¿Qué necesito saber sobre la legislación RGPD?

Legislación sobre privacidad

La legislación sobre privacidad no es nueva. Dentro de la Unión Europea (UE), cada estado miembro cuenta actualmente con su propia legislación sobre privacidad. Todas estas leyes nacionales se basan en la Directiva Europea de Privacidad de 1995. En los Países Bajos, la aplicación nacional de esta directiva es la Ley de Protección de Datos Personales (WBP).

Desde el 25 de mayo de 2018, está en vigor el Reglamento General de Protección de Datos (RGPD). Esto significa que, a partir de esa fecha, solo rige una ley de privacidad en toda la UE. La Ley de Protección de Datos Personales (WBP) ya no se aplica, pero sus principios básicos siguen constituyendo la base del nuevo RGPD. La Autoridad de Protección de Datos de los Países Bajos supervisa el cumplimiento de la normativa vigente en materia de protección de datos personales.

¿Cuál es el propósito general del RGPD?

El objetivo general del Reglamento General de Protección de Datos es proteger a los ciudadanos de la UE en materia de privacidad y datos personales. El RGPD establece derechos en relación con los datos personales compartidos con las organizaciones que los recopilan, almacenan y procesan.

¿A quién se aplica el RGPD?

El RGPD se aplica a cualquier organización que recopile datos personales de ciudadanos de la UE. No es necesario que una organización esté establecida en la UE para estar sujeta al RGPD. Si una organización está ubicada fuera de la UE y recopila datos personales desde dentro de ella, el RGPD le aplica.

¿Qué cambiará?

El nuevo RGPD endurece las regulaciones de la actual Ley de Protección de Datos Personales. En definitiva, muchas cosas siguen igual. La minimización de datos, el derecho al olvido, las obligaciones de información y los acuerdos de tratamiento de datos siempre han formado parte de la ley, aunque a veces con diferentes nombres.
Una política de privacidad sólida, una declaración de privacidad clara, acuerdos sólidos entre los encargados y los responsables del tratamiento de datos, y un procedimiento de violación de datos también siguen siendo importantes.

El nuevo RGPD ha endurecido considerablemente muchas normas existentes y ha añadido varias obligaciones nuevas. Se hace mayor hincapié en la responsabilidad de las propias organizaciones de cumplir la ley y demostrar su cumplimiento.

¿Qué puedo hacer yo mismo?

Como organización, ya puede tomar medidas para cumplir con el RGPD. Para ayudarle, la Autoridad de Protección de Datos enumerado los 10 pasos más importantes.

¿Qué son los datos personales?

El RGPD especifica que los datos personales son cualquier información relativa a una persona física identificada o identificable. Existen muchos tipos de datos personales. Los datos obvios incluyen el nombre, la dirección y el lugar de residencia de una persona. Sin embargo, los números de teléfono y los códigos postales con números de casa también son datos personales. Los datos sensibles, como la raza, la religión o la salud de una persona, también se denominan categorías especiales de datos personales. Estos gozan de protección adicional por ley.

¿En qué consiste el tratamiento de datos personales?

El tratamiento se refiere a todas las acciones que una organización puede realizar con datos personales, desde su recopilación hasta su destrucción. La ley enumera los siguientes ejemplos de tratamiento: recopilación, registro, organización, almacenamiento, adaptación o modificación, recuperación, consulta, uso, divulgación por transmisión, difusión o puesta a disposición, cotejo o combinación, restricción, supresión y destrucción de datos.
La ley estipula que una organización solo puede tratar datos personales si es necesario para un fin específico.

Principios de procesamiento

El RGPD introduce principios básicos que todo tratamiento de datos personales debe cumplir:

• los datos personales deben ser tratados de manera justa, lícita y transparente;
• los datos personales sólo podrán ser tratados para un fin específico y explícito;
• sólo podrán ser objeto de tratamiento los datos personales que sean necesarios para la finalidad;
• Los datos deben ser correctos y actuales;
• si la identificación ya no es necesaria para la finalidad, los datos personales deberán borrarse o anonimizarse, y;
• Los datos personales deberán protegerse mediante medidas técnicas y organizativas.

