los principios de responsabilidad proactiva, privacidad desde el diseño y privacidad por defecto.
La EIPD debe incluir:
El procedimiento de EIPD debería quedar registrado por escrito.
Generalmente hablando, la EIPD tan solo es obligatoria en aquellos casos en los que la actividad de tratamiento de datos pueda implicar un alto riesgo para los usuarios (esto se aplica particularmente cuando se introducen nuevas tecnologías de tratamiento). Sin embargo, si no estás seguro de si tu actividad de tratamiento se considera de “alto riesgo”, se recomienda que lleves a cabo una EIPD de todas formas, ya que es una herramienta útil para garantizar el cumplimiento de la ley.
Las actividades de tratamiento consideradas de “alto riesgo” incluyen:
Las EIPD también se necesitan en otras circunstancias (que dependen de una evaluación de cada caso) incluyendo, entre otros, el tratamiento de datos relacionados con personas vulnerables (por ejemplo, niños o ancianos), transferencias de datos transfronterizas fuera de la UE y datos utilizados en la elaboración de perfiles (por ejemplo, calificaciones de crédito). Puedes leer más sobre los criterios aquí [PDF].
Si bien la publicación de la EIPD no es un requisito general del RGPD, se recomienda que los responsables del tratamiento de datos personales consideren publicar la totalidad o parte de sus EIPD como un gesto de transparencia y responsabilidad, especialmente en aquellos casos en los que miembros del público se vean afectados (por ejemplo, cuando una autoridad pública lleva a cabo la EIPD).
Una EIPD efectiva es muy útil a la hora de cumplir con el requisito de “Privacidad desde el diseño” y ayuda a las organizaciones a detectar y solucionar problemas en una fase temprana del proceso, mitigando así tanto el riesgo para los datos de los usuarios como el riesgo de multas, sanciones y daños a la reputación de la organización.
Puedes encontrar una plantilla básica para la evaluación de impacto relativa a la protección de datos aquí: