• Su empresa o entidad trata datos personales como parte de las actividades de una de sus sucursales establecidas en la Unión Europea (UE), independientemente del lugar donde sean tratados los datos o,
• Su empresa está establecida fuera de la UE y ofrece produtos o servicios (de pago o gratuitos) u observa el comportamiento de las personas en la UE.

Si su empresa es una pequeña o mediana empresa (pyme) que trata datos personales según lo descrito arriba debe cumplir el Reglamento. Sin embargo, si el tratamiento de datos personales no constituye la parte principal de su negocio y su actividad no entraña riesgos para las personas, no estará sujeto a algunas obligaciones de RGPD [como el nombramiento de un delegado de protección de datos (DPD)]. Cabe señalar que las "actividades principales" deben incluir actividades en las que el tratamieinto de datos forma una parte indisociable de la actividad del responsable o encargado del tratamiento.

Ejemplos

Cuando se aplica el reglamento

Usted es una pequeña empresa de enseñanza superior que opera por internet y está establecida fuera de la UE. Su actividad va destinada principalmente a universidades de lengua española y portuguesa de la UE. Ofrece asesoramiento gratuito en varios cursos universitarios y los estudiantes necesitan un nombre de usuario y una contraseña para acceder al material disponible en línea. La empresa ofrece dicho nombre de usuario y contraseña una vez los estudiantes han cumplimentado un formulario de matricula.

Cuando no se aplica un reglamento

Usted es un proveedor de servicios fuera de la UE que presta servicios a clientes de fuera de la unión. Sus clientes puden utilizar sus servicios cuando viajan a otros países, incluida la UE. Siempre que no dirija sus servicios especificamente a personas de la UE no estará sujeto a lar normas del RGPD.
Contexto

Para algunas empresas, un componente importante de su modelo de negocio consiste en recopilar sus datos personales y compartirlos con terceros. Estas empresas suelen ser plataformas de redes sociales, proveedores de correo electónico, motores de búsqueda y proveedores de software. Los datos que recopilan pueden ir más allá de lo que usted comparte activamente con ellos en su perfil público. Además, pueden hacer un seguimiento de sus correos electrónicos, calendario, búsquedas, ubicaciones, mensajes, páginas que le interesan y grupos en los que participan. Con estos datos mapean su identidad virtual basándose en sus intereses y preferencias, y luego obtienen ingresos de su indentidad virtual para la publicidad personalizada. Según la nueva normativa sobre protección de datos que está en vigo desde mayo de 2018 (Reglamento general de protección de datos), el tratamiento de sus datos personales debe basarse en su consentimiento, el cual tiene que estar basado en una decisión informada y expresarse a través de una acción afirmativa por su parte. Puede que, en mayo de 2018, muchas empresas le contactaran directamente para que aceptara sus nuevos términos y revisara su configuración de privacidad. Le recomendamos encarecidamente que lea detenidamente los términos y optimice su configuración de privacidad de forma que las plataforman no traten ni comuniquen a terceros datos que usted no desee compartir. Puede que algunas plataformas también le hayan pedido su consentimiento para tratar otros datos personales que no son necesarios en la prestación del servicio. Este consentimiento debe poder darse libremente, es decir, no debería estar condicionado a la prestación del servicio. De todas formas, usted puede retirar su consentimiento en cualquier momento.

El RGPD se aplica en los siguientes casos:

• Su empresa trata datos personales y tiene sede en la UE, independientemente de dónde tenga lugar el tratamiento de datos o,
• Su empresa está establecida fuera de la UE, pero ofrece productos o servicios a personas dentro de la UE u observa el comportamiento de estas

¿Qué son los datos personales?

Los datos personales se refiere a toda la información relativa a una persona física viva identificada o identificable y pueden incluir lo siguiente:

• El nombre,
• La dirección y el número de teléfono,
• La ubicación,
• Los registros sanitarios,
• Los ingresos y la información bancaria,
• Las preferencias culturales...y más.

Los datos personales que hayan sido desidentificados o seudonimizados, pero que todavía puedan utilizarse para volver a identificar a una persona, también se inscriben en el ámbito de aplicación del RGPD.

Sin embargo, los datos personales que hayan sido convertidos irreversiblemente en anónimos, de forma que la persona deje de ser identificable, no se consideran datos personales, y, por tanto, no se rigen por el RGPD.

