GDPR: NUEVA NORMATIVA

A partir del día 25 de mayo de 2018 la actual normativa de protección de

datos dejará de aplicarse, y en su lugar se aplicará el Reglamento UE
2016/679, General de Protección de Datos (RGPD). También se aplicará
una nueva Ley de Protección de Datos, que especificará y complementará
ciertas partes del RGPD, pero sin modificarlo.
El nuevo RGPD contiene muchos conceptos y principios similares a la normativa
vigente hasta ahora. Sin embargo, también modifica algunos aspectos del
régimen actual y contiene nuevas obligaciones a las que, sea cual sea su actual
grado de cumplimiento de la normativa anterior, deberá adecuarse cuanto antes,
ya que a partir del 25 de mayo no existirá ningún período de gracia adicional.

¿A quién afecta la normativa?

No importa si el tratamiento de datos de carácter personal los realiza un
autónomo o una sociedad. El RGPD no realiza ninguna distinción en este sentido,
por lo que quienes desarrollen una actividad empresarial deberán cumplir con la
legislación de protección de datos independientemente de cómo la realicen.

¿Quién controla el cumplimiento?

Aunque estos cambios normativos derivan de una normativa de ámbito europeo,
el organismo encargado de velar por el cumplimiento del RGPD y de la nueva
LOPD seguirá siendo la Agencia Española de Protección de Datos (AEPD,
http://www.agpd.es).
En este sentido, la AEPD ha creado una sección específica en su página web
donde publica todo tipo de información de interés sobre el RGPD.
 Puede acceder a ella a través del siguiente enlace:
http://www.agpd.es/portalwebAGPD/temas/reglamento/

Qué se entiende por datos personales

Por datos de carácter personal se entiende únicamente cualquier información
que identifica o que hace posible la identificación de una persona física.
Ejemplo
En la medida en que permiten identificar a una persona física, se consideran datos
de carácter personal, por ejemplo, nombre y apellidos, email, domicilio personal,
fecha y lugar de nacimiento, DNI, voz e imagen, firma manuscrita y electrónica,
tarjeta sanitaria, huella y otros datos biométricos, número de teléfono, direcciones
IP, matrículas de vehículos, marcas y características físicas.
Esta normativa no se aplica a los datos de personas jurídicas. Por tanto, si
únicamente se tienen recopilados datos de sociedades limitadas o anónimas
(como su denominación, domicilio, teléfono...), no habrá obligación de cumplir
las obligaciones del RGPD.
Ahora bien, si junto con los datos de una persona jurídica también se dispone de
los datos de la persona física de contacto, sus datos también estarán sometidos al
cumplimiento de la nueva normativa. Eso sí, se presume, salvo prueba en
contrario, que el tratamiento de datos de contacto de las personas físicas que
presten servicios en una persona jurídica es lícito siempre y cuando se cumplan
los dos siguientes requisitos:
 Que el tratamiento se refiera únicamente a los datos necesarios para su
localización profesional.

 Que la finalidad del tratamiento sea únicamente mantener relaciones de

cualquier clase con la persona jurídica en la que el titular de los datos preste sus
servicios.
 Los datos de empresarios individuales (autónomos) estarán sujetos a estas
mismas reglas.
Finalmente, las obligaciones en materia de protección de datos no se aplican
cuando el tratamiento de datos personales se realiza en el ejercicio de
actividades exclusivamente personales o domésticas. Por ejemplo, si de manera
particular se mantiene una agenda con contactos personales.

Derechos reconocidos
La finalidad principal del RGPD es proteger el derecho fundamental a la
protección de datos de carácter personal, pues se considera que la recogida, el
uso y la comunicación de este tipo de datos pueden suponer un riesgo para este
derecho de las personas. Por esa razón esta normativa reconoce los siguientes
derechos:
 El derecho a que se requiera el previo consentimiento inequívoco del afectado
para la recogida y el uso de sus datos personales, o, en cualquier caso, que exista
otra base jurídica que legitime el tratamiento de los datos.

 El derecho del titular de los datos o afectado a ser informado sobre el destino y
uso que se va a hacer de sus datos.
Asimismo, se reconocen otros derechos asociados al tratamiento de los datos: los
tradicionales derechos de acceso, rectificación, cancelación y oposición
(denominados ‘ derechos ARCO’ ), y otros nuevos derechos que introduce esta
normativa, como el derecho al olvido, el derecho a la limitación del tratamiento,
el derecho a la portabilidad de los datos y el derecho a no ser objeto de una
decisión basada únicamente en el tratamiento automatizado, incluida la
elaboración de perfiles.

GDPR: ANALICE SU SITUACIÓN

 Comprobación del nivel de cumplimiento
La AEPD ha publicado una lista de verificación que le permitirá valorar la
situación de su empresa frente a las principales obligaciones del RGPD. Dicha
lista se estructura como un listado de preguntas que usted deberá hacerse y
responder adecuadamente para así determinar cuál es su grado de cumplimiento
de este reglamento.
La AEPD disponen de herramientas, que a través de preguntas muy concretas
permite valorar su situación respecto del tratamiento de datos personales que
lleva a cabo. En caso de confirmar que se encuentra en un nivel bajo de riesgo, la
herramienta genera diversos documentos adaptados a su empresa para que
cumpla las obligaciones que establece el RGPD (cláusulas informativas,
contractuales...).
https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/h
erramientas_ayuda/index-ides-idphp.php
El uso de la herramienta es anónimo, y la AEPD no identifica a quienes la usan. Ni
el uso de esta herramienta ni la obtención de los documentos resultantes
implican el cumplimiento automático del RGPD (de hecho, estas herramientas no
resultan útiles para empresas que tratan datos de riesgo).

