Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GUÍA BÁSICA
REGLAMENTO GENERAL
DE PROTECCIÓN DE DATOS
(RGPD)
03 Introducción
10 ¿Qué es el consentimiento?
12 Requisitos del consentimiento
14 ¿Qué información hay que ofrecer al interesado?
15 El consentimiento explícito
17 La revocación del consentimiento
18 El consentimiento tiene que ser acreditable
26 Conclusión
Nota: Esta guía es solo para fines informativos y no debe considerarse como consejo legal. Recomendamos
consultar con sus asesores legales para determinar con precisión cómo implementar y cumplir en su
empresa con el nuevo RGPD.
2
Introducción
A día de hoy, prácticamente todas las empresas han oído hablar de este
nuevo Reglamento, y saben que si están almacenando y procesando datos
personales de residentes de la UE, algo van a tener que cambiar al
respecto para cumplir con esta nueva ley.
El nuevo Reglamento
General de Protección Dado que la finalidad del nuevo RGPD es devolver a los residentes en la UE el
de Datos será control de sus propios datos, su aplicación obligatoria definitiva no sólo tendrá
implicaciones para las empresas europeas, sino para cualquier empresa que
aplicable a partir de
almacene y trate con datos de residentes de la UE.
mayo de 2018
Entre los cambios más relevantes que esta ley va a introducir destacan la
importancia de poder demostrar la licitud en la obtención y el tratamiento
de datos personales (artículo 6 y artículo 24), la obligación de realizar
evaluaciones de impacto de la privacidad de forma regular, y el requerimiento
de seguir protocolos más estrictos para reportar brechas de seguridad a las
autoridades de control competentes de cada país, entre otros muchos
cambios.
3
Todas estas novedades pueden parecer menores, pero en realidad son de
largo alcance: por un lado, se trata de entender para qué necesita una
empresa almacenar y tratar datos personales, si es que realmente necesita
hacerlo dado su modelo de negocio.
4
Objetivos del Reglamento
Europeo de Protección
de Datos
1.
Fortalecer la seguridad y la protección de
la privacidad de los residentes en UE.
2.
Aumentar las oportunidades de negocio
de las empresas al eliminar los obstáculos
a la circulación de los datos personales
dentro de la Unión Europea.
Por ello, el texto refuerza y especifica los derechos de los interesados, así
como las obligaciones de quienes tratan y determinan el tratamiento de
los datos de carácter personal.
Datos personales
• Nombre y apellidos.
• Número de identificación.
• Datos de localización.
• Un identificador online.
• Uno o varios elementos propios de la identidad física, fisiológica,
genética, psíquica, económica, cultural o social de dicha persona.
6
¿Quién está obligado
a cumplir con el nuevo
RGPD?
El RGPD se aplicará, como hasta ahora, a las empresas que procesan
datos personales establecidas en la Unión Europea.
Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva,
las organizaciones no establecidas en la Unión deberán nombrar un
representante en la Unión Europea, que actuará como punto de contacto
con las autoridades de control y los residentes.
7
¿Quién es quién en
el nuevo RGPD?
8
Principios que rigen el
procesamiento de los datos
personales
9
El consentimiento del
interesado para tratar sus
datos personales
El consentimiento es una de las condiciones de licitud para el
tratamiento de los datos personales (ver la condición a) del apartado
anterior).
1. ¿Qué es el consentimiento?
no se admiten formas
de consentimiento “El consentimiento es una declaración o una
tácito o por omisión. toda manifestación de clara acción afirmativa,
voluntad libre, específica, el tratamiento de datos
informada e inequívoca personales que le
por la que el interesado conciernen.”
acepta, ya sea mediante
claramente en este contexto que el forma online será válido insertar una casilla en
un formulario web que permita acreditar que el
interesado acepta la propuesta de
interesado consiente al tratamiento de sus datos
tratamiento de sus datos personales. personales. Como ya hemos comentado, esta
Por tanto, el silencio, las casillas ya casilla de ninguna forma puede estar pre
marcadas o la inacción no deben marcada.
constituir consentimiento.”
