Para poder entender la Ley de Protección de Datos y saber en qué consiste y cómo te afecta, debemos explicar que el pasado 7 de diciembre de 2018 entró en vigor la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos y Garantía de los derechos digitales (Ley Orgánica de Protección de Datos y garantía de los derechos digitales) que dejaría derogada la antigua Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Esta nueva normativa es la encargada de transponer al ordenamiento jurídico español el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, más conocido como Reglamento General de Protección de Datos (Reglamento General de Protección de Datos), así como completar sus disposiciones.

Esta normativa es de especial relevancia en lo que respecta al tratamiento de los datos personales de usuarios, clientes, proveedores, etc. Todas las empresas europeas deben tener en consideración diferentes tipos de características y principios que explicaremos en este artículo.

¿En qué consiste?

Las leyes que regulan la protección de datos se basan en la premisa de que todos los datos personales de los usuarios deben ser protegidos por los legisladores europeos.

Además, se considera “dato personal” a todo dato informativo capaz de hacer identificada o identificable a una persona física. Es decir, cualquier dato que, por sí mismo o en consonancia a otros datos que pudieran cotejarse, pueda llevar a la identificación de una persona física deberá ser considerado dato personal.

Por otra parte, existen una serie de principios generales que las empresas deberán tener en cuenta a la hora de aplicar esta regulación:

  • Minimización de los datos personales, debiéndose tratar los datos justamente necesarios para el tratamiento
  • Limitación de la finalidad del tratamiento. Es decir, que los tratamientos se realicen para unas finalidades concretas.
  • Limitación del plazo de conservación de los datos personales. Es decir, bloquear y/o destruir los datos en plazo de tiempo determinado.
  • Transparencia en cuanto a la información proporcionada a los interesados sobre el tratamiento de sus datos personales.
  • Responsabilidad proactiva en el uso de medidas de seguridad y políticas antes brechas de seguridad en los sistemas utilizados por las empresas en el tratamiento de los datos personales.
  • Exactitud y veracidad de los datos personales cuando los mismos no sean proporcionados por los interesados.
  • Obtención de consentimiento como base de legitimación para el tratamiento de datos personales, cuando proceda. Este consentimiento deberá ser expreso.

¿A quién afecta?

Por un lado, el Reglamento General de Protección de Datos es aplicable directamente a todos los Estados miembros y es vinculante a todas aquellas empresas alrededor del mundo que vayan a tratar datos personales de ciudadanos europeos.

Por otro lado, la Ley Orgánica de Protección de Datos y garantía de los derechos digitales es aplicable a todas las empresas españolas que vaya a realizar tratamientos de datos personales.

¿Cómo aplicarla?

En el seno de cualquier empresa afectada por la normativa en materia de protección de datos de carácter personal, deberá tener en consideración dos figuras principales en el tratamiento de datos. Estas figuras suelen aseverarse a clientes y proveedores de servicios y explicadas grosso modo, son las siguientes:

  • Responsable del tratamiento de datos personales (o Data Controller en inglés): El Responsable del tratamiento será la figura que tome las decisiones sobre el tipo de tratamiento y las finalidades del tratamiento de datos personales en una relación comercial.
  • Encargado del tratamiento de datos personales (o Data Processor en inglés): El Encargado del tratamiento será aquella figura que vaya a tener acceso a bases de datos personales de un Responsable del tratamiento. La principal característica de dicha relación será que el Encargado del tratamiento deberá seguir al pie de la letra las instrucciones del Responsable del tratamiento en lo que respecta a la finalidades de uso de los datos integrados en las bases de datos.

Ambas figuras deberán adaptar (i) sus sistemas contractuales, (ii) sus protocolos de datos personales (análisis de riesgos, registros de actividades, evaluaciones de impacto etc.), (iii) los textos legales de sus sitios web, etc.

Desde Letslaw hacemos un repaso a esta normativa al objeto de informar a las empresas sobre las novedades y sus consecuencias tanto en España como en el resto de Europa, para facilitar el derecho de sus negocios y las claves a la adaptación de los cambios gubernamentales y el entorno digital y tecnológico.