Ámbito del RGPD
1 – ¿Qué empresas deben cumplir con el RGPD? ¿Un centro médico y una tienda de ultramarinos están igualmente obligados a cumplirlo, por ejemplo?
Sí, siempre que se traten datos personales de personas físicas para otros fines distintos al de facturación (como el envío de newsletters u otras acciones de marketing). En definitiva, todas las empresas que recojan, almacenen o traten datos personales deben asegurar su cumplimiento.
2 -¿Tienen todas las organizaciones que mantener un registro de sus actividades de tratamiento de datos?
No, el RGPD manifiesta que esta obligación no se aplica «a empresas ni organizaciones que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional o incluya categorías especiales de datos personales», en cuyo caso habrá que consultar la legislación. Las empresas con más de 250 empleados están obligadas a mantener un registro de todas las actividades de tratamiento con los siguientes datos:
- Nombre y contactos del responsable por el tratamiento de datos;
- Fines del tratamiento;
- Descripción de las categorías de titulares y de datos personales;
- Categoría de destinatarios de quienes los datos personales se publican;
- Transferencias de datos personales a otros países u organizaciones internacionales, en caso de que sea aplicable;
- Plazos previstos para eliminar los datos, si es posible;
- Descripción general de las medidas técnicas y organizacionales para la seguridad de los datos, si se aplica.
3 – Mi empresa tiene como cliente a otras empresas (modelo de negocio B2B). ¿También se aplicarían las normas del RGPD, por ejemplo, los derechos de los titulares de datos y el registro de las actividades de tratamiento de datos?
Sí, en caso de que se posea datos personales de personas físicas. El RGPD se aplica a todas las empresas que almacenen y traten datos personales (que permitan identificar a una determinada persona).
4 – ¿Está mi empresa obligada a nombrar un Delegado de Protección de Datos?
No todas las empresas deben nombrar un Delegado de Protección de Datos. El artículo 37 del RGPD establece que esta figura es obligatoria en los siguientes casos: autoridades y organismos públicos; organizaciones que gestionen datos sensibles a gran escala; u organizaciones que exijan una observación habitual y sistemática de los interesados a gran escala.
Historial de datos personales
5 – Ya dispongo de un historial de datos personales en mi empresa, constituido antes del 25 de mayo de 2018. En ese caso, ¿no se aplicarían las normas del RGPD (por ejemplo, en relación al consentimiento)?
Las reglas del RGPD se aplican a cualquier dato personal recogido en una organización, independientemente de la fecha de almacenamiento. Por eso, deberás hacer un inventario de los datos personales existentes y, a partir de esa indicación, tomar las medidas adecuadas. Cabe la posibilidad de que tengas que pedir consentimiento a los titulares de esos datos por su posesión o, en última instancia, borrarlos (salvo si hay alguna implicación legal que lo impida).
6 – Un cliente ha comprado por primera vez en mi tienda, antes del 25 de mayo. He abierto una nueva ficha de cliente con los respectivos datos personales. ¿Tendré que solicitar el consentimiento a esos datos en el ámbito del RGPD?
Sí, en caso de que esos datos se utilicen para otros fines distintos a los de facturación.
7- He recogido datos de 500 potenciales clientes para una campaña especial con fecha de inicio del 27 de mayo de 2018. ¿Es necesario que pida el consentimiento a cada uno de los titulares de los datos?
Sí, ese procedimiento es esencial para que esté en conformidad con el reglamento. El artículo 6 del RGPD establece claramente que solo se pueden tratar datos personales en caso de que el titular haya dado su «consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos». Las únicas excepciones son las relacionadas con los datos legales (a efectos de contratos o facturación, por ejemplo) o a casos en los que el interés vital del interesado o interés público se sobreponga.
Derechos de los titulares de los datos
8 – Amparado por el RGPD, un cliente me contacta para ejercer uno de sus derechos (por ejemplo, el «derecho de olvido», provisto en el artículo 17), ¿cuál es el plazo que tengo para responder esa necesidad?
La ley no establece un plazo específico, haciendo solo referencia a un período de tiempo razonable. En el caso del «derecho al olvido», por ejemplo, el RGPD indica que la eliminación de los datos personales por parte de la organización se debe realizar «sin dilación indebida».
9 – Si un cliente invoca el «derecho a ser olvidado», ¿qué consecuencias tiene a nivel fiscal?
Los datos personales que hagan referencia a una conformidad legal a efectos de facturación no se ven afectados por el «derecho de olvido» solicitado por el cliente, ya que el RGPD no reemplaza a la legislación fiscal nacional.
10 – ¿Debo borrar el NIF de un cliente en caso de que pida ser «olvidado»?