Recopile información
Una buena forma de analizar la situación de su empresa e iniciar la adaptación a
la nueva normativa es realizar un inventario de los tratamientos de datos. En
concreto:
 Realice un inventario de todos los datos que recopile, almacene, utilice o
comunique a terceros, incluyendo el acceso de estos terceros a la información
(por ejemplo, por un acceso remoto a la aplicación informática que pueda
contener datos personales).
 En este inventario incluya los datos de carácter personal de las distintas
categorías de personas físicas que pueda identificar: clientes, clientes
potenciales, trabajadores, proveedores, usuarios y clientes web, imágenes
captadas por cámaras de videovigilancia, etcétera; así como:
o Los ficheros o aplicaciones informáticas que contienen los datos personales y a
través de los cuales se procesan.

o La ubicación de los datos personales.

o Los flujos o comunicaciones de datos a terceros, con mención de los medios

utilizados para compartir este tipo de información y la localización de los datos
(por ejemplo, en un servidor propio en las instalaciones de la empresa o en un
servidor de un tercero con identificación del país donde se ubica).

o El período de conservación de los datos y, en su caso, la forma de destruirlos.

Analice los riesgos

A continuación, analice los riesgos. Se trata de establecer hasta qué punto una
actividad de tratamiento puede causar un daño a los titulares de los datos. Por
ejemplo:
 Riesgos asociados a la protección de la información, tales como el acceso
ilegítimo a los datos (confidencialidad), la modificación no autorizada de los
datos (integridad) y la eliminación de los datos (disponibilidad).
 Riesgos asociados al cumplimiento de los requisitos legales del RGPD, tales
como el tratamiento de datos sin base jurídica o la falta de un procedimiento
para atender el ejercicio de los derechos de los interesados.
La AEPD ha publicado una guía sobre análisis de riesgos:
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/com
mon/Guias/2018/AnalisisDeRiesgosRGPD.pdf
 Si a partir de dicho análisis se concluye que existe un alto riesgo para una o
varias actividades de tratamiento, deberá realizar una Evaluación de Impacto
relativa a la Protección de Datos (EIPD).
Para confeccionar esta Evaluación de Impacto, la AEPD ha publicado una guía:
https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/com
mon/Guias/2018/Guia_EvaluacionesImpacto.pdf

¿Cómo realizar un análisis de riesgos?

La herramienta gratuita Facilita RGPD le ayudará a realizar este análisis de
riesgos, y le permitirá comprobar si su empresa está en alguna situación
considerada de alto riesgo.
En este sentido, esta herramienta toma en cuenta hasta tres factores de riesgo:
Factor de riesgo 1. Si su empresa pertenece a alguno de estos sectores:
 Sanidad

 Solvencia patrimonial y crédito.

 Generación y uso de perfiles.

 Actividades políticas, sindicales y religiosas.

 Servicios de telecomunicaciones.

 Seguros.

 Entidades bancarias y financieras.

 Actividades de servicios sociales.

 Publicidad.

 Videovigilancia masiva.
Factor de riesgo 2. Si su empresa trata alguno de los siguientes datos:
 Datos que revelen origen étnico o racial.
 Datos de opiniones políticas o religión.

 Datos de afiliación sindical (excepto cuotas sindicales).

 Datos genéticos.

 Datos biométricos dirigidos a identificar de manera unívoca a una persona.

 Datos de salud física o mental.

 Datos relativos a la vida sexual o a la orientación sexual.

 Datos relativos a condenas o infracciones penales.

 Geolocalización.
Factor de riesgo 3. Si su empresa realiza alguno de los siguientes tratamientos:
 Hacer o analizar perfiles.

 Hacer publicidad y prospección comercial masiva a potenciales clientes.

 Prestación de servicios de explotación de redes públicas o servicios de

comunicaciones electrónicas.

 K Gestionar los asociados o miembros de partidos políticos, sindicatos, iglesias,

confesiones o comunidades religiosas, fundaciones y otras entidades sin ánimo
de lucro cuya finalidad sea política, filosófica, religiosa o sindical.

 Gestión, control sanitario o venta de medicamentos.

 Historial clínico o sanitario.

¿Necesita un delegado de protección de datos?

Aunque la empresa será en todo caso la que responderá ante cualquier posible
infracción del RGPD, puede delegar determinadas funciones y obligaciones en
materia de protección de datos a algún trabajador (por ejemplo, puede crear las
figuras del responsable de la LOPD o de responsable de seguridad).
 Ejemplo
Puede encargar la parte más administrativa de llevanza del registro de actividades
del tratamiento de datos u otras formalidades a la persona que realice las tareas
administrativas en la empresa, aunque usted (o el consultor especializado) se
reserve la supervisión de todo el proceso. O puede delegar la parte más técnica al
responsable de sistemas o informático de la empresa, para coordinar y ejecutar las
medidas de seguridad en los ficheros y tratamientos informatizados con datos
personales.
Estas designaciones no implican la necesidad de retribuir adicionalmente al
empleado, siempre y cuando la función que se le delegue tenga relación con su
trabajo ordinario. En cualquier caso, el RGPD sí que prevé el nombramiento de
una nueva figura, el llamado ‘ delegado de protección de datos’ o DPO (por sus
siglas en inglés, Data Protection Officer).
En este sentido, están obligadas a nombrar un DPO:
 Las Administraciones Públicas.

 Las empresas del sector privado que realicen tratamientos que requieran una
observación habitual o sistemática de las personas, o bien que traten datos
especialmente protegidos a gran escala. También los centros docentes,
operadores de telecomunicaciones, entidades financieras, entidades de
publicidad y prospección comercial, centros sanitarios, operadores de juego,
empresas de seguridad privada, entre otros.
El DPO puede ser alguien interno de su empresa o externo (como un asesor a
quien encargue esta función mediante un contrato de servicios). En todo caso, el
DPO no puede ser cualquier persona, ya que es necesario que tenga
conocimientos jurídicos y prácticos en materia de protección de datos y no se
encuentre en una situación de conflicto de interés.

