Protección de datos

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD-GDD) es una ley orgánica aprobada por las Cortes Generales de España que tiene por objetivo adaptar el Derecho interno español al Reglamento General de Protección de Datos. Esta ley orgánica deroga a la anterior Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal³​ (aunque se mantiene vigente para la regulación de ciertas actividades).^{n. 1}​^{n. 2}​

Esta ley entró en vigor el 7 de diciembre de 2018.

¿En qué consiste la Ley de Protección de Datos?

La Ley de Protección de Datos se basa en la premisa de que todos los datos personales de los usuarios deben ser protegidos por los legisladores europeos. Se considera “dato personal” a todo dato informativo capaz de hacer identificada o identificable a una persona física. Es decir, cualquier dato que, por sí mismo o en consonancia a otros datos que pudieran cotejarse, pueda llevar a la identificación de una persona física deberá ser considerado dato personal.

Por otra parte, existen una serie de principios generales que las empresas deberán tener en cuenta a la hora de aplicar esta regulación:

• Minimización de los datos personales, debiéndose tratar los datos justamente necesarios para el tratamiento
• Limitación de la finalidad del tratamiento. Es decir, que los tratamientos se realicen para unas finalidades concretas.
• Limitación del plazo de conservación de los datos personales. Es decir, bloquear y/o destruir los datos en plazo de tiempo determinado.
• Transparencia en cuanto a la información proporcionada a los interesados sobre el tratamiento de sus datos personales.
• Responsabilidad proactiva en el uso de medidas de seguridad y políticas antes brechas de seguridad en los sistemas utilizados por las empresas en el tratamiento de los datos personales.
• Exactitud y veracidad de los datos personales cuando los mismos no sean proporcionados por los interesados.
• Obtención de consentimiento como base de legitimación para el tratamiento de datos personales, cuando proceda. Este consentimiento deberá ser expreso.

¿A QUIÉN AFECTA?

Por un lado, el Reglamento General de Protección de Datos es aplicable directamente a todos los Estados miembros y es vinculante a todas aquellas empresas alrededor del mundo que vayan a tratar datos personales de ciudadanos europeos.

Por otro lado, la Ley Orgánica de Protección de Datos y garantía de los derechos digitales es aplicable a todas las empresas españolas que vaya a realizar tratamientos de datos personales.

¿Cómo aplicar la Ley de Protección de Datos?

En el seno de cualquier empresa afectada por la normativa en materia de protección de datos de carácter personal, deberá tener en consideración dos figuras principales en el tratamiento de datos. Estas figuras suelen aseverarse a clientes y proveedores de servicios y explicadas grosso modo, son las siguientes:

• Responsable del tratamiento de datos personales (o Data Controller en inglés): El Responsable del tratamiento será la figura que tome las decisiones sobre el tipo de tratamiento y las finalidades del tratamiento de datos personales en una relación comercial.
• Encargado del tratamiento de datos personales (o Data Processor en inglés): El Encargado del tratamiento será aquella figura que vaya a tener acceso a bases de datos personales de un Responsable del tratamiento. La principal característica de dicha relación será que el Encargado del tratamiento deberá seguir al pie de la letra las instrucciones del Responsable del tratamiento en lo que respecta a la finalidades de uso de los datos integrados en las bases de datos.

Ambas figuras deberán adaptar (i) sus sistemas contractuales, (ii) sus protocolos de datos personales (análisis de riesgos, registros de actividades, evaluaciones de impacto etc.), (iii) los textos legales de sus sitios web, etc.

CERTIFICADO PROTECCION DE DATOS