Protección de datos personales (RGPD/LOPDGDD)

El marco normativo de protección de datos en España

La protección de datos personales es un derecho fundamental reconocido en el artículo 18.4 de la Constitución Española y en el artículo 8 de la Carta de Derechos Fundamentales de la Unión Europea. Su regulación ha experimentado una transformación profunda desde la aplicación del Reglamento General de Protección de Datos (RGPD) en mayo de 2018, que sustituyó a la anterior Directiva 95/46/CE y que fue complementado en España por la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD).

El RGPD es un reglamento europeo de aplicación directa y uniforme en todos los estados miembros, lo que supone que las obligaciones que impone son las mismas en España, Alemania, Francia o cualquier otro país de la UE. La LOPDGDD completa, adapta y desarrolla el RGPD en los aspectos en que este permite márgenes de maniobra nacionales.

Qué son los datos personales

Son datos personales toda información sobre una persona física identificada o identificable (el “interesado”). Una persona es identificable cuando puede determinarse su identidad, directa o indirectamente, mediante un identificador (nombre, número de identificación, datos de localización, identificador en línea) o mediante uno o varios elementos propios de su identidad física, fisiológica, genética, psíquica, económica, cultural o social.

Datos que siempre son personales: nombre y apellidos, DNI/NIE, dirección postal, correo electrónico, número de teléfono, IP estática, datos biométricos, datos de salud, datos bancarios, número de matrícula del vehículo, imagen (fotografía, vídeo de videovigilancia).

Categorías especiales de datos: el RGPD otorga una protección reforzada a determinadas categorías de datos cuyo tratamiento está prohibido salvo en supuestos excepcionales: datos que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud, datos sobre la vida sexual u orientación sexual, y datos relativos a condenas penales.

Los principios del RGPD

El artículo 5 del RGPD establece los principios que deben regir todo tratamiento de datos:

Licitud, lealtad y transparencia: el tratamiento debe tener una base jurídica legítima y el interesado debe ser informado de forma clara y comprensible.

Limitación de la finalidad: los datos se recogen para finalidades determinadas, explícitas y legítimas, y no pueden tratarse de forma incompatible con esas finalidades.

Minimización de datos: solo se tratan los datos estrictamente necesarios para la finalidad perseguida.

Exactitud: los datos deben ser exactos y actualizarse cuando sea necesario.

Limitación del plazo de conservación: los datos no se conservan más tiempo del necesario para la finalidad del tratamiento.

Integridad y confidencialidad: deben aplicarse medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos.

Responsabilidad proactiva (accountability): el responsable del tratamiento debe ser capaz de demostrar el cumplimiento de todos los principios anteriores.

Bases jurídicas del tratamiento

Para tratar datos personales lícitamente, debe existir una base jurídica del artículo 6 del RGPD:

• Consentimiento: libre, específico, informado e inequívoco. Puede retirarse en cualquier momento.
• Ejecución de un contrato: el tratamiento es necesario para la ejecución del contrato con el interesado.
• Cumplimiento de una obligación legal: el responsable está obligado por ley a tratar los datos (nóminas, contabilidad, retenciones fiscales).
• Protección de intereses vitales: para proteger la vida del interesado o de un tercero.
• Misión de interés público: cuando el responsable actúa en el ejercicio de una función pública.
• Interés legítimo: el tratamiento es necesario para los intereses legítimos del responsable o de un tercero, siempre que no prevalezcan los derechos del interesado.

Derechos de los interesados

El RGPD reconoce a los interesados los siguientes derechos, que deben ser atendidos en un plazo de un mes desde la solicitud:

• Derecho de acceso: conocer si sus datos son tratados, qué datos, con qué finalidad y a quién se han cedido.
• Derecho de rectificación: corregir datos inexactos o incompletos.
• Derecho de supresión (“derecho al olvido”): solicitar que se eliminen los datos cuando ya no son necesarios para la finalidad para la que se recogieron, se retira el consentimiento, o se opone al tratamiento.
• Derecho a la limitación del tratamiento: solicitar que el tratamiento quede restringido mientras se resuelve una reclamación.
• Derecho a la portabilidad: recibir los datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable.
• Derecho de oposición: oponerse al tratamiento basado en el interés legítimo o a las transferencias con fines de mercadotecnia directa.
• Derechos en relación con decisiones automatizadas: no ser objeto de decisiones basadas exclusivamente en el tratamiento automatizado (incluida la elaboración de perfiles) que produzcan efectos jurídicos o le afecten significativamente.

Obligaciones principales de las empresas

Registro de actividades de tratamiento: el responsable y el encargado del tratamiento deben mantener un registro de todas las actividades de tratamiento de datos que realizan.

Evaluación de impacto (EIPD): cuando el tratamiento pueda suponer un alto riesgo para los derechos de las personas (vigilancia sistemática a gran escala, tratamiento de categorías especiales, uso de nuevas tecnologías), debe realizarse previamente una Evaluación de Impacto relativa a la Protección de Datos.

Contratos con encargados del tratamiento: cuando se contratan servicios que implican el acceso a datos personales (proveedores de cloud, gestorías, servicios de RR.HH.), debe formalizarse un contrato de encargo del tratamiento con las cláusulas del artículo 28 del RGPD.

Información a los interesados: debe informarse a los interesados en el momento de la recogida de datos mediante cláusulas de privacidad claras y accesibles (avisos de privacidad, política de privacidad).

Medidas de seguridad: implementar medidas técnicas y organizativas apropiadas al nivel de riesgo: cifrado, pseudonimización, gestión de accesos, copias de seguridad, planes de respuesta a incidentes.

Notificación de brechas de seguridad: en 72 horas desde el conocimiento de la brecha, si supone riesgo para los derechos de los interesados.

La AEPD y el régimen sancionador

La Agencia Española de Protección de Datos (AEPD) es la autoridad de control en España. Puede iniciar investigaciones de oficio o a raíz de reclamaciones, emitir apercibimientos y resoluciones de advertencia, y, en caso de infracción, imponer multas administrativas.

Las infracciones se clasifican en tres niveles: leves (hasta 40.000 euros), graves (hasta 300.000 euros) y muy graves (hasta 20.000.000 euros o el 4% de la facturación global anual). Las categorías de infracción del RGPD se dividen en las que pueden alcanzar los 10 millones de euros o el 2% y las que pueden alcanzar los 20 millones de euros o el 4%.