Responsable y encargado
 No confunda estas personas con otras figuras reguladas en el RGPD:
 Responsable del tratamiento. Es quien decide sobre el contenido, uso y
finalidad de los tratamientos de datos personales.
 Encargado del tratamiento. Es quien trata datos de carácter personal por
cuenta del responsable del tratamiento.
 Usuarios. Son las personas, internas o externas, que tengan acceso a los datos de
carácter personal de la empresa.
 Interesados o afectados. Son los titulares de los datos de carácter personal que
usted o su empresa gestionen (clientes, trabajadores, usuarios registrados de su
página web, prospects...).
Ejemplo
Cuando su empresa trata los datos personales de sus trabajadores para los fines de
cumplimiento y desarrollo de la relación laboral, su empresa es el responsable de
este tratamiento de datos.
Ejemplo
Si su empresa se dedica a prestar servicios informáticos que implican el acceso a
datos personales de sus clientes, será también el encargado del tratamiento de sus
empresas clientes, que actuarán como responsables del tratamiento.
En definitiva, el encargado del tratamiento es un prestador de servicios con
acceso a datos personales de sus empresas clientes.

GDPR: IDENTIFICACIÓN Y
DOCUMENTACIÓN

¿Está obligado a notificar sus ficheros a la AEPD?

En materia de protección de datos personales, un fichero es todo conjunto
organizado de datos de carácter personal, cualquiera que sea la forma o
modalidad de su creación, almacenamiento, organización y acceso. Por tanto,
pueden existir ficheros de datos personales almacenados en un ordenador y
también en formato papel.
Pues bien, con el nuevo Reglamento usted ya no deberá notificar la creación de
estos ficheros de datos personales para su inscripción en el Registro General de
Protección de Datos de la Agencia Española de Protección de Datos (como sí era
obligatorio hacer hasta ahora).
Por su parte, el tratamiento de datos personales es cualquier operación o
conjunto de operaciones que se realicen sobre datos personales, ya sea por
procedimientos automatizados o no. Con la identificacion y documentacion debe
identificar los tratamientos de datos personales que realice, a efectos de
mantener un registro de actividades del tratamiento (si estuviera obligado a
ello).

Identifique los tratamientos de datos

Para cumplir correctamente con esta obligación de mantener un registro de las
actividades de tratamiento, identifique los tratamientos de datos personales que
tiene su empresa. Una actividad de tratamiento comprende el uso de datos
personales de un determinado colectivo o categoría de personas. Así, una
actividad de tratamiento puede ser la gestión de personal, la gestión de historias
clínicas, la gestión de clientes, la gestión de proveedores, etc.
Tenga en cuenta que debe identificar aquellos tratamientos de datos personales
de los que su empresa sea ‘ responsable’ (como los de sus clientes, proveedores
y trabajadores), pero también de los que sea el ‘ encargado’ del tratamiento
(por ejemplo, si trata datos personales por cuenta de sus empresas clientes).

El registro de actividades de tratamiento

 Aunque ya no es necesario comunicar los ficheros de datos a la AEPD para su
inscripción, en algunos casos será necesario que mantenga un registro de las
actividades de tratamiento en el que se contenga la información que establece el
RGPD. En concreto, es obligatorio mantener este registro en los siguientes casos:
 Si su empresa emplea a más de 250 trabajadores, o bien

 si su empresa emplea a menos de 250 trabajadores, pero realiza un tratamiento

de datos que pueda entrañar un riesgo para los derechos y libertades de los
interesados, no sea ocasional o incluya categorías especiales de datos.
Ejemplo
Si su empresa trata datos de salud, afiliación sindical, origen racial o étnico,
convicciones religiosas o filosóficas, datos genéticos, biométricos, vida sexual, o
datos relativos a condenas o infracciones penales, estará obligado a mantener este
registro de actividades de tratamiento, aunque tenga menos de 250 trabajadores.
Si se da alguno de esos dos supuestos, usted estará obligado a mantener el
registro, tanto si realiza los tratamientos de datos como responsable como si lo
hace como encargado.
Este registro debe constar por escrito (es válido en formato electrónico), y
deberá mantenerlo actualizado y a disposición de la AEPD en el supuesto de que
ésta se lo solicite.
Contenido mínimo del registro El registro de actividades de tratamiento debe
contener toda una serie de información, dependiendo de si su empresa actúa
como responsable o como encargado del tratamiento.
Responsable. Si actúa como responsable del tratamiento, el registro debe
contener:
 El nombre y los datos de contacto de su empresa y, en su caso, del delegado de
protección de datos.

 Los fines del tratamiento.

 Una descripción de las categorías de interesados y de las categorías de datos
personales.

 Las categorías de destinatarios a quienes se comunicaron o comunicarán los

datos personales, incluidos los destinatarios en terceros países.

 Las transferencias internacionales de datos a un tercer país y la documentación

de las garantías adecuadas que legitimen dichas transferencias.

 Cuando sea posible, los plazos previstos para la supresión de las diferentes
categorías de datos.

 Cuando sea posible, una descripción general de las medidas técnicas y

organizativas de seguridad.
Encargado. Si actúa como encargado del tratamiento, el registro debe contener:
 El nombre y los datos de contacto de los responsables por cuya cuenta actúe su
empresa y, en su caso, del delegado de protección de datos.

 Las categorías de tratamientos efectuados por cuenta de cada responsable.

 Las transferencias internacionales de datos a un tercer país y la documentación

de las garantías adecuadas que legitimen dichas transferencias.

 Cuando sea posible, una descripción general de las medidas técnicas y

organizativas de seguridad.

GDPR: INFORMACIÓN Y
CONSENTIMIENTO

¿De qué debe informar a los interesados?

 Si su empresa obtiene datos personales (de clientes, trabajadores, usuarios de su
página web…), está obligada a informar al interesado de los tratamientos o usos
que va a realizar con esos datos. La obligación de informar corresponde a su
empresa si actúa como responsable del tratamiento. Este derecho de información
de los interesados es esencial, ya que tiene varias finalidades:
 Que el afectado pueda prestar su consentimiento (específico, informado e
inequívoco) para que se traten sus datos personales.

 Y que el afectado pueda ejercer los derechos de acceso, rectificación, limitación al

tratamiento, supresión, portabilidad y oposición que la normativa reconoce a los
interesados.
Básicamente, usted debe informar a los interesados (a continuación, le indicamos
cuándo debe hacerlo) de los siguientes extremos:
 De la identidad y la dirección de su empresa.