El NIF está considerado como un dato personal, ya que funciona como identificador de una determinada persona. Sin embargo, este es un dato que puede ser necesario para que la empresa cumpla con una normativa vigente (por ejemplo, en materia de facturación) y, en este caso no estará acogido al «derecho de olvido».
11- ¿Se puede solicitar el «derecho al olvido» si un cliente tiene deudas pendientes?
El «derecho a ser olvidado» puede ser invocado por cualquier titular de datos personales. Sin embargo, la aplicación de este derecho solo deberá «olvidar» datos personales que no sean requeridos ante disposiciones legales.
12 – ¿Se puede «olvidar» solo uno de los datos en caso de que lo solicite el cliente o es una lógica de «todo o nada»?
Sí, es posible que el cliente se quiera oponer solo al uso de un determinado dato personal, como su número de móvil, por ejemplo. Tendrá que garantizar el cumplimiento de este pedido del cliente, excepto si se trata de un dato legal (esencial para que la empresa cumpla con la legislación vigente).
Datos de los empleados
13 – ¿El RGPD afecta a los datos personales de los empleados de la empresa o solo se aplica a los datos personales de clientes?
Esta normativa se aplica a todos los datos personales en posesión por la empresa, independientemente de estar o no relacionados con empleados o clientes.
14 – Voy a contratar un nuevo empleado. ¿Qué debo hacer para cumplir con el RGPD cuando este solicite sus datos personales?
La recogida de datos personales que no esté bajo la legislación laboral requerirá siempre el consentimiento explícito del empleado. Se podrá hacer, por ejemplo, a través de una adenda del contrato de trabajo, en la que se explique el objetivo del pedido de los datos y en la que se refleje el consentimiento del empleado.
15 – ¿Cómo podemos garantizar el consentimiento del titular de los datos en el caso de un empleado que se encuentre en la empresa desde hace varios años?
Al igual que en el caso de nuevos empleados, todos los datos personales de trabajadores recogidos por la empresa requieren siempre el consentimiento explícito de estos. Por eso, deberás solicitar el consentimiento (y registrarlo) para todos los datos almacenados que no sean obligatorios en el ámbito del contrato de trabajo.
Aplicación en España
16 – En cuanto no se apruebe el anteproyecto de la nueva LOPD española, que hace la transposición del RGPD a la legislación nacional, ¿el reglamento no se aplicará en España?
El RGPD dará inicio a su aplicación práctica el 25 de mayo, sin que sea necesaria la transposición al marco legal de ningún Estado Miembro. Es decir, a pesar de que la propuesta de ley nacional en materia de protección de datos aún no esté aprobada, ello no afectará al deber de cumplimiento práctico con el RGPD. Las normativas nacionales apoyarán la concretización del reglamento en aspectos específicos y facilitarán la interpretación de la ley europea dentro del marco legal de cada país.
En España, el 10 de noviembre de 2017 fue aprobada por el Consejo de Ministros el texto final del anteproyecto de una nueva Ley de Protección de Datos (LOPD). Desde entonces, se han iniciado los trámites para su aprobación definitiva y entrada en vigor, que acompañará al RGPD UE 2016/976. Estaremos atentos para ver qué matices se introducirán con respecto al legislador europeo.
17 – ¿Quién se encargará de supervisar el cumplimiento del RGPD en España?
Las Agencia Española de Protección de Datos será la encargada de controlar todas las incidencias procedentes del incumplimiento del RGPD. Esto no exime a las propias organizaciones de controlar la conformidad con el legislador europeo, realizando auditorías internas o formación sobre esta materia.
Relación con otras empresas
18 – Tengo una base de datos de empresas para contactos comerciales. ¿Estos datos también se consideran personales y están sujetos al RGPD?
No, solo los datos personales de personas físicas están contemplados por el RGPD. Confirma, no obstante, si no existen datos personales en la base de datos (como un e-mail con el nombre de un empleado en lugar de un correo electrónico general). Los datos de un empresario en nombre individual que posibiliten la identificación de la persona también son considerados datos personales.
19 – ¿Qué cuidados deberé tener, en el cumplimiento del RGPD, referentes a la relación con mis proveedores?
En el caso de proveedores a quien facilites datos personales o que faciliten datos personales a tu empresa, deberás solicitar un comprobante de que están cumpliendo con el RGPD. Si suministras datos personales a otra empresa, deberás aclarar en el pedido de consentimiento al titular que los datos en cuestión pueden ser transmitidos a entidades terceras.
Por último, cabe destacar que el cumplimiento del RGPD es de responsabilidad exclusiva de cada empresa. Evalúa la situación general de tu organización y prepara los cambios necesarios para cumplirlo.