Implantación RGPD – FAQ´S y Glosario de Términos

1) ¿Cuáles son los pilares primordiales del RGPD?
  1. Formación e Información al personal de la empresa, sobre los nuevos derechos y las medidas de seguridad física e informática.

  2. Análisis continuado de los posibles riesgos y de sus cambios a lo largo del tiempo.

  3. Proactividad demostrable de manera clara y continuada de la implementación, evaluación continua de las medidas de seguridad físicas e informáticas, así como su adecuación/actualización a los riesgos cambiantes, con relación a la protección de los datos personales que tenga la empresa.

2) ¿Quiénes deben cumplir con el RGPD?
  1. Todas aquellas Empresas, Instituciones y Profesionales que tengan/procesen/almacenen o utilicen datos personales de miembros de la Comunidad Europea o que se encuentren en ella.

  2. El RGPD contempla de manera específica y dentro de la Proactividad que se exige, verificar que los proveedores a los que se transfieren datos personales, cumplen a cabalidad el RGPD, dando incluso el derecho, esté o no en el contrato de prestación de servicios, de enviar un Auditor si se considera oportuno.

3) ¿Se pueden almacenar datos fuera de la Unión Europea?
  1. En principio no, aunque existe una nueva directiva (Privacy Shield), bajo la cual solo aquellas empresas que la cumplan, aunque estén fuera de la Unión Europea, pueden tener/procesar/almacenar o utilizar datos personales de miembros de la Unión.

  2. Es importante tener esto en cuenta, ya que las transferencias internacionales de datos, están especialmente condicionadas por el RGPD.

4) Cuándo tengo que eliminar un documento físico, ¿debo tener alguna precaución particular?
  1. Si, dependiendo del tipo de datos personales que haya en ellos, deberán destruirse con una destructora de documentos, con el nivel mínimo de seguridad que aquí se indica:

    1. Nivel 3, para datos como los que pueden aparecer en Curriculum Vitae, en una Nómina o que puedan permitir la identificación de una persona.

    2. Nivel 4 o 5, para Datos Sensibles por el RGPD:

      1. Opiniones políticas

      2. Afiliación sindical

      3. Convicciones religiosas

      4. Convicciones filosóficas

      5. Origen racial o étnico

      6. Datos relativos a la salud

      7. Vida sexual

      8. Dato genético. (No estaba en la LOPD).

      9. Dato biométrico. (No estaba en la LOPD).

      10. Orientación sexual. (No estaba en la LOPD).

5) Si tengo información con Datos Personales en Bases de Datos Anteriores a 25 de mayo de 2018, ¿necesito volver a pedir el consentimiento?
  1. No hace falta, siempre y cuando:

    1. Tenga documentación física o electrónica, que acredite de manera clara, para cada contacto, le dieron el Consentimiento Inequívoco, así como, para que datos, cuando y como se dio dicho consentimiento.

    2. Con la LOPD normalmente bastaba con el Consentimiento Tácito.

    3. Para aquellos contactos en que no tenga como acreditar dicho consentimiento, en los términos aquí indicados, deberá pedirlo de manera Inequívoca o Expresa.

  2. No hace falta, si teniendo el Consentimiento Inequívoco, además, no vaya a modificar ninguno de los propósitos de los procesos que hacía con esos datos.

    1. Si hay cualquier variación, deberá volver a pedir el consentimiento indicando que va a hacer con dichos datos, por cuanto tiempo y si van a ser cedidos o no a terceros.

  3. No hace falta, si ya existía una relación contractual previa o Interés Legítimo de empresa, que justifica continuar con dichas comunicaciones o tratamientos, entendiendo que no hay cambios con relación a lo que se hacía antes de la entrada en vigor del RGPD.