 De los datos del delegado de protección de datos (si existe en su empresa).

 De la finalidad del tratamiento de sus datos y la base jurídica del tratamiento.

 De los destinatarios de la información, esto es, los cesionarios (vea el capítulo 5).

 Del plazo o los criterios de conservación de la información.

 De la existencia de decisiones automatizadas, incluida la elaboración de perfiles

(en caso de que existan en su empresa)

 De la previsión de transferencias internacionales a terceros países.

 Del derecho a presentar una reclamación ante la Agencia Española de Protección

de Datos.

 Del carácter obligatorio o facultativo de las respuestas a las preguntas que usted
plantee a los interesados.
 De las consecuencias de la obtención de los datos o la negativa a suministrarlos.

 De la posibilidad de ejercitar los derechos de acceso, rectificación, limitación al

tratamiento, supresión, portabilidad y oposición.
Dentro de la obligación de informar sobre la finalidad del tratamiento, no sería
válido (pues se considera que no informa suficientemente) indicar finalidades
genéricas, del tipo “ utilizaremos sus datos para proporcionarle el mejor
servicio” , o “ cederemos sus datos a terceros cuyos productos o servicios puedan
ser de su interés” .

¿Cuándo proporcionar la información?

Si es usted quien obtiene los datos directamente del propio interesado, debe
proporcionarle la información indicada en el momento en el que solicite sus
datos, previamente a su recogida o registro.
En cambio, si obtiene los datos de personas distintas al interesado (por ejemplo,
por una cesión legítima de datos) debe informar al interesado de esa recogida de
datos en un plazo razonable, pero, en cualquier caso, antes de un mes desde que
se obtuvieron los datos personales o, en su defecto, en la primera comunicación
con el interesado.

¿Cómo obtener el consentimiento informado?

Como regla general, para que usted pueda tratar lícitamente los datos personales
de sus clientes (o de cualquier otra categoría de interesados) es necesario que,
además de informarles en los términos indicados, solicite y obtenga su
consentimiento previo e inequívoco.
A estos efectos, se entiende que existe dicho consentimiento inequívoco cuando
éste se ha prestado mediante una declaración o una clara acción afirmativa del
interesado. A diferencia de la normativa anterior, con el RGPD ya no se admiten
 formas de consentimiento tácito o por omisión, ya que éstas se basan en la
inacción del interesado.
Puede suceder que su empresa esté tratando unos datos personales desde antes
de la aplicación del RGPD, y que lo haga sobre la base del consentimiento del
afectado. Pues bien, en este caso dicho consentimiento sigue siendo válido, pero
sólo si se prestó de la forma en que exige el RGPD, es decir, sólo si se prestó
mediante una declaración o acción afirmativa del afectado.

Revocación
En todo caso, tenga en cuenta que el afectado tiene derecho a revocar su
consentimiento en cualquier momento y a través de un medio sencillo y gratuito.
La retirada del consentimiento no afecta al tratamiento de los datos que usted
haya realizado anteriormente, pues éste se basó en el consentimiento prestado
antes de su retirada.

GDPR: COMUNICACIÓN DE DATOS A

TERCEROS

La cesión de datos y prestación de servicios

No toda comunicación o revelación de datos a un tercero implica una cesión de
datos a efectos legales. En este sentido, cabe distinguir dos supuestos:
 La cesión de datos propiamente dicha.

 El acceso a datos para la prestación de un servicio.

Habrá una cesión de datos si el tercero que recibe los datos puede aplicarlos a
sus propias finalidades, decidiendo sobre el objeto y finalidad del tratamiento.
 Ejemplo
Si usted decide vender o alquilar su base de datos de clientes a un tercero (por
ejemplo, para que éste envíe publicidad de sus propios productos o servicios), habrá
una cesión de datos, en la que su empresa será el cedente y el tercero el cesionario.
En este caso, usted deberá cumplir los requisitos legales de la cesión de datos.
En cambio, si quien recibe los datos se limita a efectuar determinadas
operaciones sobre ellos, pero no decide sobre su finalidad, existirá un acceso a
datos para la prestación de un servicio.
Ejemplo
Si su empresa encarga la gestión de las nóminas a un asesor externo y para ello
comunica los datos personales de sus trabajadores a dicho asesor, existirá un
acceso a datos necesario para la prestación de un servicio, en el que su empresa
será el responsable del tratamiento de estos datos y el asesor será el encargado del
tratamiento (pero no un cesionario de los datos).

Requisitos para la cesión de datos

Para ceder datos de forma lícita su empresa deberá contar con alguna de estas
bases jurídicas:
 Que cuente con el consentimiento previo, específico e inequívoco de los titulares
de dichos datos.

 Que la cesión sea necesaria para la ejecución o desarrollo de una relación

contractual.

 Que constituya una obligación legal para el cedente.

 Que obedezca a intereses legítimos prevalentes del responsable o de terceros a

los que se comunican los datos.

 Que sirva para salvaguardar el interés vital del interesado o de otras personas.
 Requisitos del acceso a datos para la prestación de un servicio
La realización de una prestación de servicios con acceso a datos requiere la
existencia de un contrato escrito que establezca expresamente las obligaciones
del encargado del tratamiento. Con el RGPD, la responsabilidad última sobre el
tratamiento sigue estando atribuida al responsable, que es quien determina la
existencia del tratamiento y su finalidad. Ahora bien, el RGPD introduce cambios
importantes en las relaciones responsable-encargado que su empresa deberá
tomar en consideración independientemente de la posición que ocupe en el
tratamiento de los datos.
De esta manera, si su empresa es el responsable:
 Tendrá que elegir únicamente encargados que ofrezcan garantías suficientes de
que aplicarán medidas técnicas y organizativas apropiadas, de manera que el
tratamiento sea conforme con el RGPD. Este requisito también se aplica a los
encargados cuando subcontraten operaciones de tratamiento con otros
subencargados.