El RGPD también es tecnológicamente neutro, lo que significa que proteje los datos personales independientemente de la tecnología utilizada o de cómo se conserven los datos personales. Con independencia de si su empresa trata y conserva datos personales utilizando un sistema infórmatico complejo, o a través de archivos en papel, usted estará sujeto al RGPD.

Sea extremandamente cuidadoso con las categorías especiales (sensibles) de datos personales.

Si los datos personales que recoge incluyen información sobre:

• La salud,
• La raza,
• La orientación sexual,
• La religión,
• Las creencias políticas o,
• La afiliación sindical.

Se consideran datos sensibles. Su empresa únicamente pueden tratar estos datos en determinadas condiciones y puede que tenga que implantar garantías adicionales, como el cifrado.

¿Qué constituye tratamiento de datos personales?
Según el RGPD, las acciones como la recogida, la utilización y la supresión de datos personales están incluidas en la definición de tratamiento de datos personales.

¿Controla sus instalaciones a través de un circuito cerrado de televisión?, ¿Consulta una base de datos que contiene datos personales con fines empresariales?, ¿Envía correos electrónicos promocionales?, ¿Borra archivos (digitales) de empleados o destruye documentos?, ¿Publica una foto de una persona en su sitio web o canales de medios sociales?
Si su respuesta a cualquiera de las preguntas anteriores es "sí", sin duda su empresa trata datos personales.

¿Cómo ayuda el RGDP a reducir costes?

El RGDP tiene en cuenta las necesidades de las empresas. Por ejemplo, el Reglamento tiene como objetivo eliminar los requisitos administrativos a fin de reducir los costes y minimizar las cargas administrativas.

No más notificaciones previas: la reforma elimina la mayoría de las notificaciones previas a las autoridades de control, junto con sus costes asociados.

Delegados de protección de datos (DPD): principalmente las empresas tienen que nombrar un DPD si sus actividades principales implican el tratamiento de datos sensibles a gran escala o la observación de gran escala, habitual y sistemática de personas; las administraciones publicas tienen la obligación de nombrar a un DPD.

Evaluaciones de impacto relativas a la protección de datos: las empresas únicamente están obligas a llevar a cabo una evaluación de impacto relativa a la protección de datos si una actividad de tratamiento de datos propuesta entraña un alto riesgo para los derechos y libertades de las personas.

Conservación de registros: las empresas con menos de 250 empleados no deben llevar registros, a menos que el tratamiento de datos no sea accidental o implique información sensible.

SUS OBLIGACIONES SEGÚN EL RGPD

Impone a las empresas obligaciones directas en nateria de tratamiento de datos a escala de la UE. Según el RGPD, una empresa solo puede tratar datos personales en determinadas condiciones. Por ejemplo, el tratamiento debe ser justo y transparente, tener un fin especificado y legítimo y limitarse a los datos necesarios para cumplir dicho fin.

Asimismo, debe basarse en uno de los siguientes fundamentos jurídicos.

• El consentimiento de la persona que se trate,
• Una obligación contractual entre usted y el interesado,
• El cumplimiento de una obligación legal,
• La protección de los intereses vitales del interesado,
• La realización de una misión en interes público

La satisfacción de los intereses legítimos de su empresa, pero solo tras haber comprobado que los derechos y libertades fundamentales de la persona cuyos datos estén tratando no se vean afectados significativamente.

Si los derechos de la persona prevalecen sobre sus intereses, usted no podrá tratar los datos.

Obligación: Obtener el consentimiento para el uso de datos personales

El RGDP aplica normas estrictas para el tratamiento de datos basado en el consentimiento. El objetivo de estas normas es garantizar que la persona entienda a qué está dando su consentimiento. Esto significa que el consentimiento debe darse libremente y ser específico, informado e inequívoco mediante una solicitud presentada en un lenguaje claro y sencillo. Además, el consentimiento debe darse medainte un acto afirmativo como el marcado de una casilla en línea o la firma de un formulario. Si usted trata datos personales de menores basándose en el consentimiento, es necesario el consentimiento parental. Sin embargo, como el límite de edad varía entre los 13 y los 16 años según los países, se acoseja consultar la legislación nacional.

Obligación: Definición de su función y responsabilidad

Una vez que haya determinado el RGPD se aplica a su empresa y que existe el tratamiento de datos personales, el siguiente paso es la definición de su función.

