Campo de Aplicación de la

GDPR

© Instituto Europeo de Posgrado

1
 Campo de Aplicación de la GDPR
2

Índice

1 El Data Journey ..................................................................................................................................................... 3

2 Los principios de la GDPR .............................................................................................................................. 3
3 Aplicación del “Data Journey” ...................................................................................................................... 4
3.1 Entrada del dato ...................................................................................................................................... 5
3.2 Tratamiento del dato ........................................................................................................................... 6
3.3 Retención y seguridad........................................................................................................................ 6
3.3.1 ¿Dónde ha de residir el dato? ........................................................................................... 7
3.4 Borrado del dato .................................................................................................................................... 8
4 Conclusiones ......................................................................................................................................................... 9
5 Bibliografía Esencial .......................................................................................................................................... 9

®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Campo de Aplicación de la GDPR
3

1 El Data Journey

Debido a la trazabilidad que nos exige la GDPR y al tratamiento que hemos de hacer,
como empresas, de los datos que se almacenan en nuestros sistemas, podemos hablar
del “Data Journey”, que es el camino que el dato recorre por nuestra empresa en todos y
cada uno de sus niveles.

Podemos dibujar el siguiente “Data Journey”

ENTRADA DEL DATO TRATAMIENTO / RETENCIÓN Y GESTIÓN /

SEGURIDAD BORRADO

Consentimiento Captura Transferencia Almacenamiento Procesamiento Borrado

-Opción con -Formulario -Exportación -Repositorio -Perfilado -Automático

consentimiento
-Llamada -Llamada API -Backup -Lead Scoring -Manual
explícito
-Política de -Website -“Guardar -Reglas de
privacidad como” negocio
-App

La empresa es responsable del todo lo que pasa a los datos personales durante lo que
llamamos el “Data Journey”.

Incluso si la empresa decide externalizar los servicios relacionados con la GDPR, no

exime su responsabilidad en ningún momento.

La norma también indica que el “esfuerzo” por preservar la confidencialidad e integridad

de los datos ha de ser continuo en el tiempo. Es decir, no es suficiente con hacer una
auditoría puntual, cambiar procesos, y no volver a revisarlos hasta un tiempo, sino que
este esfuerzo y revisión ha de ser diario.

2 Los principios de la GDPR

Los principios sobre los que se asienta y se construya la GDPR, y que la explican en su
totalidad son:

®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Campo de Aplicación de la GDPR
4

 Principio de responsabilidad; las organizaciones han de demostrar que cumplen

la GDPR, y que han tomado las medidas adecuadas para su cumplimiento. Si
subcontratan la aplicación y de la GDPR, no están exentas.
 Derecho al olvido; consiste en la supresión de datos personales por el
controlador de datos si una serie de condiciones se llevan a cabo y se producen,
que son;
- Los datos personales no son necesarios para el fin con que fueron
recogidos
- El interesado retira el consentimiento en que se basa el tratamiento
- El interesado se opone al tratamiento
- No hay motivos legítimos para el tratamiento
- El derecho es limitado si va en contra de la libertad de expresión o
defensa en una oficina judicial, o protección de un interés público (salud
pública), o esos datos son necesarios para interés público, fines de
investigación científica o histórica o fines estadísticos
 Principio “Privacy by Design and by default”; el diseño de las aplicaciones
informáticas que hacemos ha de tener en cuenta asegurar la privacidad de los
datos personales. Desde interaces (web, app) hasta cómo se almacenan y
procesan esos datos.
 Principio universal; aplica a empresas tanto europeas como no europeas siempre
que traten datos de ciudadanos de la Unión Europea
 Principio de armonización; que la legislación sea la misma en toda la UE. La GDPR
es un reglamento, y todas las leyes nacionales han de tener las normas de la
GDPR, sin eximir que pudiera haber algunas todavía más estrictas
 Principio de simplicidad; simplificar en marco regulatorio sobre privacidad de
datos para empresas y ciudadanos, ya que es la misma en toda la UE gracias al
principio de armonización.