 Es aconsejable que exija una declaración por escrito de dicho encargado

conforme cumplirá las exigencias del RGPD y que le solicite, además, una prueba
del cumplimiento del RGPD antes de firmar el contrato y durante su vigencia.
Si, en cambio, su empresa es el encargado del tratamiento, tenga en cuenta:
 Considere la necesidad o conveniencia de mantener un registro de las
actividades del tratamiento.

 Su empresa tendrá que determinar las medidas de seguridad aplicables a los

tratamientos que realice.

 Deberá designar un delegado de protección de datos en los casos previstos por el

RGPD.
 Si destina los datos a una finalidad distinta a la establecida en el contrato suscrito
con el responsable (o si los comunica o utiliza incumpliendo las estipulaciones de
dicho contrato), responderá de las infracciones, pues se le considerará un
responsable del tratamiento a estos efectos.

 Respecto a los contratos entre responsable y encargado firmados con

anterioridad al 25 de mayo de 2018, el proyecto de nueva ley LOPD prevé que
dichos contratos sigan vigentes hasta su vencimiento; y si el contrato es de
duración indefinida, hasta mayo de 2022.

GDPR: DERECHOS DE LOS

INTERESADOS

El RGPD contiene los tradicionales derechos de acceso, rectificación,

cancelación y oposición, conocidos de forma conjunta bajo el acrónimo
ARCO, y también algunos nuevos derechos.
Con carácter general, su empresa, como responsable del tratamiento, debe
facilitar a los interesados el ejercicio de sus derechos, y los procedimientos y las
formas para ejercerlos deben ser visibles, accesibles y sencillos. Se exige, además,
que sea posible la presentación de solicitudes por parte de los interesados por
medios electrónicos, especialmente cuando realice el tratamiento por estos
medios (por ejemplo, a través de una página web).

Derecho de acceso
El derecho de acceso es el derecho que tiene el interesado a conocer y obtener
gratuitamente información sobre estos extremos:
 Sobre si sus datos de carácter personal están siendo objeto de tratamiento; y, en
caso afirmativo, sobre las categorías de datos objeto de tratamiento y la finalidad
del tratamiento que se esté realizando.

 Sobre el origen de tales datos (cuando no los haya obtenido del interesado) y las
comunicaciones que se hayan hecho de éstos o que se prevean realizar.

 De ser posible, el plazo previsto de conservación de los datos personales; y de no

ser posible, los criterios utilizados para determinar este plazo.

 El derecho a solicitar la rectificación, supresión o limitación del tratamiento o a

oponerse al tratamiento de sus datos.

 El derecho a presentar una reclamación ante la AEPD.

 El derecho a ser informado de las garantías adecuadas en caso de que sus datos
se transfieran a un tercer país.

 El derecho a obtener una copia de los datos personales objeto de tratamiento, sin
que ello afecte a derechos de terceros.

Derecho de rectificación
El derecho de rectificación es el derecho que permite al interesado exigir que se
corrijan errores o que se modifiquen los datos que sean inexactos o incompletos
para garantizar la certeza de la información que se esté tratando.

Derecho de supresión
El derecho de supresión (también llamado ‘ derecho al olvido’ ) es el derecho
que permite al interesado solicitar que se supriman los datos en los siguientes
casos:
 Cuando sus datos ya no resulten necesarios para la finalidad para la que fueron
recogidos.
 Cuando revoque su consentimiento y no exista otra base jurídica que legitime el
tratamiento de sus datos.

 Cuando se oponga al tratamiento de sus datos sin que prevalezcan otros motivos
legítimos para conservarlos.

 Cuando los datos se hayan tratado ilícitamente.

 Cuando así lo establezca una norma de rango legal.

 Cuando se trate de datos de menores de 13 años obtenidos en el marco de un

servicio en Internet.

Derecho a la limitación del tratamiento

El derecho a la limitación del tratamiento es el derecho que tienen los
interesados a que no se apliquen sus datos personales a las operaciones de
tratamiento que en cada caso corresponderían. Como responsable del
tratamiento, durante el tiempo en que dure la limitación usted – o su empresa–
sólo podrá tratar los datos afectados – más allá de su conservación– con el
consentimiento del interesado, para la formulación y el ejercicio o defensa de
reclamaciones y para proteger los derechos de otra persona física o jurídica.

Derecho a la portabilidad de los datos

El derecho a la portabilidad significa que el interesado tiene derecho a recibir los
datos personales que le incumban y que haya facilitado al responsable. La copia
de sus datos que se facilite al interesado debe ofrecerse en un formato
estructurado, de uso común y lectura mecánica. Asimismo, el derecho a la
portabilidad permite al interesado solicitar que sus datos personales se
transmitan directamente de un responsable a otro sin necesidad de que le sean
transmitidos previamente a él, si ello es técnicamente posible.
Derecho de oposición y decisiones individuales automatizadas
Consiste en el derecho del interesado a oponerse a que se traten sus datos, por lo
que el responsable deberá dejar de tratarlos salvo que acredite motivos legítimos
para seguir haciéndolo. Este derecho también comprende el derecho del
interesado a no ser objeto de una decisión basada únicamente en el tratamiento
automatizado de sus datos – incluida la elaboración de perfiles– que produzca
efectos jurídicos en él o le afecte significativamente de modo similar (este
derecho no se aplicará si la decisión automatizada es necesaria para la
celebración o ejecución de un contrato, si está autorizada por una norma legal o
bien si se basa en el consentimiento explícito del interesado).

Posible reclamación del afectado

Si un interesado ejercita alguno de estos derechos, recuerde que usted está
obligado a contestarle en el plazo de un mes, aunque no tenga datos suyos. Y en
caso de no dar curso a su solicitud, deberá informarle de la posibilidad de
presentar una reclamación ante la AEPD y de ejercitar acciones judiciales.
Además, es necesario que conteste siempre a estas solicitudes por un medio que
permita acreditar su envío y la recepción de su respuesta por parte del
interesado.