Las normas de protección de datos distinguen entre el responsable del tratamiento y el encargado del tratamiento, cada uno con diferentes obligaciones. Mientras que el responsable del tratamiento determina el fin y los medios del tratamiento de los datos personales, el encargado del tratamiento trata únicamente los datos personales por cuenta del responsable del tratamiento. No obstante, esto no significa que el encargado simplemente pueda esconderse detrás del responsable del tratamiento.

El RGPD exige que un responsable del tratamiento recurra únicamente a un encargado del tratamiento que ofrezca garantías suficientes, que deben estar incluidas en un contrato escrito entre el responsable y el encargado del tratamiento. Asimismo, el contrato debe contener una serie de cláusulas obligatorias, incluida, por ejemplo, una cláusula que estipule que el encargado del tratamiento únicamente tratará los datos personales siguiendo instrucciones documentadas del responsable del tratamiento.

Obligaciones que protegen los derechos individuales

El RGPD incluye varias obligaciones para proteger el derecho de una persona a tener control sobre sus datos personales. Su obligación: proporcionar información transparente.

Las empresas deben proporcionar a las personas información sobre quien trata qué y por qué. Cómo mínimo, la información debe indicar de forma clara lo siguiente:

• Quién es usted,
• Por qué realiza el tramiento de datos,
• Cuál es la base jurídica,
• Quién recibirá los datos (si procede).

En algunos casos, la información también debe indicar lo siguiente:

• La información del contacto DPD,
• EL interés legítimo (cuando el interés sea legítimo sea el fundamento jurídico para el tratamiento),
• La base para la transferencia de datos a un país fuera de la UE,
• Durante cuanto tiempo se conservarán los datos.
• Los derechos de protección de datos del interesado (es decir, el derecho a acceso, corrección, supresión, limitación, oposición, portabilidad, etc.),
• Cómo puede retirarse el consentimiento (cuando el consentimiento es el fundamento jurídico para el tratamiento)
• Si existe una obligación legal o contractual de proporcionar los datos,
• En el caso de las decisiones automatizadas, la información sobre la lógica, la importancia y las consecuencias de la decisión.

Obligación: Derecho de acceso y derecho a la portabilidad de los datos

Las personas tienen derecho a solicitar el acceso a sus datos personales, de forma gratuita y en un formato accesible. Si usted recibe este tipo de solicitud, tendrá que hacer los siguiente:

• Informar a la persona sobre si usted está tratando sus datos personales,
• Informarle sobre el tratamiento (como los fines del tratamiento, las categorías de datos de que se trate, los destinatarios de sus datos, etc.),
• Proporcionar una copia de los datos personales que se estén tratando.

Además, cuando el tratamiento se basa en el consentimiento o en un contrato, las personas pueden pedir que sus datos personales se devuelvan o transmitan a otra empresa. Esto se conoce como "Derecho a la portabilidad de los datos". Los datos deben proporcionarse en un formato de uso común y de lectura mecánica.

Aunque estos dos derechos están estrechamente relacionados, se trata de dos derechos distintos. Por lo tanto, usted debe asegurarse de que no haya confusión entre los dos derechos e informar a las personas en consecuencia.

Obligación: Derecho de supresión (derecho al olvido)

En determinadas circunstancias, una persona puede pedir que el responsable del tratamiento suprima sus datos personales, como cuando los datos ya no sean necesarios para cumplir el fin del tratamiento. Sin embargo, su empresa no está obligada a cumplir con esta solicitud en los casos siguientes:

• El procesamiento es necesario para respetar la libertad de expresión e información de una persona,
• Usted debe conservar los datos personales para cumplir una obligación legal,
• La base para la transferencia de datos a un país fuera de la UE,
• Existen otras razones de interes público para conservar los datos personales, como fines de investigación científica e histórica o la salud pública,
• Usted tiene que conservar los datos personales para formular una reclamación.

Obligación: Derecho de correción y derecho de oposición

Si una persona cree que sus datos personales son incorrectos, incompletos o inexactos, tiene derecho a que se rectifiquen o completen sin dilatación indebida.