6) ¿Cuándo no basta con el Consentimiento Inequívoco y debe pedirse el Consentimiento Expreso?
  1. El RGPD contempla algunas situaciones en que el consentimiento ha de ser explícito. Esta garantía adicional afecta a:

    1. Tratamiento de categorías especiales de datos

    2. Adopción de decisiones automatizadas

    3. Transferencias internacionales

  2. Aunque las diferencias entre el Consentimiento Inequívoco, tal y como lo define el RGPD, y el Consentimiento Explícito pueden parecer difíciles de apreciar, hay situaciones en que el consentimiento puede ser inequívoco y otorgarse de forma implícita, como por ejemplo cuando se deduce de una acción del interesado que decide seguir navegando por una página web y acepta así el que se utilicen cookies para monitorizar su navegación.

7) ¿Cuáles son los requisitos de un Consentimiento a la hora de solicitarlo?
  1. Algo único: separado de otros términos y condiciones. El consentimiento no debe ser una condición previa para firmar un servicio, a menos que sea necesario para el mismo.

  2. Definido: habrá que ofrecer una explicación detallada de para qué se está pidiendo el consentimiento de esos datos personales y cuál será su tratamiento.

  3. Nominativo: será necesaria la identificación de la organización responsable y los terceros cesionarios de los datos.

  4. Documentado: mantener registros para demostrar lo que el individuo consintió y cómo, incluyendo qué dijo, cuándo y sobre qué se le informó.

  5. Revocable: retirar el consentimiento debe ser un proceso tan sencillo como otorgarlo. Por tanto, una empresa debe contar con mecanismos simples y eficaces de retirada de consentimiento.

  6. Equilibrado: asegurar que no existe desequilibrio alguno en ninguna relación entre individuo y controlador como, por ejemplo, empleado y empleador en el ámbito empresarial o inquilino y propietario en viviendas.

8) ¿Puedo utilizar el WhatsApp para comunicados profesionales?
  1. WhatsApp ha actualizado sus condiciones de servicio para adaptarse al RGPD.

    1. La edad mínima para usarlo es de 16 años.

    2. Ha creado la empresa WhatsApp Ireland Limited, para prestar servicios dentro de la Unión Europea con una protección de Datos más alta.

  2. La seguridad de WhatsApp ha sido criticada en más de una oportunidad, la última vez por el CNIL (Comisión Nacional de Informática y de las Libertades de Francia) por lo que debería evitar enviar datos personales o secretos empresariales a través de dicha aplicación.

  3. Adicionalmente la AEPD sancionó en marzo de 2018 a WhatsApp declarándolo una aplicación insegura, aunque declara que está cambiando.

  4. Existen otras aplicaciones gratuitas de mensajería con mejores niveles de seguridad.

  5. Hay que recordar que debe recabarse el Consentimiento Inequívoco para incluir a alguien en un grupo de WhatsApp o de cualquier otro sistema de comunicaciones.

  6. En principio debería evitar usarla si va a enviar datos personales a través de ella, como es la aplicación más difundida, en principio desaconsejar a sus clientes que la utilicen para enviarles datos personales a través de ella y en los casos en que ocurra, tomar todas las medidas debidas a esos
    datos que reciba, de manera que pueda demostrar que fue diligente y proactivo con la seguridad de los mismos una vez que los recibió.

9) Si trabajo con empresas externas a las que le paso información de mis clientes (teleoperadoras, telemarketing, agencias de transporte, etc.), ¿debo modificar mis contratos (portabilidad)?
  1. Dichos contratos, así como los procesos y transferencias asociados, deberán ser evaluados uno por uno, por nuestros departamentos Legales y de Seguridad, ya que la variedad de estos es muy alta y particular de cada caso.

10) ¿Las tarjetas de visita se consideran Datos de Carácter Personal?
  1. Si, hasta que no sea promulgado el Reglamento Español y el mismo indique lo contrario, nos regimos por el Reglamento Europeo y el mismo no hace excepciones con las tarjetas de visita.

  2. Debido a lo anterior, deberán tomarse todas las medidas pertinentes para garantizar la seguridad de los datos contenidos en las tarjetas de Visita.