GDPR: MEDIDAS DE SEGURIDAD

La normativa vigente hasta ahora establecía con detalle y de forma

exhaustiva las medidas de seguridad que debían aplicarse según el tipo de
datos objeto de tratamiento. En cambio, con el nuevo RGPD esta cuestión se
modifica:
 A partir de ahora, y tanto si usted es el responsable como el encargado del
tratamiento, sigue estando obligado a adoptar medidas técnicas y organizativas
apropiadas para garantizar la seguridad de los datos, según los riesgos que se
hayan detectado al realizar el análisis previo.

 Sin embargo, el nuevo RGPD no especifica qué medidas de seguridad concretas

hay que aplicar en cada caso, sino que éstas se deben determinar por el
responsable o por el encargado según diversas variables: el estado de la técnica,
los riesgos que existan para los derechos y libertades de los interesados, la
naturaleza, el alcance, el contexto y los fines del tratamiento y los costes de
aplicar las medidas.
No obstante, la propia AEPD ha señalado que, en algunos casos, se pueden seguir
aplicando las mismas medidas de seguridad que establece la normativa hasta
ahora vigente si del análisis de riesgos se concluye que dichas medidas son
idóneas para ofrecer un nivel de seguridad adecuado (en caso contrario, será
necesario completar dichas medidas o prescindir de alguna de ellas).

Niveles de seguridad
En muchos casos se pueden seguir aplicando las mismas medidas de seguridad
que establecía el Reglamento de Desarrollo de la LOPD, si estas ya ofrecen un
nivel adecuado de seguridad. Por tanto, recuerde que dicha norma establece tres
niveles de seguridad (básico, medio y alto), dependiendo de la naturaleza de los
datos personales tratados.
Estos niveles de seguridad son acumulativos. Por tanto:
 Los ficheros o tratamientos de datos de carácter personal de nivel básico sólo
deben adoptar las medidas de seguridad de nivel básico.

 Los ficheros y tratamientos de datos de nivel medio deben adoptar tanto las
medidas de seguridad de nivel básico como las de nivel medio.
 Los ficheros y tratamientos de datos de nivel alto deben aplicar las medidas
previstas en los niveles básico, medio y alto.

Nivel alto
Son ficheros o tratamientos de nivel alto, entre otros, los que se refieren a datos
de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida
sexual. Una de las medidas de seguridad que se debe implantar en estos ficheros
de nivel alto (si son automatizados) es, por ejemplo, la del registro de accesos, de
manera que quede registrado el usuario que ha intentado acceder al fichero, la
hora, el fichero, el tipo de acceso y si dicho acceso ha sido autorizado o denegado.

Nivel medio
Son ficheros o tratamientos de nivel medio, entre otros, aquellos relativos a la
prestación de servicios de solvencia patrimonial y créditos, aquellos de los que
sean responsables entidades financieras para las finalidades relacionadas con la
prestación de servicios financieros y aquellos que contengan un conjunto de
datos que ofrezcan una definición de las características o de la personalidad y
que permitan evaluar determinados aspectos de la personalidad o del
comportamiento de las personas.
Una de las medidas que se debe implantar para estos ficheros o tratamientos de
datos de nivel medio es la realización de una auditoría (interna o externa) cada
dos años a fin de verificar que se cumplen las medidas de seguridad que exige la
normativa de protección de datos.

Nivel básico
Es un fichero o tratamiento de datos básico cualquier otro fichero distinto a los
indicados que contenga datos de carácter personal.
 Una de las medidas de seguridad de nivel básico (y que, por tanto, debe
implantarse en todo tipo de ficheros automatizados) es que se establezca un
procedimiento de asignación y distribución de contraseñas y que las contraseñas
se cambien, al menos, una vez al año.
También se consideran de nivel básico los ficheros o tratamientos que contienen
datos de nivel medio o alto sólo de forma accidental o accesoria, pero sin guardar
relación con su finalidad. Por ejemplo, un hotel dispone de los datos de alergias
alimentarias de un cliente. Éste es un dato de nivel alto por referirse a la salud,
pero está en el fichero de forma incidental, pues la finalidad de dicho fichero es el
hospedaje.

El documento de seguridad
Aunque el nuevo RGPD no exige expresamente que se confeccione un
‘ documento de seguridad’ , es aconsejable que se haga, en los mismos términos
que exigía la normativa anterior. En este sentido, el documento de seguridad es
un documento interno que debe mantenerse actualizado en todo momento y
exhibirse en caso de inspección por parte de la AEPD. También debe demostrarse
que se está aplicando de forma efectiva.
Las menciones mínimas del documento de seguridad son las siguientes:
 Ámbito de aplicación, especificando de forma detallada los recursos protegidos
(servidores, ordenadores, tablets, discos duros externos u otros elementos de
almacenaje con datos de carácter personal).

 Medidas, normas, procedimientos de actuación, reglas y estándares para

garantizar el nivel de seguridad exigido.

 Funciones y obligaciones del personal en relación con el tratamiento de los datos

de carácter personal.
 Estructura de los ficheros y descripción de los sistemas de información que los
tratan.

 Procedimiento de notificación, gestión y respuesta ante incidencias.

 Procedimientos de realización de copias de respaldo y de recuperación de datos

en los ficheros o tratamientos automatizados.

 Medidas adoptadas para el transporte, la destrucción y/o la reutilización de

soportes y documentos.
Cuando se trate de ficheros o tratamientos de datos de nivel medio o alto, en el
documento de seguridad se debe incluir, además de los apartados anteriores, la
identificación del responsable de seguridad y la obligación de realizar una
auditoría bianual para verificar la correcta cumplimentación de las medidas de
seguridad.

GDPR: PÁGINAS WEB

Aviso legal
Si usted tiene una página web meramente informativa, que utiliza como
escaparate virtual de los productos o servicios que ofrece su empresa pero con la
que no capta datos personales, el RGPD no resultará de aplicación. Ahora bien, la
cosa cambia – y usted deberá tener en cuenta esta norma necesariamente– , por
ejemplo, en los siguientes casos:
 Si incluye en su página web un campo en el que solicita la dirección electrónica
de los usuarios del sitio (para enviarles un boletín de noticias, catálogos...).

