Los 7 'NO' del RGPD a tener en cuenta en tu empresa

Casi cuatro meses después de la entrada en vigor de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, algunas empresas han llevado a cabo los cambios pertinentes para ajustarse a la nueva Ley mientras que otras no han considerado necesario actualizar su política de privacidad y todavía muestran en sus webs las políticas de privacidad erróneas y antiguas.
Existe además un tercer grupo de empresas, que cree que ha llevado a cabo las modificaciones necesarias para actualizar su política, pero en realidad a nivel jurídico no es así y se está obrando erróneamente.

Una vez realizada un análisis previo de varios sitios web, tanto si eres una empresa que no ha actualizado su política de privacidad como una empresa que lo ha hecho y quiere asegurarse de que cumpla los requisitos legales, en Leasba hoy te contamos 7 errores comunes a tener en cuenta a la hora de implantar el nuevo RGPD en una empresa. ¿Incurres en alguno de ellos?

No, la Ley 15/1999 y su Reglamento de desarrollo 1720/2007 no sirven actualmente.

Si el programa de cumplimiento de una empresa está basado en la Ley 15/1999 actualmente es como si no tuviera nada. Dichos cuerpos legales, salvo algún artículo suelto, están actualmente derogados como consecuencia de la entrada en aplicación del RGPD y de la nueva LOPDGDD. El nuevo sistema es de responsabilidad proactiva para las empresas ya nada tiene que ver con la regulación de la mencionada Ley 15/1999. La política de privacidad que debe figurar en las páginas web ha de ser la consecuencia de una correcta implantación del RGPD y de un atinado registro de las diferentes actividades de tratamiento que lleva a cabo la organización.

No, la LOPD no se aplica solo a los residentes de la Unión Europea.

El RGPD, que es un Reglamento de la Unión Europea, no es aplicable únicamente a las personas residentes en la misma. Toda empresa que lleve a cabo el tratamiento de datos personales debe regirse por este nuevo Reglamento, independientemente si tiene o no su domicilio social o sede en la Unión Europea, si trata datos personales de residentes en dicha Unión Europea. Un ejemplo de este caso se encuentra en las multinacionales ubicadas en Estados Unidos que se dedican al tratamiento de datos de europeos y que deben actuar conforme a la RGPD.

No, los datos anónimos no son considerados datos personales.

Actualmente existe cierta confusión en cuanto al concepto de dato de carácter personal. El nuevo RGPD define el dato personal como toda información sobre una persona física identificada o identificable. Es decir, cuando hablamos de datos personales nos podemos estar refiriendo a datos biométricos, genéticos, direcciones IP, geolocalizaciones… En consecuencia, todo dato que no permita de modo alguno la identificación de un individuo puede ser tratado de forma ajena al RGPD y a la LOPDGDD.

No, no se puede realizar el tratamiento de los datos con un consentimiento tácito.

El consentimiento para el tratamiento de los datos implica actualmente que exista una declaración de los interesados o una acción positiva e inequívoca que pruebe la aceptación de la persona con el tratamiento de sus datos. Si una persona no ha comunicado expresamente su autorización (por ejemplo, si no ha respondido a un correo en el que acepte que se va a tratar sus datos), no se podrá llevar a cabo tal acción.

En este sentido, las empresas deben estar en disposición de poder probar que se ha llevado a cabo la formalización de dicho consentimiento e incluir los medios necesarios para probarlo. Además, si los datos se recogen para finalidades diferentes, se requiere el consentimiento específico para cada una de ellas.

No, no se puede omitir información a los usuarios en la recogida de sus datos.

El RGPD, en su artículo 12, habla acerca del principio de transparencia en la recogida de los datos, indicando que la información ha de ser captada de manera concisa, transparente y a través de un lenguaje claro y sencillo, debiendo a su vez ser fácilmente accesible para el usuario. Los usuarios de los que se recoge información deben ser informados de los siguientes aspectos.

• Identidad y datos de contacto del responsable del tratamiento y del DPO (si lo hubiere).
• Finalidad del tratamiento.
• Destinatarios de los datos.
• Existencia de TID (transferencias internacionales de datos) y de las garantías adecuadas.
• Plazo de conservación.
• Derechos (acceso, rectificación, supresión, oposición, limitación, portabilidad…).
• Derecho a retirar el consentimiento en cualquier momento.
• Derecho a presentar una reclamación ante la Autoridad de Control.
• La existencia de decisiones automatizadas (si las hubiere).

En relación a la figura del DPO, aquí se puede encontrar información sobre el perfil profesional del DPO y los requisitos legales que debe cumplir para ser considerado como tal.

No, ni se puede recoger cualquier dato personal ni conservarlos cuanto se quiera.

El RGPD incluye dos principios para evitar estos aspectos: el principio de minimización y el de limitación del plazo de conservación. El principio de minimización establece que solo se pueden recoger aquellos datos personales que sean necesarios y adecuados únicamente para el fin para el que se desean tratar. El principio de limitación del plazo de conservación, por su parte, establece que los datos deben conservarse únicamente el tiempo necesario para los fines del tratamiento.

No, no se pueden ceder los datos personales a terceros sin consentimiento.

Solamente se pueden ceder los datos a terceros si el interesado de los mismos ha otorgado su consentimiento explícito para ello, una vez se le ha informado previamente de que sus datos van a ser cedidos a terceros. Esto puede ocurrir en casos en los que la prestación de un servicio implica la actuación de varios entes y, en consecuencia, los datos del cliente son cedidos a los mismos. El consentimiento tácito por parte del interesado no es válido.

Aspectos como la comisión continuada de las infracciones, la naturaleza o duración de las mismas, el volumen de datos afectados o incluso las medidas que se hayan tomado para paliar los daños percibidos repercuten en la graduación de las sanciones administrativas que se impondrán a la empresa que incumpla el RGPD.

Dependiendo de si la sanción es leve, grave o muy grave, estas multas administrativas pueden alcanzar hasta los 20.000.000 de euros o una cuantía equivalente al 2 o el 4%, como máximo, del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.

En Leasba contamos con un departamento propio de derecho tecnológico especializado, entre otras cosas, en la correcta implementación legal y tecnológica del RGPD en las empresas. Si buscas un servicio a medida que garantice que tu empresa cumple con la ley, nosotros te lo proporcionaremos.

Síguenos en Linkedln para estar al tanto de las últimas novedades en tecnología y derecho tecnológico.

También publicada en Medium.