Los datos personales son cualquier información relativa a una persona física viva identificada o identificable. Las distintas informaciones, que recopiladas pueden llevar a la identificación de una determinada persona, también constituyen datos de carácter personal. El RGPD es la normativa que protege los datos personales independientemente de la tecnología utilizada para su tratamiento; es «tecnológicamente neutro» y se aplica tanto al tratamiento automatizado como manual, siempre que los datos se organicen con arreglo a criterios predeterminados (como el orden alfabético). Asimismo, no importa cómo se conservan los datos; ya sea en un sistema informático, a través de videovigilancia o sobre papel; en todos estos casos, los datos personales están sujetos a los requisitos de protección establecidos en el RGPD.
Una de las grandes novedades introducidas por el RGPD tiene que ver con el rol de las empresas en la gestión de los datos personales: las organizaciones deberán ejercer una responsabilidad activa y continuada.
¿Pero qué es la responsabilidad activa?
El actual “Reglamento 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 “relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE” (Reglamento general de protección de datos), introduce como novedad el principio de responsabilidad activa.
Y esto quiere significar que las empresas y profesionales deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar a posteriori.
Las grandes novedades del RGPD son:
Ampliación del concepto de datos personales Se amplía el concepto de datos personales a nuevas fuentes de información, incluidas las cookies y las direcciones IP.
Derecho al olvido y a la portabilidad de datos Los derechos ARCO se actualizan en la nueva norma como derechos de transparencia, información, acceso, rectificación, limitación del tratamiento y oposición, a los que se añaden los nuevos:
Supresión o derecho al olvido, para pedir que los datos personales sean suprimidos en determinadas circunstancias. Por ejemplo, si el interesado dio su consentimiento para el tratamiento de sus datos siendo menor, sin plena conciencia de los riesgos que ello implica.
Portabilidad de datos, para la recuperación de los datos en un formato que permita su transferencia a otro responsable, o bien la transferencia de los datos directamente al nuevo responsable cuando sea técnicamente posible.
Consentimiento inequívoco y explícito
El nuevo reglamento establece varios supuestos para tratar los datos personales: La legitimación a través de un contrato, Pará la satisfacción de un interés vital del interesado, Con el consentimiento inequívoco de la persona, Cuando existe un interés legítimo para el tratamiento (como podrían ser la prevención de fraude, el marketing directo), aunque no hay una definición clara en este sentido.
A menos que el interesado dé su consentimiento explícito bajo una declaración o acción afirmativa (declaración por escrito o por medios electrónicos, declaración verbal, marcando una casilla en una web, etc.), no se podrá contactar con él, ni elaborar perfiles comerciales, ni realizado tratamiento alguno de sus datos. Este es uno de los aspectos del nuevo reglamento que causará mayor impacto, dado que ya no existirá la posibilidad de que el consentimiento sea tácito (silencio, casillas ya marcadas, inacción del afectado, etc.); el responsable del tratamiento deberá aplicar las medidas para probar que el consentimiento se dio en la forma adecuada.