Una persona también puede oponerse en cualquier momento al tratamiento de sus datos personales para un determinado uso cuando su empresa los trate basándose en su interés legítimo o para realizar una misión en interés público. A menos que usted tenga un interés legítimo que prevalezca sobre el interés del interesado, usted deberá dejar de tratar los datos personales. Del mismo modo, una persona puede pedir que se límite el tratamiento de sus datos personales mientras se determina si su interés legítimo prevalece o no sobre el interés de dicho individuo. Sin embargo, en el caso de la mercadotecnia directa, usted siempre está obligado a dejar de tratar los datos personales a petición del interesado.

Advertencia sobre las decisiones automatizadas y la elaboración de perfiles

Las personas tienen derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado. Sin embargo, existen algunas excepciones a esta regla, como cuando la persona haya consentido explícitamente la decisión automatizada. Salvo cuando la decisión automatizada se base en una ley, su empresa debe hacer lo siguiente:

• Informar al interesado sobre las decisiones automatizadas,
• Dar al interesado derecho a que una persona revise la decisión automatizada,
• Dar al interesado la oportunidad de impugnar la decisión automatizada.

Por ejemplo, si un banco automatiza su decisión sobre la concesión de un préstamo a cierta persona, dicha persona debe ser informada de la decisión automatizada y tener la oportuniad de impugnar la decisión, así como de solicitar la intervención humana.

Obigaciones basadas en los riesgos

Además de las obligaciones para proteger los derechos individuales, el RGPD también contiene una serie de obligaciones cuya aplicación depende del riesgo.

Obligación: Nombrar un delegado de protección de datos

Un Delegado de protección de datos (DPD) es el responsable de revisar si usted cumple el RGDP. Una de las tareas fundamentales del DPD es informar y asesorar a los empleados que llevan a cabo el tratamiento real de los datos personales sobre sus obligaciones. Asimismo, el DPD conlabora con la APD, actuando de punto de contacto respecto a la APD y las personas. Su empresa debe nombrar un DPD en los casos siguientes:

• Usted observa habitual y sistemáticamente a personas o tratacategorías especiales de datos,
• este tratamiento es una actividad empresarial principal, y
• usted lo hace a gran escala.

Por ejemplo, si usted trata datos personales para dirigir publicidad a través de motores de búsqueda basados en el comportamiento en línea de las personas, el RGPD le exige que tenga un DPD. No obstante, si únicamente envía a sus clientes material promocional una vez al año, no necesitará un DPD. Del mismo modo, si usted es un médico que recoge datos sobre la salud de sus pacientes, probablemente no necesite un DPD. Pero si realiza el tratamiento de datos genéticos y sanitarios para un hospital, entonces sí lo necesitará.

Obligación: Protección de datos desde el diseño y por defecto

El RGDP introduce dos principios nuevos: la protección de datos desde el diseño y la protección de datos por defecto.

La protección de datos desde el diseño ayuda a garantizar que una empresa tenga en cuenta la protección de datos en las primeras fases de la planificación de una nueva forma de tratar los datos personales. De conformidad con este principio, un responsable del tratamiento debe tomar todas las medidas técnicas y organizativas necesarias para aplicar los principios de protección de datos y proteger los derechos de las personas. Estas medidas pueden incluir, por ejemplo, el uso de la seudonimización.

La protección de datos desde el diseño minimiza los riesgos relativos a la privacidad y aumenta la confianza. Situando la protección de datos en un lugar destacado del desarrollo de nuevos bienes o servicios, puede evitarse cualquier posible problema relativo a la protección de datos en las primeras fases. Además, está práctica ayuda a sensibilizar sobre la protección de datos en todos los departamentos y niveles de una empresa.

La protección de datos por defecto supone garantizar que su empresa siempre configure los parámetros por defecto de la forma más respetuosa con la privacidad. Por ejemplo, si son posibles dos configuraciones de privacidad y una de ellas impide que otros puedan acceder a los datos personales, debe utilizarse esta configuración por defecto.

Obligación: Proporcionar las debidas notificaciones en caso de violación de la seguridad de los datos

Se produce una violación de la seguridad de los datos cuando los datos personales de los que usted es responsable se difunden, accidental o ílicitamente, a destinatarios sin autorización o se impide su acceso o se alteran temporalmente.

Para una empresa, resulta vital aplicar las medidas técnicas y organizativas apropiadas con el fin de evitar violaciones de la seguridad de los datos. Sin embargo, si se produce una violación de la seguridad de los datos y dicha violación pone en riesgo los derechos y libertades individuales, usted debe notificarla a su APD a más tardar 72 horas después que haya tenido constancia de ella.

