Reglamento General de Protección de Datos (RGPD)

El mercado de la UE se desarrolla cada día, por lo que aumentan los flujos transfronterizos de datos personales, incluido el uso de Internet. Lo anterior provoca grandes problemas en la protección de los datos personales. Por ello, el objetivo principal del RGPD es proteger los datos personales y a los interesados. El Reglamento General de Protección de Datos entró en vigor el 25 de mayo de 2018.

El GDPR está diseñado para promover el desarrollo de un espacio de libertad, seguridad, justicia y unión económica; el progreso económico y social; el fortalecimiento del estado de derecho y la convergencia de las economías dentro del mercado interno, así como el bienestar general de las personas en los estados miembros de la UE.

El RGPD es necesario para todos los Estados miembros de la UE.  Para las empresas no residentes en la UE, incluidos los países de la CEI, los requisitos se aplican en los siguientes casos

Empresas que suministran sus bienes o servicios a particulares en la UE. Por ejemplo, las tiendas en línea, los operadores turísticos o las empresas de transporte que se encuentran en Ucrania y tratan los datos de los residentes de la UE.
Empresas que realizan estudios de marketing que abarcan a consumidores de la UE.
Empresas que, en el curso de sus actividades, acceden a los datos personales de los sujetos de la UE. Puede tratarse de cualquier empresa ucraniana que, por ejemplo, tenga acceso a los datos de los empleados de la UE.
Las principales innovaciones importantes del GDPR, que afectarán a los países cif, son:
La necesidad de introducir un nuevo puesto en la empresa – Oficina de Protección de Datos.

Es obligatorio el nombramiento de la persona responsable de la protección de los datos personales de los empleados por parte de todas las empresas que traten con una cantidad significativa de datos personales o con las categorías «especiales» de dichos datos. Puede desempeñar sus funciones tanto en el marco de un contrato de trabajo como en el derecho civil

El responsable debe tener un nivel adecuado de conocimientos en el ámbito de la protección de datos personales. Un grupo de empresas puede tener un responsable si garantiza un acceso ilimitado a las actividades de cada miembro del grupo. Además, puede trabajar en la empresa en el lugar principal de trabajo o a tiempo parcial.

Necesidad del representante (representación) en la UE

Si su empresa entra en el ámbito de aplicación del RGPD y no está ubicada en la UE, es necesaria la presencia de un representante oficial de la empresa en la UE. El representante debe ser designado como persona de contacto en todas las cuestiones relativas a la protección de los datos personales de los ciudadanos de la UE para las autoridades autorizadas. Puede ser tanto una persona física como jurídica.

Entre los requisitos obligatorios para un representante está el de estar establecido (para las personas jurídicas) o estar (para las personas físicas) en uno de los países cuyos ciudadanos son personas cuyos datos personales se tratan o cuyo comportamiento se investiga.

La excepción a esta norma es: si el tratamiento de datos no es permanente; si los datos personales tratados no pertenecen a las categorías «especiales» (como ya se ha mencionado anteriormente, incluidos, en particular, los datos genéticos, biométricos), relativos a procedimientos o acusaciones penales;

Si el carácter de los datos indica que es imposible violar gravemente los derechos de la persona en caso de su filtración (no es difícil suponer que los participantes en el mercado que no tienen la intención de cumplir este requisito del GDPR por una u otra razón tratarán de utilizar tal formulación de estimación para evitarlo).

Prueba del cumplimiento de los requisitos del GDPR

El GDPR establece la obligación de demostrar el cumplimiento de los nuevos requisitos por parte de la empresa. Para demostrar el cumplimiento, los responsables del tratamiento deben almacenar toda la información relativa a la actividad con datos personales (sobre el responsable del tratamiento, las operaciones de transferencia de datos, etc.).

Aumento del nivel de seguridad de los datos personales

El RGPD no establece criterios claros para evaluar el nivel de cumplimiento de los requisitos de seguridad. En su lugar, opera con categorías de clasificación, lo que implica que los controladores y procesadores deben proporcionar el mayor nivel posible de seguridad de la información para ellos, incluyendo la implementación de medidas técnicas y organizativas adecuadas para garantizar un alto nivel de seguridad de la información.

Las medidas de seguridad pueden ser muy diferentes. Dependen de los datos que se traten, de su cantidad, de la posibilidad de fuga, etc. Como ejemplo de las medidas que se pueden tomar, el GDPR establece la seudonimización y el cifrado.

Limitación del uso del almacenamiento en la nube para la colocación de datos personales

De acuerdo con el GDPR, la colocación de datos personales en el almacenamiento en la nube se considera transferible a terceros. Es necesario tener cuidado con el almacenamiento con un bajo nivel de protección, así como limitar la colocación de datos personales en ellos. En este caso, si la transferencia de datos a través del almacenamiento en la nube se produce fuera de la UE sin la seguridad adecuada, estas acciones infringen la legislación de la UE.

La introducción del control sobre la transferencia de datos personales fuera del Espacio Económico Europeo

De acuerdo con la regla general, los datos personales pueden transferirse a un tercer país solo si hay una conclusión positiva de la Comisión Europea con respecto al cumplimiento del país de los altos estándares de protección de datos personales. Lo más aceptable para Ucrania será el uso de términos estándar del contrato, que son aprobados por la Comisión Europea.

Aumento general de la privacidad

El reglamento prevé la necesidad de una mayor privacidad. Además del estándar de más alto nivel de privacidad por defecto (por ejemplo, en las redes sociales), puede ser necesario recabar el consentimiento del sujeto para manejar cada elemento individual de información que ingresa.

Los derechos básicos de los sujetos de datos personales (por ejemplo, el derecho a acceder a datos sobre ellos mismos o el derecho a exigir la terminación del procesamiento de datos personales) fueron previstos por la Directiva. El reglamento introdujo, por ejemplo, derechos como el derecho a la portabilidad de datos.

El sujeto de los datos personales puede solicitar la transferencia de sus datos personales de una organización a otra, por ejemplo, al cambiar la institución médica en la que se atiende.

El reglamento también introduce un nuevo derecho, el derecho al olvido, que permite al sujeto solicitar la eliminación de sus datos personales de todas las bases de datos de la empresa. Es importante señalar que tal derecho no es absoluto y se aplica solo en casos directamente establecidos. Por ejemplo, si el tratamiento se realiza a instancias de la ley, el sujeto no puede ejercer su derecho al olvido.

Especialmente, la persona debe conocer el propósito del procesamiento de datos personales ya en la etapa de su recopilación. Si la recopilación de datos es el resultado de la voluntad de una persona, el controlador debe demostrar que está presentando sus datos personales aquí y allá.

Aunque actualmente existen normas similares en Ucrania, los abogados de la UE indican que el nivel actual de conciencia de los usuarios no es suficiente, y las redes sociales, junto con la adopción del RGPD, pasarán a ser desconocidas.

En este sentido, hay disposiciones interesantes del Reglamento, que establece que los Estados miembros de la UE deben garantizar la privacidad del lugar de trabajo. En particular, si el empleador monitorea a los trabajadores mediante la instalación de cámaras, el trabajador debe conocer y dar su consentimiento para el procesamiento de datos personales. Esta regla también se aplicará en Ucrania si el empleado es ciudadano de la UE.

Para una consulta personal, póngase en contacto con nuestro especialista. Si tiene alguna pregunta o necesita asesoramiento sobre protección de datos personales o GDPR, llámenos a los números del sitio web o complete y envíenos un formulario en la parte inferior de la página.