Terminología de controlador/procesador

El RGPD utiliza los términos «responsable del tratamiento» y «encargado del tratamiento» en lugar de los términos «responsable» y «encargado del tratamiento» de la Ley de Protección de Datos Personales (LPD). La traducción al neerlandés del RGPD ofrece las siguientes definiciones:

Responsable del Tratamiento:
Persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o junto con otros, determina los fines y medios del tratamiento de datos personales. Se trata de los clientes de Teqa que i-Reserve adquieren

Encargado del tratamiento:
Persona física o jurídica, autoridad pública, agencia u otro organismo que trata datos personales en nombre del responsable del tratamiento. Nos referimos a nosotros como organización, proveedor de i-Reserve el alojamiento i-Reserve.

El interesado
es la persona cuyos datos personales procesa una organización. Es decir, la persona a la que pertenecen los datos personales. Estos son sus clientes, los usuarios finales.

Tratamiento de datos personales especiales.
Además de los datos personales comunes, la ley también reconoce los datos personales especiales. Se trata de datos tan sensibles que su tratamiento podría comprometer gravemente la privacidad de una persona. El RGPD prohíbe el tratamiento de datos personales especiales, salvo excepción.

Los datos personales especiales son datos personales que revelan el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical, datos genéticos, datos biométricos para la identificación única de una persona, datos relativos a la salud, la vida sexual o la orientación sexual. Por lo tanto, estos datos solo pueden tratarse bajo condiciones muy estrictas.

¿Cuáles son los cambios más importantes para las organizaciones?

Si se aplica el Reglamento General de Protección de Datos, las organizaciones que procesan datos personales tienen más obligaciones.

Consentimiento
Un nuevo requisito es que la organización debe poder demostrar que ha obtenido el consentimiento válido de las personas para procesar sus datos personales. Además, debe ser tan fácil para las personas retirar su consentimiento como otorgarlo. Esta debe ser una expresión de voluntad "inequívoca". ¡Así que, basta de casillas premarcadas! La solicitud de consentimiento debe ser clara y comprensible y presentarse en un lenguaje sencillo.
En última instancia, como organización, debe poder probar que el titular de los datos ha dado su consentimiento. El titular de los datos tiene derecho a retirar su consentimiento en cualquier momento y debe ser informado de este derecho.

NOTA:
Solicitar el consentimiento para el registro de datos personales no siempre es necesario. Por ejemplo, siempre que los datos que se registren se limiten a lo necesario para la ejecución del acuerdo celebrado. En otros casos, debe solicitar el consentimiento. Para saber qué se aplica a su caso, puede encontrar más información.

Obligación administrativa:
El RGPD impone una obligación de documentación, lo que significa que la organización debe poder demostrar que actúa de conformidad con el RGPD. Esto incluye el consentimiento, la información proporcionada, los derechos de los interesados, la seguridad de los datos, la minimización del tratamiento y los acuerdos con los encargados del tratamiento. Por lo tanto, es necesario planificar las actividades de tratamiento de datos dentro de la organización. Muchas organizaciones deberán actualizar sus declaraciones de privacidad, lo cual es importante. No contar con una declaración de privacidad (completa) pronto resultará en una multa cuantiosa.

En cuanto entre en vigor el RGPD, la obligación, según la Ley de Protección de Datos, de notificar las operaciones de tratamiento de datos a la autoridad de control quedará sin efecto. En su lugar, las organizaciones deberán mantener un registro de las actividades de tratamiento («registro de tratamiento») que se realicen bajo su responsabilidad.

Acuerdo de Tratamiento de Datos:
Celebrar un acuerdo de tratamiento de datos no es ninguna novedad, ya que es obligatorio según la Ley de Protección de Datos de los Países Bajos (WBP). Con el RGPD, esto se denominará acuerdo de tratamiento de datos y se aplica entre el responsable del tratamiento de datos personales y la parte que los trata (actualmente el encargado del tratamiento, que pronto se denominará encargado). Sin embargo, la novedad es que el RGPD especifica varios elementos obligatorios de este acuerdo, entre ellos:

• la finalidad del tratamiento;
• el tipo de datos personales que se están procesando;
• las categorías de interesados;
• que se adoptarán medidas de seguridad adecuadas;
• que el encargado del tratamiento coopere con las auditorías para verificar si el encargado del tratamiento cumple con todas las obligaciones, y;
• después del procesamiento, destrucción o devolución de los datos personales al responsable del tratamiento

A partir de ahora, el encargado del tratamiento ya no podrá contratar a un tercero para procesar datos personales sin el consentimiento previo por escrito del responsable del tratamiento.

Evaluación del Impacto en la Privacidad (EIP),
en neerlandés «gegevensbeschermingseffectbeoordeling», es una herramienta indispensable para que las organizaciones estimen o evalúen el impacto en la privacidad. Mediante la EIP, la protección de datos personales puede integrarse de forma estructurada en el equilibrio de intereses y la toma de decisiones dentro de las organizaciones.

La Ley de Protección de Datos Personales (LPD) especifica por qué, cómo y durante cuánto tiempo se procesan los datos personales. Es obligatoria una Evaluación de Impacto sobre la Privacidad si el procesamiento de datos personales, en particular mediante nuevas tecnologías, supone riesgos para los interesados.

Requisitos de notificación de filtraciones de datos:
Este requisito ya está incluido en la legislación neerlandesa: la notificación de filtraciones de datos. Este requisito también está incorporado al RGPD y se mantiene prácticamente sin cambios. Sin embargo, el RGPD impone requisitos más estrictos sobre el registro de las filtraciones de datos ocurridas en su organización. Debe documentar todas las filtraciones de datos.

Evite el estrés planificando con antelación cómo responderá si se produce un riesgo de seguridad. Por ejemplo, como responsable del tratamiento de datos, en algunas situaciones debe informar de una filtración de datos a la Autoridad de Protección de Datos de los Países Bajos en un plazo de 72 horas. Si es probable que la filtración suponga un alto riesgo para las personas cuyos datos se vean afectados, también deben ser notificadas. Por lo tanto, defina con antelación un flujo de trabajo para incidentes de seguridad que permita a las personas adecuadas tomar decisiones oportunas sobre las medidas a tomar.

La Autoridad de Protección de Datos de los Países Bajos ha publicado normas políticas sobre la notificación de violaciones de datos.

Es posible que necesite un delegado de protección de datos.
Un delegado de protección de datos (DPD) es una persona independiente dentro de la organización que asesora e informa sobre el cumplimiento del RGPD. Si bien el DPD no era obligatorio según la Ley de Protección de Datos de los Países Bajos (WBP), sí lo es en algunas situaciones. La ley exige un DPD cuando se procesan datos personales sensibles, como datos de salud, a gran escala, o si se observa regularmente a personas (física o digitalmente). Un DPD puede ser designado internamente, pero también externamente.

Derechos del interesado
Los datos personales deben ser tratados de forma lícita, justa y transparente con respecto al interesado. La transparencia es fundamental: el interesado debe ser informado sobre qué sucede con sus datos personales. Todo debe comunicarse en un lenguaje sencillo y claro.
Además del conocido derecho de acceso, rectificación y oposición, el interesado también tiene, en virtud del RGPD:

• el derecho al olvido,
• el derecho a la portabilidad de datos (también conocido como portabilidad de datos),
• el derecho a restringir el procesamiento y
• Derecho a oponerse a determinados tratamientos. El interesado tiene derecho a oponerse en cualquier momento al tratamiento de sus datos con fines de marketing directo. Si el interesado presenta dicha oposición, sus datos ya no podrán ser tratados con fines de marketing.

Derecho de acceso:
El interesado tiene derecho a obtener del responsable del tratamiento confirmación de si sus datos personales están siendo tratados. En caso de que se traten datos personales, el interesado tiene derecho a obtener información sobre dichos datos. El interesado tiene derecho a obtener información, entre otras cosas, sobre:

• los fines del tratamiento;
• las categorías de datos personales de que se trate;
• los destinatarios a los que se facilitan los datos personales;
• el período de almacenamiento;
• el hecho de que el interesado tiene derecho a solicitar la rectificación, supresión o limitación del tratamiento y el derecho a oponerse;
• el hecho de que el interesado pueda presentar una reclamación.

Derecho de rectificación y derecho de oposición.
El interesado tiene derecho a obtener del responsable del tratamiento la rectificación de sus datos personales inexactos. Esto debe hacerse sin dilación indebida. El interesado puede oponerse a ciertos tipos de tratamiento de datos, por lo que podría ser necesario suspender el tratamiento de sus datos personales. Consideremos una organización que utiliza datos personales con fines de marketing. (Actualmente, ya existe un derecho absoluto de oposición para el marketing directo. Si el interesado ejerce este derecho, ya no podrá contactarle con fines de marketing).

