¿Qué es el RGPD y a quién afecta?
El Reglamento General de Protección de Datos (RGPD) es la norma europea que regula el tratamiento de datos personales. Es de aplicación directa en todos los estados miembros de la Unión Europea y afecta a cualquier organización —independientemente de su tamaño— que trate datos de personas físicas residentes en la UE.
En España, la normativa se complementa con la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD), que adapta el RGPD al ordenamiento jurídico español.
¿Qué se considera dato personal?
Un dato personal es cualquier información que permita identificar a una persona física, directa o indirectamente. Esto incluye:
- Nombre, apellidos, DNI o número de pasaporte
- Dirección de correo electrónico o número de teléfono
- Dirección IP, cookies identificativas
- Datos de geolocalización
- Información financiera, médica o biométrica
Obligaciones fundamentales para las empresas
1. Base jurídica del tratamiento
Toda operación de tratamiento de datos debe apoyarse en una base legal válida: consentimiento del interesado, ejecución de un contrato, cumplimiento de una obligación legal, interés vital, interés público o interés legítimo del responsable.
2. Principio de transparencia e información
Las empresas deben informar a los interesados, de forma clara y accesible, sobre: quién trata sus datos, con qué finalidad, durante cuánto tiempo y qué derechos pueden ejercer. Esta información se recoge habitualmente en la política de privacidad.
3. Registro de Actividades de Tratamiento (RAT)
Todas las organizaciones que traten datos de forma no ocasional deben mantener un Registro de Actividades de Tratamiento interno que documente cada tratamiento realizado, sus finalidades y las medidas de seguridad aplicadas.
4. Medidas de seguridad técnicas y organizativas
El RGPD exige implementar medidas apropiadas al nivel de riesgo del tratamiento. Esto puede incluir cifrado de datos, control de accesos, políticas internas de privacidad y formación de empleados.
5. Gestión de brechas de seguridad
Si se produce una brecha de datos que pueda afectar los derechos de las personas, la empresa tiene 72 horas para notificarlo a la Agencia Española de Protección de Datos (AEPD). Si el riesgo es elevado, también debe informarse a los afectados.
6. Derechos de los interesados
Las empresas deben garantizar el ejercicio de los siguientes derechos:
- Acceso: conocer qué datos se tratan sobre ellos.
- Rectificación: corregir datos inexactos.
- Supresión ("derecho al olvido"): solicitar la eliminación de datos.
- Limitación del tratamiento
- Portabilidad de datos
- Oposición al tratamiento
¿Cuándo es obligatorio nombrar un Delegado de Protección de Datos (DPD)?
No todas las empresas están obligadas a designar un DPD, pero sí aquellas que:
- Traten datos a gran escala como actividad principal
- Sean autoridades u organismos públicos
- Realicen tratamientos que requieran una observación habitual y sistemática de personas a gran escala
Sanciones por incumplimiento
Las infracciones al RGPD pueden conllevar multas de hasta 20 millones de euros o el 4% del volumen de negocio anual global (la cifra mayor). La AEPD es el organismo encargado de supervisar el cumplimiento en España e imponer sanciones cuando corresponda.
Primeros pasos para cumplir
Si tu empresa aún no ha adaptado sus procesos al RGPD, un punto de partida práctico es realizar un diagnóstico de cumplimiento o auditoría de datos, identificar todos los tratamientos realizados y revisar los contratos con proveedores que accedan a datos personales.