3 Aplicación del “Data Journey”

Como se ha visto en el primer punto, el “Data Journey” se compone de estos 6 pasos:

consentimiento, captura, transferencia, almacenamiento, procesamiento y borrado, divididos
en las siguientes acciones:

 Entrada

 Tratamiento

 Retención y seguridad

®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Campo de Aplicación de la GDPR
5

 Gestión y borrado

3.1 Entrada del dato

La GDPR deja muy claro que la obtención del dato ha de ser justa, legítima y explícita,
informando qué haremos con el dato y, sobre todo, no utilizarlo para otras finalidades:

 Justa; el dato ha de ser pertinente, explícito y claro de la actividad que realiza

nuestra empresa. Es decir, si vendo zapatos, no puedo preguntarle por su etnia o
hobbies, al menos no para vender los zapatos1

 Legítima; se tiene que pedir consentimiento a los interesados, que han de aceptar
las condiciones solicitadas

 Explícita; se tiene que informar en todo momento del uso de los datos la finalidad
con la que serán utilizados

Se ha de conseguir una aceptación por cada finalidad que tratemos de llevar a cabo con
los datos. Así, las condiciones que ha de aceptar el usuario no pueden ser ambiguas,
generales o poco claras. Tampoco podemos meter varias finalidades distintas.

Por ejemplo, si queremos que el cliente nos permita enviarle newsletters después de la
compra, la aceptación a recibir newsletters no puede estar donde ha de aceptar las
condiciones generales de contratación. O no podemos pedir permiso para enviar
newsletters y para ceder sus datos a empresas terceras, sino que ambas finalidades han de
estar separadas y se ha de conseguir el consentimiento explícito

Explícito es lo contrario a implícito o tácito. Por tanto, no se considera válido un

consentimiento del tipo “ a menos que haga click en esta casilla, autoriza a la empresa a
enviar información…”
La entrada o captura del dato puede venir de una venta online, formulario, llamada
telefónica (ha de quedar grabada la aceptación explícita de las condiciones).

Aquí también se tiene en cuenta y aplica la GDPR la transferencia que del mismo
hagamos, el llamado “Privacy by Design”. Es decir, el cómo se guarda ese dato; ¿en una
base de datos? ¿Está securizada y encriptada la comunicación? ¿Se hace una llamada a
una API o se hace un export o ETL para transferir esos datos a nuestro CRM? ¿Está to do
securizado y la empresa ha hecho esfuerzos y procesos para asegurar la privacidad,
desde el diseño del formulario hasta la transferencia de los datos?

1
Para fines puramente estadísticos y si explícitamente el usuario nos ha dado el consentimiento, se puede enviar una
encuesta para saber gustos, sexo etc y tener nuestros estudios de mercado. Si no, para realizar la compra, los gustos o
el sexo del cliente no es necesario saberlo ni tratar esa información

®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Campo de Aplicación de la GDPR
6

3.2 Tratamiento del dato

El dato ha de ser objetivo y relacionado con la actividad económica para la cual se ha

obtenido, y taxativamente para la finalidad específica.

Si la finalidad cambia hay que notificar al usuario y este ha de aceptar el nuevo uso.

Siguiendo con el ejemplo de la zapatería, yo puedo pedir que los usuarios se suscriban
a mi newsletter, pero ésta ha de estar relacionada con mi actividad económica.

En Marketing es habitual hacer co-Marketing, donde una marca promociona o

comunica los productos de otra. Para poder hacerlo, se necesitará el consentimiento
explícito del usuario, teniendo que preguntarle. Si sólo se ha suscrito a recibir
información de nuestra empresa, con la GDPR nos la jugaríamos si comunicamos otros
productos u otras marcas.

3.3 Retención y seguridad

La organización no puede retener los datos personales indefinidamente en el tiempo. Se

ha de establecer un tiempo después del cuál, se “ofuscarán” (aninimizarán) los datos
personales.

La GDPR no pone un plazo máximo, pero no por ello podemos poner límites que serían
un fraude de ley (por ejemplo, 100 años). Aunque depende de cada organización, un
horizonte de retención de datos personales de 3 a 5 años sería algo lógico y no
contravendría la GDPR.

La empresa ha de velar por la seguridad de los datos personales en todo el ciclo de vida
En los últimos años es habitual entrar del dato o “Data Journey”. También aquí aplica el principio del “Privacy by Design” en:
en webs con certificados de
seguridad SSL implementados en  Obtención; log-ins seguros, securización de los portales web o aplicaciones,
todo el sitio, no sólo en procesos de
encriptación de la transferencia de la información de formularios…
compra (protocolo https). Aunque
muchos lo hacen por recomendación  Las Bases de Datos donde los datos se almacenan han de estar securizadas, y la
de Google (SEO) y, aunque la GDPR
empresa ha de hacer un esfuerzo continuo para estar al día (ser consciente de
no habla en ningún momento de
las nuevas amenazas en seguridad y tomar las medidas preventivas adecuadas)
soluciones técnicas, implementar
certificados SSL y encriptar el tráfico
 Cualquier proceso donde se trate el dato
en nuestros sites debe convertirse en
una tarea de obligado cumplimiento  Procesos tecnológicos de back-up contra la pérdida de datos
en todas las empresas
La seguridad no se queda sólo en aspectos tecnológicos, sino a los procesos de
gestión de la información y datos que hay dentro de la empresa.