 Si incluye un formulario de contacto que los usuarios tienen que completar para,
por ejemplo, enviar consultas.
 Si su página web permite la compraventa en línea de sus productos o servicios,
para lo cual los usuarios tienen que facilitar sus datos personales.
En todos estos casos, usted estará obteniendo datos personales de los usuarios
de su página web, por lo que es necesario que inserte un aviso legal para dar
cumplimiento al deber de información y consentimiento. Es necesario que los
usuarios acepten expresamente dicho aviso.
Ejemplo
Puede hacer que los usuarios marquen una casilla al pie del formulario, justo en
donde se inserte un enlace que diga “ Acepto la Política de Privacidad” (o similar)
y que reenvíe a la información requerida por el RGPD.

‘ Spam’
Utilizar Internet para enviar publicidad es un medio rápido, barato y sencillo
para llegar a muchos destinatarios. No obstante, las empresas no pueden enviar
correos electrónicos de forma indiscriminada, ya que lo prohíbe la Ley de
Servicios de la Sociedad de la Información y de Comercio Electrónico. Vea
entonces qué debe hacer para evitar que sus envíos puedan ser calificados como
spam (correo electrónico no deseado):
 Los destinatarios de la publicidad deben haber consentido previamente el envío.
Por tanto, asegúrese de que en todos los formularios de su empresa donde se
recogen datos de posibles clientes se menciona que éstos le autorizan
expresamente a enviarles publicidad.

 No obstante, si el destinatario de la publicidad ya es cliente de su empresa y

usted le envía información sobre productos o servicios similares de su propia
empresa a los que él le adquirió anteriormente, no será necesario disponer de
esta autorización previa para poder enviarle publicidad.
 No olvide que el propio email debe informar al destinatario de la posibilidad de
revocar el consentimiento otorgado inicialmente para el envío de la publicidad, e
incluir una dirección electrónica a la que dirigirse para solicitar dicha revocación.

Bases de datos de terceros

Si usted quiere hacer una campaña de publicidad por e-mail y decide comprar
una base de datos con correos electrónicos de empresas, tome algunas cautelas:
aunque le indiquen que esa base de datos cumple con la normativa de protección
de datos y de envío de e-mails comerciales, no se fíe y verifique diversas
cuestiones.
 El destinatario debe haber autorizado que se le envíen emails comerciales
(excepto si ya es cliente de la empresa que los envía y la publicidad se refiere a
productos similares a los que compró en su día).

 Además, debe incluirse en el email una dirección electrónica para que el

destinatario pueda oponerse a seguir recibiendo comunicaciones comerciales.
Por tanto, la empresa que le vende la base de datos debería disponer de la
autorización de los titulares del correo electrónico conforme aceptan la
recepción de comunicaciones comerciales de terceros. Esta obligación debe
cumplirse aunque las direcciones de correo electrónico sean de empresas, pues
la normativa relativa a los emails comerciales también se aplica en estos casos.Y
también debe cumplirse aunque los correos electrónicos se obtengan de fuentes
públicas.

‘ Cookies’
Si su empresa dispone de una página web, es probable que utilice cookies, que
son unos pequeños ficheros que almacenan información del usuario que accede a
la web (como, por ejemplo, información sobre los hábitos de navegación de ese
usuario para después enviarle publicidad personalizada).
 Pues bien, la ley obliga a informar a los usuarios y a obtener su consentimiento
para utilizar o instalar cookies, y prevé sanciones importantes en caso de
incumplimiento.
Eso sí: no deberá cumplir esa obligación si su web sólo utiliza cookies técnicas,
que sirven para que la web se cargue correctamente, o cookies necesarias para
prestar un servicio solicitado por el usuario (como, por ejemplo, el carrito de la
compra virtual).
Por tanto compruebe con su informático qué tipo de cookies utiliza su web.

¿Qué pasa con los datos en la nube?

Si usted almacena en los servidores del proveedor de cloud datos personales de
terceros, tome precauciones, pues no todos los proveedores de alojamiento
cumplen con los requisitos sobre protección de datos establecidos en el RGPD.
Si el servidor en el que se almacenarán los datos está ubicado en España,
asegúrese de que el contrato que usted acepta incluye las siguientes obligaciones
a cargo del proveedor de servicios cloud:
 Que éste se compromete a no aplicar o utilizar los datos con fines distintos a los
acordados y a no comunicarlos a terceras personas.

 Que éste implantará medidas adecuadas al nivel de riesgo de los tratamientos de

los datos, evitando que se destruyan, se alteren o se acceda a ellos sin
autorización.

 Que al finalizar el contrato devolverá los datos y no conservará copia alguna.

Si el servidor se localiza fuera de España pero dentro del Espacio Económico
Europeo (Unión Europea e Islandia, Liechtenstein y Noruega), verifique que se
menciona el cumplimiento de las leyes del país en cuestión.
Dado que la normativa europea está armonizada en esta materia, no habrá
necesidad de requerir garantías jurídicas adicionales a las que se exigen a
cualquier empresa española.
En caso de ubicación fuera del Espacio Económico Europeo (EEE), por ejemplo
en Estados Unidos – de hecho, los servicios más extendidos de cloud computing
están establecidos en dicho país– , asegúrese de que su proveedor está suscrito a
los principios de “ escudo de privacidad” (privacy shield). La Unión Europea
reconoce este sistema como seguro a efectos de protección de datos y las
transferencias realizadas al amparo de este mecanismo no requerirán la
autorización previa de la AEPD – o bien de que ha suscrito cláusulas
contractuales tipo aprobadas por la Comisión Europea– .
De lo contrario, si los datos se ubican en algún país que no ofrece las garantías
equivalentes de protección de datos, y no puede aportar garantías consideradas
adecuadas, incluyendo, por ejemplo, el consentimiento explícito de los
interesados, la transferencia internacional de datos requerirá la autorización
previa del director de la AEPD.