  3. En base a lo indicado sobre los Consentimientos en esta Guía, se recuerda que tener una tarjeta de visita no implica tener autorización implícita o tácita, para enviar comunicaciones, salvo que sean por interés legítimo, como por ejemplo porque nos han pedido un presupuesto.

11) ¿Tengo que actuar de alguna forma particular con el RGPD en relación con las Tarjetas de Visita?
  1. Si, no debe seguir asumiendo que la entrega de una tarjeta de visita, es una autorización válida para enviar comunicados comerciales de Marketing, por ejemplo.

12) He enviado por error un documento corporativo (p.ej. factura) a un destinatario que no corresponde, ¿qué tengo que hacer?
  1. Lo primero es avisar al destinatario erróneo y solicitarle que elimine dicho documento.

  2. Debe determinar si dicho documento incluye datos personales o no.

  3. En caso de contener Datos Personales:

    1. Revisar porque no se ha aplicado el procedimiento que hemos diseñado para evitar que datos personales lleguen a destinatarios equivocados.

    2. Notificar al destinatario al que se le filtraron sus datos, indicando que datos de filtraron y las medidas que se han tomado para mitigar dicha filtración.

    3. Notificar a la AEPD de la brecha, indicando todos los detalles pertinentes.

13) ¿Qué es la Responsabilidad Proactiva?
  1. En términos prácticos, este principio requiere que las organizaciones analicen qué datos personales tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo, planeando, implementando, monitoreando, revisando y mejorando los procedimientos y medidas de seguridad necesarios.

  2. A partir de este conocimiento deben determinar de forma explícita la forma en que aplicarán las medidas que el RGPD prevé, asegurándose de que esas medidas son las adecuadas para cumplir con el mismo y de que pueden demostrarlo ante los interesados y ante las autoridades de supervisión, ajustándolas con el paso del tiempo.

  3. En síntesis, este principio exige una actitud consciente, diligente, permanente y proactiva por parte de las organizaciones, frente a todos los tratamientos de datos personales que lleven a cabo. La Seguridad de la Información debe estar Planificada.

14) ¿Qué es el derecho al olvido?
  1. Es un nuevo derecho que regula el RGPD, viene a ampliar los antiguos derechos ARCO de la LOPD.

  2. Básicamente es un derecho de las personas, a través del cual pueden solicitar que sus datos sean removidos de cualquier lista o procesamiento que conlleve comunicarnos con él o ella.

  3. Debe tenerse en cuenta que no implica necesariamente borrar sus datos, ya que existen una serie de razones por las cuales, la empresa no debe, ni puede borrar esos datos, ya que hay limitaciones legales o Interés Legítimo. Lo que si debe realizarse sin dilación y sin retardos innecesarios es suspender cualquier comunicación de promoción o publicidad, pero sin embargo no suspendería comunicaciones legales o comerciales si esa persona nos adeuda alguna cantidad de dinero.

  4. Es importante verificar que sus sistemas informáticos son capaces de gestionar los nuevos derechos como el derecho a la portabilidad y las ampliaciones de los previamente existentes.

Glosario de Términos

C

Consentimiento Inequívoco

El consentimiento es Inequívoco, cuando se manifiesta verbalmente, por escrito o por signos inequívocos. 2

Consentimiento Tácito

Consentimiento que se asume por dado o presupone 2

D

Datos
Sensibles

Son los Datos Especialmente Protegidos que ya preveía la LOPD, con ligeros cambios y además ahora con la adición de Datos Genéticos y Datos Biométricos 2

I

Interés Legítimo

Lo que es conforme a las leyes, lo que está introducido, confirmado o comprobado por alguna ley 2

R

RGPD

Régimen General de Protección de Datos. Exigible a partir del 25 de mayo de 2018, en vigor desde mayo de 2016. Será revisado y actualizado cada 3 años. 1

Si tiene alguna pregunta adicional, nos la puede hacer llegar a través del formulario de Contacto.