Recopilar información sobre potenciales clientes forma parte de la actividad de cualquier empresa, por lo que es fundamental asegurar la protección de los datos y la forma en que se utilizan.
O que é RGPD (Regulamento Geral da Proteção de Dados)? Regula la protección de las personas físicas al nivel de:
- Tratamiento de datos personales;
- Libre circulación de estos datos;
- Deroga la Directiva 95/46 / CE
Este reglamento se aplicará obligatoriamente a partir del 25 de mayo de 2018 en todos los países de la Unión Europea..
El Reglamento considera:
- la protección de las personas físicas en relación con el tratamiento de datos personales como un derecho fundamental.
que el tratamiento de los datos personales debe diseñarse para servir a las personas. - el respeto de todos los derechos fundamentales, en particular:
- el respeto de la vida privada y familiar;
- por el domicilio y las comunicaciones;
- la protección de los datos personales;
- la libertad de pensamiento, de conciencia y de religión;
- la libertad de expresión y de información;
Ante estas consideraciones y la evolución tecnológica que se produjo desde 1995 fue necesario:
- crear un entorno de protección de datos sólido y coherente;
- apoyado por una aplicación rigurosa de las normas;
Ls personas físicas deben poder controlar el uso que se hace de sus datos personales.
¿A quién se aplica el RGPD?
Se aplica al tratamiento de datos personales de titulares residentes en la UE, efectuado por entidades situadas en la UE.
Estas entidades pueden ser aquellas que determinan las finalidades y los medios de tratamiento de datos personales, pero también las que efectúan ese tratamiento en régimen de subcontratación.
Sin embargo, no se aplica si es efectuada por una persona física en el ejercicio de actividades exclusivamente personales o domésticas.
Definiciones esenciales:
Datos personales
Información relativa a una persona física identicada o identicable («titular de los datos»); se considerará identicable una persona física que pueda ser identificada, directa o indirectamente, en particular por referencia a un identificador, como por ejemplo: un nombre, un número de identificación, datos de localización, identificadores por vía electrónica o uno o más elementos específicos de la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física.
Tratamiento
Una operación o un conjunto de operaciones efectuadas sobre datos personales o sobre conjuntos de datos personales, por medios automatizados o no automatizados, tales como: recogida, registro, organización, estructuración, conservación, adaptación o alteración, recuperación, consulta, utilización, divulgación por difusión transmisión, difusión o cualquier otra forma de puesta a disposición, comparación o interconexión, limitación, supresión o destrucción.
¿Qué se puede hacer con los datos que se recogen?
El tratamiento que se puede hacer con los datos personales recogidos, debe ser lícito, leal y transparente. Se debe cumplir y nunca exceder el propósito para el cual fueron recogidos, siendo que si es necesario efectuar un nuevo tratamiento posterior de forma incompatible con el propósito inicial, deberá ser efectuada una nueva recogida, o solicitud de nuevo consentimiento. Se debe tener en cuenta que durante el tratamiento de los datos, éstos deben estar seguros, incluyendo la protección contra su tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental.
¿Qué derechos se deben asegurar al titular de los datos?
- Derecho de acceso;
- Derecho de rectificación y supresión;
- Derecho de portabilidad de los datos;
- Derecho de oposición y decisiones individuales automatizadas;
Entidades terceras prestadoras de servicios:
Muchas son las empresas que recurren a entidades terceras para la prestación de servicios que involucran compartir datos de sus colaboradores, clientes, etc. Se debe tener en cuenta que también esta entidad queda al abrigo del RGPD y para ello debe:
- presentar garantías suficientes de aplicar medidas adecuadas similares a las que presenta el responsable del tratamiento de datos;
- utilizar los datos únicamente para los fines inscritos en el consentimiento del titular de los datos;
- guardar los datos sólo durante el período necesario para cumplir la finalidad de la posesión de los mismos;
- no compartir estos datos con otras entidades sin solicitar autorización previa al responsable del tratamiento de datos.
En caso de detección de violación de los datos personales que están a su cargo, las empresas deberán notificar en primer lugar a CNPD (Comisión Nacional Protección de Datos), si es posible hasta 72h después del incidente (o detección del mismo).
Penalización por incumplimiento / Multas:
La CNPD deberá asegurar la aplicación de las multas, teniendo en cuenta varios aspectos como la gravedad y duración de la infracción, así como el carácter negligente o no de la misma.
En el peor de los casos, es decir, negligencia en los procedimientos, no notificación y no colaboración, la infracción se sancionará con la multa más grave, hasta 20 millones de euros o, hasta el 4% del volumen de negocios anual a nivel mundial, según el importe que sea más elevado.