GDPR: CÁMARAS DE VIDEOVIGILANCIA

Requisitos
Las cámaras no podrán obtener imágenes de espacios públicos, salvo que ello sea
inevitable. Así, una cámara situada en la puerta principal o de entrada o salida de
personas no deberá tomar imágenes de toda la calle en la que se encuentre.
La colocación de cámaras debe respetar el principio de proporcionalidad y el
derecho a la intimidad.
Por tanto, no las coloque de forma que capten imágenes en zonas privadas (como
en los vestuarios de sus trabajadores); colóquelas sólo en aquellas zonas donde
razonablemente puedan cumplir con su finalidad (por ejemplo, en el acceso a sus
instalaciones). Asimismo, es necesario que informe de la colocación de las
cámaras con un cartel explicativo situado en un lugar visible de las zonas
videovigiladas, en el que se informe, como mínimo, de la identidad de su empresa
y la posibilidad de ejercitar los derechos que el RGPD reconoce a los interesados.
Si las cámaras que instale en su empresa van a estar conectadas a una central de
alarmas, será necesario que este servicio se lo preste una empresa de seguridad
privada (solicite a dicha empresa que le acredite que cumple este requisito). Y
como dicha empresa tendrá acceso a las imágenes captadas, su empresa deberá
firmar con ella un contrato de “ acceso a datos por cuenta de terceros” .

Si además graba las imágenes...

Si el sistema de videovigilancia instalado en su empresa graba las imágenes,
deberá conservar la grabación de las imágenes durante un plazo máximo de un
mes desde su captación, aunque podrá conservarlas por más tiempo si fuera
necesario para acreditar la comisión de actos que atenten contra la integridad de
personas, bienes o instalaciones.

Finalidad
Cuando la finalidad de la videovigilancia sea prevenir infracciones, evitar daños a
las personas o bienes objeto de protección o impedir accesos no autorizados, los
servicios de videovigilancia deben ser prestados necesariamente por vigilantes
de seguridad. En cambio, si el objeto principal de la videovigilancia es
únicamente la comprobación del estado de instalaciones o bienes o el control de
accesos a aparcamientos y garajes, dicha videovigilancia podrá realizarse por
personal distinto al de seguridad privada.
 GDPR: INFRACCIONES Y SANCIONES

De acuerdo con el nuevo Reglamento, incumplir la normativa de protección

de datos de carácter personal se sanciona con multas económicas que
pueden ser muy elevadas. En este sentido, el RGPD clasifica las infracciones
en dos categorías:
 Las menos graves se sancionan con hasta 10 millones de euros o el 2% del
volumen de facturación anual de la empresa (la más alta de las dos).

 Y las más graves se sancionan con multas que pueden alcanzar hasta 20 millones
de euros o el 4% del volumen de facturación anual de la empresa (la más alta de
las dos).
Tenga en cuenta que el régimen sancionador se aplica a los responsables y
encargados del tratamiento.
En cambio, no se aplica al delegado de protección de datos.
Para fijar la cuantía de la sanción (dentro de los márgenes establecidos para cada
una de las infracciones) se tienen en cuenta una serie de criterios de graduación
(por ejemplo, el volumen de negocio o actividad del infractor, el grado de
intencionalidad, el que haya reincidencia o no, los perjuicios causados a las
personas interesadas y a terceras personas...).

Apercibimiento
No obstante, el RGPD, prevé la posibilidad de que la sanción económica sea
sustituida por un apercibimiento, para que el infractor adopte las medidas
correctoras que se le indiquen.
En todo caso, tenga en cuenta que esta posibilidad es una medida excepcional.
En este sentido, la AEPD tiene potestad discrecional para aplicarla en función de
la naturaleza de los hechos.
 Cuando la AEPD apercibe en lugar de imponer una sanción económica, el
responsable del fichero o el encargado del tratamiento deberá acreditar la
adopción de las medidas correctoras indicadas por la AEPD en su resolución de
apercibimiento. En caso de no acreditarse el cumplimiento de estas medidas, la
AEPD ordenará la apertura de un procedimiento sancionador por dicho
incumplimiento, pudiendo imponer una sanción por infracción muy grave.
La AEPD ha aplicado el apercibimiento como alternativa a la sanción económica
en numerosas ocasiones.
Por ejemplo:
 Por el hecho de instalar un sistema de videovigilancia en las zonas comunes de la
empresa sin informar a los afectados.

 Por el hecho de informar a los clientes de la creación de la página web de la

empresa enviándoles un correo electrónico sin copia oculta (de manera que
todos los destinatarios podían ver las direcciones de los demás).
En cambio, se ha denegado el apercibimiento y se ha impuesto una multa en los
casos de:
 Abandono de documentos en la vía pública.

 Envío de comunicaciones comerciales por e-mail o SMS sin el consentimiento

previo y expreso de los destinatarios (salvo si éstos eran clientes de la empresa).

 Envío de mensajes electrónicos a destinatarios múltiples sin copia oculta (se

trataba de datos especialmente protegidos).

 Difusión en una red social del parte de baja médica de una empleada.

 Publicidad en Internet de datos médicos por parte de una clínica (aunque se trató
de un error puntual).

 Difusión en Internet por parte de la empresa del currículum de un trabajador.

Reclamación judicial en reclamación de daños y perjuicios
Asimismo, sepa que el RGPD otorga el derecho a toda persona que haya sufrido
daños y perjuicios (materiales o inmateriales) como consecuencia de una
infracción del Reglamento, a reclamar una indemnización ante los tribunales
competentes al responsable o encargado del tratamiento. Y ello sin perjuicio de
su derecho a presentar una denuncia ante la AEPD por dicha infracción.

El contenido pertenece a la línea editorial Apuntes & Consejos de Indicator y ha colaborado en la

elaboración Marc Gallardo (abogado y socio de RSM Spain)
Fuentes:
Dossier Apuntes y Consejos “ La nueva normativa sobre protección de datos: actúe con seguridad” .
Claves Prácticas “ Protección de datos en las Relaciones Laborales” .
Guía práctica de Protección de Datos para despachos de abogados.
Compliance Protección de Datos de Lefebvre - El Derecho.