®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Campo de Aplicación de la GDPR
7

Por tanto, la GDPR nos obliga a comprobar, revisar y, donde proceda, rehacer los
procesos de la compañía, exactamente lo mismo que ha de hacerse en todo proyecto de
Transformación Digital.

Por ejemplo. Podemos tener toda la obtención, almacenamiento y tratamiento de datos

Pedir y acceder a los datos
que una empresa tiene sobre
securizado y privado según la GDPR, pero, ¿sabemos quién en la organización accede a los
un usuario será una petición mismos? ¿Tiene esa persona la formación correcta sobre GDPR? ¿Podría descargarse los
normal y habitual. Lo lógico, datos personales en un excel en local, en su portátil, y tener la empresa una brecha de
fácil y más conveniente sería
seguridad potencialmente muy grave? ¿Hay procesos para supervisar quién en la compañía
disponer de un portal (y
comunicarlo expresamente)
accede a datos personales de usuarios y qué hace con los mismos? ¿Sabemos el número
en el que el usuario pueda, de datos y dónde están estos datos en caso de que se creen copias o “alguien” se los
con su user y password, descargue? ¿Hay equipos que hacen la obtención de datos por su cuenta y riesgo sin
comprobar los datos 2
tenerlo controlado ?
personales que la empresa
maneja sobre él, como ya Todas estas preguntas son clave, ya que la norma marca que los ciudadanos pueden
hace, por ejemplo, Google. En
requerir a la empresa el acceso a los datos que la empresa tiene sobre él, por lo que la
el caso de no existir un
“fragmentación del dato” no puede ocurrir. Simplemente, no es una opción.
user/password (porque sólo
nos hemos suscrito al
El ciudadano europeo tiene los siguientes derechos durante todo el Data Journey:
newsletter) habrá que buscar
otras alternativas, como un  Derecho al acceso a sus datos y saber cuáles tiene la empresa almacenados. La
código SMS (si tenemos el
empresa no podrá tardar más de 1 mes en facilitar dicha solicitud
móvil) o algún tipo de
verificación en dos pasos  Derecho de rectificación de datos personales; han de existir procesos y
(enlace por e-mail válido
procedimientos para ello
durante dos horas)

 Derecho al olvido y supresión de sus datos (salvo lo que indique la ley. La GDPR
se refiere a la “ofuscación”, es decir, que la empresa no podrá usar esos datos
para campañas o estudios comerciales o comunicaciones, manteniendo sólo los
mínimos imprescindibles según la ley. Por ejemplo, un banco no puede sin más
borrar los datos y operaciones de un cliente, ya que la Administración podría
solicitarlos en caso de que este usuario estuviera siendo investigado por fraude)

3.3.1 ¿Dónde ha de residir el dato?

Hay controversia sobre esto. Dentro de la UE, hay libertad de transferencia, porque
aplica la GDPR.

Como hemos visto en la clase 2, los datos personales no se pueden meter en un

Dropbox, o un Google Drive (un Excel con datos personales) sin más, pero sí podemos
2
Es muy habitual que equipos comerciales visiten a clientes o prospects y recopilen datos. ¿Cómo los recopilan? ¿Con
un Excel que luego suben a la base de datos? ¿Y qué pasa con ese Excel? Por eso, como vimos en la clase 3, los
servicios cloud, el concepto de “Dumb Terminal”, el BYOD y unos procesos correctos con una securización adecuada
nos pueden facilitar cumplir con la GDPR. Pero para cambiar estos hábitos es necesario ese proyecto marco de
Transformación Digital

®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Campo de Aplicación de la GDPR
8

usar esos servicios para otro tipo de datos (mis fotografías personales, PDF con
whitepapers genéricos de productos, documentos que no contravengan la política
interna de empresa y no sean confidenciales como datos de empleados etc).