11
2. Requisitos del consentimiento
Todos estos requisitos del consentimiento son objeto de análisis por el Grupo
de Trabajo del Artículo 29 (GT29). Los analizamos a continuación:
Libre
Para que el consentimiento sea libre debe existir una opción real por parte
del individuo para aceptar el tratamiento de sus datos.
Específico
Informado
13
3. ¿Qué información hay que ofrecer al interesado?
14
4. El consentimiento explícito
“For example, in the digital or online context, a data subject may be able to
issue the required statement (...) by using an electronic signature.”
15
Transferencias de datos personales
a terceros países
16
5. La revocación del consentimiento
Lo importante para cumplir con el nuevo Reglamento es que debe ser tan fácil
retirar el consentimiento como darlo.
Por ello, las empresas también deben poner a disposición de sus clientes
mecanismos para revocar fácilmente su consentimiento, e informarles
además sobre dichos mecanismos.
17
6. El consentimiento tiene que ser acreditable
Artículo 7.1
Debido al principio de
responsabilidad proactiva
(o accountability) el
consentimiento debe ser
acreditable.
18
Soluciones para obtener
y acreditar que se ha
obtenido el consentimiento
Como hemos explicado, una de las condiciones mediante
las cuales el tratamiento de datos es lícito se produce si
el interesado da su consentimiento, que debe de ser
lícito también.
Entre los requisitos que establece el RGDP para que el consentimiento sea
lícito es que haya sido obtenido de forma inequívoca.
Debemos tener presv caso de tener que acreditar • ¿Quién otorgó el consentimiento?
que el consentimiento se ha obtenido conforme
• ¿Cuándo y cómo se otorgó el
al Reglamento, se debe poder demostrar
fehacientemente que el consentimiento fue
consentimiento?
obtenido de manera lícita. Para ello, es necesario • ¿Qué información recibió el
responder a las siguientes preguntas: interesado en el momento de otorgar el
consentimiento?
19
Para contextualizar mejor las soluciones que ofrecemos, el escenario sería el
siguiente:
20
¿Qué soluciones ofrecemos para obtener el consentimiento de
forma lícita?
Esta certificación tiene plena validez jurídica, dotando a las empresas de una
herramienta con la cual puedan certificar que el consentimiento de un
interesado fue prestado en un momento exacto, y en qué condiciones
éste fue otorgado.
21
Los datos que almacenamos en este caso son la dirección IP, el browser,
la fecha y la hora de la acción. Además, los términos y condiciones
aceptados quedan incluidos en el documento probatorio.
Facilidad de uso
Ejemplos
Ejemplos
Facilidad de uso
Ejemplos
24
Level 4 - Reinforced eConsent
Este paso debe completarse una vez se haya firmado el contenido del
consentimiento para poder finalizar el proceso.
Facilidad de uso
Ejemplos
Los casos de uso de esta solución son los mismos que los de la solución 3.
La diferencia entre ambas soluciones es que la 4 representa el nivel máximo
de identificación del interesado, y es recomendable usarla en aquellos
procedimientos en los que la exigencia de demostrar la identidad de la persona
que da su consentimiento sea más elevada.
Por ejemplo, esta solución se podría usar en aquellos casos en los que las
compañías están obligadas por ley a verificar la edad de la parte interesada,
como en la venta de alcohol online, o en las casas de apuestas online.
25
Conclusión
Adaptar los mecanismos de recolección y tratamiento de datos para respetar
la nueva visión del Reglamento es uno de los retos más importantes que los
responsables o encargados del tratamiento tendrán que asumir.
Además hay que tener en cuenta que, tanto en el caso del tratamiento de
datos basado en la obtención del consentimiento como en el resto de casos,
la carga de prueba conforme se han obtenido los datos personales de
cualquier individuo de forma lícita no recae sobre el demandante, sino sobre
el demandado.
Ello significa que son las empresas las que deben demostrar que cumplen
con el nuevo Reglamento, justificando y acreditando cada una de las acciones
realizadas para ello.
27
Signaturit
Signaturit facilitates closing contracts with an intuitive
and legally binding eSignature solution, without having to
install any applications.
www.signaturit.com
Follow us: