RGPD
¿Cuáles son las obligaciones de cumplimiento para las empresas?
RGPD: ¿Cuáles son las obligaciones de cumplimiento para las empresas?
¿Qué es la conformidad con el RGPD?
El desarrollo del ámbito digital genera, entre otras consecuencias, una mayor recopilación y tratamiento de datos personales de las personas (internautas, empleados, clientes de un programa de fidelización, suscriptores de diversos servicios...).
Estas prácticas, que tienen múltiples ventajas, especialmente comerciales, conllevan numerosos riesgos para la confidencialidad y la seguridad de los datos personales tratados (nombre, dirección, número de teléfono, dirección de correo electrónico, contraseñas, etc.) y, de hecho, para la preservación de la vida privada de las personas cuyos datos se tratan.
En este sentido, desde hace años, están estrictamente reguladas por el Reglamento General de Protección de Datos Personales (RGPD), que entró en vigor en todos los países de la Unión Europea el 25 de mayo de 2018, y al que deben ajustarse todas las empresas privadas europeas (tanto pymes como grandes empresas).
A esto se suma a la legislación nacional. Por ejemplo, en Francia, la ley de informática y libertades del 6 de enero de 1978, cuyo contenido ha sido completamente reescrito tras la publicación de la RGPD.
El Tribunal de Justicia de la Unión Europea (TJUE) ha aclarado recientemente que un competidor puede interponer un recurso por competencia desleal contra una empresa que no respete las disposiciones del RGPD (TJUE, 4 de octubre de 2024, asunto C-21/23).
Aquí se repasa los requisitos de la RGPD que deben tenerse en cuenta en las empresas.
CNIL: ¿cuál es su papel en el cumplimiento de la RGPD? ¿Cómo evalúa su conformidad?
En Francia, la Comisión Nacional de Informática y Libertades (CNIL) es la autoridad administrativa encargada de velar por la protección de los datos personales, especialmente por parte de las empresas (con respecto a sus empleados, clientes, usuarios, etc.).
Para ello, tiene la posibilidad de realizar controles de, o incluso sancionar a las empresas que no cumplan con el RGPD y sus obligaciones (amonestación, multa administrativa, etc.).
Estos controles pueden realizarse directamente en tu empresa, pero también en línea o mediante una convocatoria a una audiencia.
En 2024, la CNIL impuso 87 sanciones (por un valor de 55 millones de euros), 180 requerimientos y 64 recordatorios de obligaciones legales en el marco de la aplicación de su acción represiva.
Procedimientos: ¿cómo cumplir con el RGPD y respetar las normas obligatorias vigentes?
Nuestro informe responde a todas tus preguntas sobre el respeto y la protección de los datos personales dentro de tu empresa, en sus relaciones internas (gestión de personal) y externas (clientes, competidores, etc.).
Respondemos a las siguientes preguntas:
¿Qué son los datos personales exactamente? ¿De qué tipo de tratamiento de datos estamos hablando? ¿Cuáles son las obligaciones de las empresas con respecto al RGPD para asegurar la protección de los datos personales recopilados? ¿Qué es un registro de tratamiento de datos y en qué casos es obligatorio? ¿Cuándo debes realizar un análisis de impacto? ¿A quién se deben comunicar los datos de contacto del responsable del tratamiento? ¿Cuál es el período de conservación de los datos tratados? ¿Qué documentos de prueba debes proporcionar a la CNIL en caso de inspección? ¿Qué debes hacer en caso de violación de datos personales? ¿Cómo se deben tratar los casos de incidentes? ¿Qué sanciones (carta de emplazamiento, multa, advertencia, etc.) corres el riesgo de recibir en caso de incumplimiento de las disposiciones aplicables por parte de la CNIL?
¿En qué casos se debe utilizar este informe?
Para estar en regla en caso de control de la CNIL, y para evitar cualquier sanción o acción contra ti, debes prestar especial atención a tus posibles obligaciones en materia de datos personales.
Si tu empresa trata datos personales (en particular de sus clientes, empleados, proveedores, etc.), su adaptación a la RGPD y a los textos nacionales aplicables es obligatoria y, como tal, debe respetar varios procedimientos.
Estos se refieren a la seguridad de los datos personales tratados, pero también a los derechos y libertades de las personas cuyos datos se recogen (obtención de su consentimiento explícito, duración de la conservación de los datos, derecho de acceso a sus datos, derecho a la portabilidad y a la eliminación de los mismos, etc.).
Como empresario y empleador, eres responsable de que tu empresa trate los datos personales, y te corresponde a ti (y solo a ti) garantizar que cumpla con la normativa aplicable (con la posible ayuda de un delegado de protección de datos (DPD o DPO)).
Para ello, es necesario realizar un verdadero estado de la situación, con el fin de establecer las medidas de seguridad necesarias (procesos internos, mantenimiento de los registros exigidos por la normativa, definición de las modalidades de obtención del consentimiento explícito de los internautas cuyos datos se recogen si es necesario, seguridad de las actividades de tratamiento, bloqueo de los datos recogidos a través de tu sitio web, cifrado de documentos de riesgo, determinación del período de conservación de los datos tratados, realización de análisis de impacto, etc.).