Dependiendo si la violación de la seguridad de los datos supone un alto riesgo o no para las personas afectadas, una empresa también puede tener que informar a todas las personas afectadas por dicha violación de la seguridad de los datos.

Transferencia de los datos personales fuera de la UE

El RGPD se aplica al Espacio Económico Europeo (EEE), que incluye todos los países de la UE, más Islandia, Liechtenstein y Noruega. Cuando los datos personales se transfieren fuera de la EEE, la protección que ofrece el RGPD debe viajar con los datos. Esto significa que, para exportar datos al extranjero, las empresas deben garantizar que existen determinadas garantías.

El RGPD ofrece un conjunto variado de mecanismos para transferir datos a terceros países. Segpun el RGPD, dichas transferencias están permitidas en los casos siguientes:

1. La UE considera adecuadas las protecciones del país, o
2. su empresa, por ejemplo, toma las medidas necesarias para ofrecer garantias adecuadas, como incluir cláusulas específicas en el contrato celebrado con el importador de fuera de la UE de los datos personales, o
3. su empresa, por ejemplo, se basa en motivos específicos para la transferencia (llamados "excepciones"), como el consentimiento del interesado.

Para más información sobre las normas que se aplican a las transferencias internacionales de datos, consulte la Comunicación de la Comisión Europea.

"Intercambio y protección de los datos personales en un mundo globalizado:" http://eur-lex.europa.eu/legal-content/ES/TXT/HTML/?uri=CELEX:52017DC0007&from=ES

¿Necesita realizar una evaluación de impacto relativa a la protección de datos?

Es obligatorio realizar una evaluación de impacto relativa a la protección de datos (EIPD) cuando el tratamiento previste entrañe un alto riesgo para los derechos y libertades de las personas. Esto puede suceder, por ejemplo, cuando se utilizan nuevas tecnologías. Según el RGPD, existe al menos un riesgo alto en los siguientes casos:

• El uso de mecanismos de tratamiento automatizado y elaboración de perfiles para evaluar personas de forma sistemática y exhaustiva.
• La observación sistemática a gran escala de una zona de acceso público (como los circuitos cerrados de televisión)
• El tratamiento a gran escala de datos sensibles (como los datos sanitarios).

El objetivo de la EIPD es identificar los posibles riesgos para los derechos y libertades de las personas antes de que comience el tratamiendo de datos personales y el riesgo se materialice. Mitigando el riesgo por adelantado, pueden evitarse daños y minimizarse costes. Si las medidas previstas en la EIPD no eliminan todos los altos riesgos identificados, debe consultarse al DPD antes de realizar el tratamiento de datos previsto.

Obligación: Respuesta a las solicitudes

Si su empresa recibe una solicitud por parte de una persona que quiere ejercer sus derechos, usted debe responder dicha solicitud sin dilación indebida y, en todo caso, en el plazo de un mes a partir de la recepción de la solicitud. No obstante, dicha respuesta puede prorrogarse hasta dos meses para solicitudes complejas o múltiples, siempre que se informe de la prórroga al interesado. Además, las solicitudes deben tramitarse de forma gratuita. Si se rechaza una solicitud, deberá informar a la persona sobre los motivos del rechazo y su derecho a presentar una reclamación ante el APD.

Obligación: Demostrar el cumplimiento y llevar registros

Uno de los principios fundamentales que subyace el RGPD es garantizar que las empresas puedan demostrar su cumplimiento. Esto significa que usted debe poder demostrar que su empresa actúa de conformidad con el RGDP y cumple todas las obligaciones aplicables (en especial, a petición o por inspección de la APD). Una forma de hacerlo es llevando resgistros detallados de aspectos como los siguientes:

• El nombre y los datos de contacto de su empresa relacionados con el tratamiento de datos,
• El motivo o los motivos para el tratamiento de datos personales,
• La descripción de las categorías de personas que proporcionan datos personales,
• Las categorías de organizaciones que recoben los datos personales,
• La transferencia de datos personales a otro país u organización,
• El plazo de conservación de los datos personales,
• La descripción de las medidas de seguridad utilizadas durante el tratamiento de datos personales

Además, su empresa también debe contar con procedimientos y directrices estrictos, y actualizados periódicamente, y ponerlos en conocimiento de sus empleados.