No obstante, sí se puede usar servicios como Dropbox, o soluciones en la nube de

empresas americanas (CRM Dynamics de Microsoft, Google Docs, CRM de Salesforce
etc) si tenemos un acuerdo firmado donde queda expresamente recogido el
cumplimiento de la GDPR por parte de estas empresas. Lógicamente, estas empresas
ofrecen dicha cobertura en sus servicios premium para empresas.
El “Privacy Shield” obliga a las Estas empresas deben suscribirse y cumplir con los principios recogidos en el “Privacy
empresas a colaborar con las
Shield”, cuyo objetivo es dar una mayor protección y limitar el acceso a los datos que se
autoridades europeas de
protección de datos, limitan el
transfieran de la Unión Europea a Estados Unidos.
acceso a las autoridades
estadounidenses de datos de Mito Realidad
ciudadanos europeos, y obliga
a la creación de la figura de un
La transferencia de datos fuera de la UE Los datos pueden ser transferidos fuera
mediador estadounidense en
caso de denuncias por
es ilegal de la UE sujeto a condiciones especiales.
violación de la privacidad de En la UE el flujo es libre
ciudadanos europeos entre
otras cosas.
Los datos personales han de ser El almacenamiento no tiene limitaciones
Aun así, se necesita
almacenados en el país de origen del en cuanto al país en el que ocurre
autorización o al menos
consultar con la UE si los mismo
datos residen fuera. Hay una
lista de países que la UE sí Las direcciones IP y los log-files no son La dirección IP así como los log-files se
califica como seguros y no se
formas de datos personales consideran como datos que pueden
necesita autorización, como
Canadá, Suiza o Liechtenstein
identificar a un individuo

3.4 Borrado del dato

El borrado del dato ha aparecido en todo el documento, y más que borrado se refiere a la
“ofuscación” o anonimización del dato.

La empresa ha de aninimizar los datos, es decir, deshacerse de todos los datos que
permitan identificar a un usuario (dirección IP, fotografías, datos de género etc… salvo que,
por la actividad de la empresa, estos deban almacenarse) y quedarse con los datos
mínimos que legal y contablemente debe almacenar (datos sobre una transacción
económica).

®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Campo de Aplicación de la GDPR
9

Lo que bajo ningún concepto podrá hacer la empresa es hacer ningún tipo de tratamiento
del dato del cliente una vez que éste ha pedido que se borren o cuando ha finalizado el
plazo comunicado y finalidad para el tratamiento de los mismos

4 Conclusiones

La GDPR pone especial énfasis en todo el ciclo de vida del dato, lo que aquí hemos
llamado “Data Journey”, y la gestión de la seguridad que hacemos sobre él.

La empresa ha de garantizar un esfuerzo constante, continuado en el tiempo, aplicar las

medidas para garantizar la privacidad del ciudadano europeo y revisar, adaptar y
establecer los procesos y procedimientos internos (tantos tecnológicos como de
personal) para que nunca se deje de aplicar la GDPR

Las organizaciones, tanto públicas como privadas, sólo podrán solicitar y tratar datos
personales que cumplan con lo siguiente:

 Sean necesarios para la finalidad deseada

 Las condiciones y finalidades sean claras y el usuario las haya aceptado

explícitamente

 El tratamiento de los datos sólo se realiza con la finalidad aceptada. Para finalidades
diferentes, se requiere nueva autorización y aceptación explícita de las mismas

 Los datos personales tengan un período temporal de almacenamiento y tratamiento

claro, específico y definido

 Se prohíbe tanto el mercadeo de datos como dar ciertos servicios a cambio de datos.
Es decir, la empresa es libre de dar o no servicios gratis, pero no con la condición de
obtener datos personales

5 Bibliografía Esencial

 “The GDPR Handbook: A Guide to Implementing the EU General Data Protection

Regulation”, de Adri Kolah

(https://www.amazon.es/GDPR-Handbook-Implementing-Protection-
Regulation/dp/0749474947/ref=pd_sbs_14_3?_encoding=UTF8&psc=1&refRID=
Q22KNSK55GZT8TGZE3G9)

®
INSTITUTO EUROPEO DE POSGRADO
Nota Técnica preparada por el Instituto Europeo de Posgrado. Este contenido es propiedad del Instituto Europeo de Posgrado.
Su difusión, reproducción o uso total o parcial para cualquier otro propósito queda prohibida. Todos los derechos reservados.