Derecho al olvido
En determinadas situaciones, el interesado tiene derecho a que sus datos sean eliminados por completo. El RGPD añade motivos adicionales para este último derecho. El RGPD introduce el derecho al olvido. Esto significa que el responsable del tratamiento debe eliminar los datos personales sin dilación indebida, por ejemplo, cuando los datos personales ya no sean necesarios para los fines para los que fueron recabados o estén siendo objeto de un tratamiento posterior. También es obligatorio informar a las partes con las que se hayan compartido los datos en respuesta a dicha solicitud. Por lo tanto, los nombres de estas partes también deben comunicarse al interesado. El responsable del tratamiento debe adoptar medidas razonables para eliminar los datos, así como cualquier enlace, copia o reproducción.

Consulte también la opción para anonimizar en i-Reserve.

Derecho a la portabilidad de datos.
El RGPD introduce el derecho a la portabilidad de datos, es decir, la transferibilidad de los datos personales. Esto significa que sus clientes pueden solicitarle que ponga a su disposición sus datos personales. Este derecho abarca todos los datos digitales que una organización procesa con el consentimiento del interesado, además de los datos necesarios para la ejecución de un contrato. El historial de búsqueda o los datos de ubicación también están sujetos al derecho a la portabilidad. Como organización, usted tiene la obligación legal de proporcionar los datos en un formato estructurado, de uso común y legible por máquina. Puede prepararse para ello planificando cómo pondrá los datos a disposición de sus clientes. Por ejemplo, mediante una herramienta que les permita descargar sus datos directamente de forma segura.

Si es técnicamente posible, el responsable del tratamiento debe reenviar los datos directamente a otro responsable. Esto puede hacerse, por ejemplo, mediante una interfaz de programación de aplicaciones (API), que permite la conexión entre su sistema y una aplicación de terceros.

En i-Reserve sus propios datos descargar, el administrador puede exportarlos o los datos pueden reenviarse mediante una API .

Privacidad por defecto y privacidad por diseño
El RGPD introduce la obligación de proteger los datos mediante configuraciones estándar (Privacidad por defecto) y mediante funcionalidades ajustables (Privacidad por diseño) dentro del software.

El requisito de Privacidad por Defecto implica que debe implementar medidas técnicas y organizativas para garantizar que, por defecto, solo procese los datos personales necesarios para el fin específico que pretende lograr. Por ejemplo, si los usuarios pueden ajustar su configuración de privacidad por sí mismos, esta debería estar configurada al máximo nivel por defecto.

La obligación de privacidad desde el diseño significa que usted debe garantizar que los datos personales estén protegidos al diseñar productos, servicios y procesos organizacionales.

Ejemplos:

• Al ofrecer una aplicación, no permita que los usuarios registren su ubicación si no es necesario;
• No marque previamente la casilla “Sí, quiero recibir ofertas” en el sitio web;
• Si alguien quiere suscribirse a una newsletter no le pidas más datos de los necesarios.

Haga clic aquí para ver lo que i-Reserve para proteger los datos personales.

La seguridad debe ser un requisito indispensable
. Proteger los datos personales es crucial. Sin cifrado, autenticación de dos factores y la capacidad de separar y borrar de forma segura la información personal, su organización corre un riesgo considerable.

Infracciones y sanciones:
La multa máxima por infracción de la Ley de Protección de Datos (LPD) vigente es de 900.000 €. El RGPD otorga a las autoridades nacionales de control mayores facultades para sancionar las infracciones del RGPD. Las multas son cuantiosas, llegando hasta los 20 millones de € o el 4 % de la facturación anual global si una organización incumple los requisitos legales. Las multas impuestas en los Países Bajos son emitidas por la autoridad de control designada: la Autoridad de Protección de Datos (AP). ¿
Busca más información? También puede encontrar respuestas a preguntas frecuentes en autoriteitpersoonsgegevens.nl.

Las cookies, el spam, el correo electrónico, el telemarketing y las
normas del RGPD para el tratamiento de las comunicaciones electrónicas, como las cookies, el seguimiento Wi-Fi, el correo electrónico, etc., no están contempladas en el RGPD. Estas normas se encuentran en la Directiva sobre privacidad electrónica (Directiva ePrivacy ), legislación europea vigente que se actualizó en 2018. La Directiva ePrivacy también se conoce como la Ley de Cookies. La Unión Europea espera lanzar las normas actualizadas junto con el RGPD para ofrecer a los ciudadanos una mayor protección de su información personal de una sola vez. En términos generales, este texto legal establece las normas que las organizaciones deben seguir para garantizar la confidencialidad de las comunicaciones digitales.