Más allá de simples medidas puntuales, debes garantizar la conformidad a lo largo del tiempo de tu empresa con los textos y leyes aplicables, lo que requiere una actualización de tus conocimientos.
Contenido del informe:
Este informe te permite determinar los pasos a seguir para garantizar la conformidad de tu empresa con el RGPD y la ley de informática y libertades. Te informa sobre las obligaciones impuestas por la normativa a las empresas y sobre las medidas que deben adoptarse para cumplirlas y evitar una sanción por parte de la autoridad nacional.
En este dossier encontrarás una visión general sobre:
el RGPD (Reglamento General de Protección de Datos);
los datos personales;
las empresas afectadas por el cumplimiento de la normativa;
el registro de tratamiento de datos;
la protección de los datos personales tratados;
las sanciones impuestas;
tu obligación de informar a tus clientes y empleados en caso de tratamiento de sus datos personales;
el delegado de protección de datos (DPD o DPO), en particular las situaciones en las que debe ser designado, las condiciones de su nombramiento y sus funciones;
los derechos de las personas cuyos datos se recogen (en particular, el derecho de acceso, rectificación y supresión de los datos).
Modelos de cartas para completar, así como fichas explicativas que te acompañarán en tus gestiones.
Ejemplo: Subcontrato parte de mi actividad: ¿qué pasa con las obligaciones del subcontratista en relación con el RGPD?
Recurrir a la subcontratación debe invitarte a tomar ciertas precauciones en términos de protección de datos personales.
El Reglamento General de Protección de Datos (RGPD) establece un principio de responsabilidad compartida (también llamado «accountability») de todos los actores implicados en el tratamiento de datos personales(1):
los responsables del tratamiento;
como los subcontratistas.
Definición: a modo de recordatorio, el encargado del tratamiento es, en el sentido del RGPD, una persona física o jurídica, una autoridad pública, un servicio u otro organismo que trata datos personales por cuenta del responsable del tratamiento (2).
Para evaluar el nivel de responsabilidad de tu encargado del tratamiento con respecto al RGPD, se pueden estudiar varios criterios, entre ellos:
el nivel de supervisión que ejerces sobre la misión del subcontratista;
el nivel de autonomía y experiencia que tiene este subcontratista en la ejecución de su misión;
la confidencialidad de la existencia de la relación que te une al subcontratista.
Cuanto más autónomo sea tu subcontratista en sus misiones, más se le recomienda prestar especial atención al futuro de los datos personales que recopila y conserva para ti.
Por lo tanto, el subcontratista debe presentar garantías suficientes para garantizar la seguridad y confidencialidad de los datos que procesa, y en este sentido tiene diferentes categorías de obligaciones, entre las que se encuentran las 3 categorías siguientes.
La obligación de transparencia y trazabilidad
Esta obligación implica que las relaciones entre tu subcontratista de datos y tú se formalicen en un contrato escrito, que incluirá las obligaciones de cada parte, la duración del contrato, los tratamientos que serán objeto de subcontratación, etc.
Esto requiere que estés informado de los medios utilizados por el subcontratista para cumplir con el RGPD: lo contrario también es cierto.
También es necesario que tu subcontratista registre tus instrucciones por escrito y solicite tu autorización por escrito antes de recurrir él mismo a un subcontratista.
El RGPD también obliga al subcontratista a mantener su propio registro de las actividades de tratamiento realizadas por cuenta de sus clientes o, en determinadas situaciones, a designar también a un delegado de protección de datos.
La obligación de garantizar la seguridad de los datos tratados
Tu subcontratista debe asegurarse de que sus empleados y socios estén sujetos a una obligación de confidencialidad con respecto a los datos personales de tus clientes.
El subcontratista debe informarte de cualquier violación de datos de la que haya sido informado. A cambio, debes tomar, en colaboración con él, todas las medidas necesarias para garantizar la seguridad de los datos que compartes.
Atención: al final de su relación comercial, el subcontratista deberá eliminar o transmitirte todos los datos procesados para ti (sin hacer una copia para su uso personal, salvo obligación legal).
Obligación de alerta y asistencia
Tu subcontratista debe brindarte asistencia cuando uno de tus clientes realice una solicitud relacionada con la protección de sus datos personales.
También debe informarte de cualquier violación de la protección de datos que observe en el marco de tus instrucciones.
A tener en cuenta: el subcontratista y tú deberíais trabajar en conjunto.
Los conceptos clave tratados en este informe:
RGPD
Reglamento General de Protección de Datos
Ley de Informática y Libertades
Datos personales
Tratamiento de datos
Derecho al olvido (a la supresión)
Delegado de Protección de Datos (DPD)
Oficial de Protección de Datos (DPO)
Riesgos y sanciones
Control
Datos sensibles
Derecho de acceso
Principio de minimización
Recopilación
Derecho de rectificación
Comercio electrónico
Seguridad
Continúa leyendo con una prueba gratuita de 7 días
Suscríbete a Carreras para seguir leyendo este post y obtener 7 días de acceso gratis al archivo completo de posts.