¿Qué es el RGPD?

En abril de 2016, el Parlamento Europeo y el Consejo Europeo aprobaron una nueva legislación que regula, de manera más amplia y extendida a todos los países de la Unión Europea, la forma en que los datos personales de los ciudadanos europeos pueden recogerse, almacenarse, transferirse y protegerse. La reglamentación (RGPD – Reglamento General de Protección de Datos) tiene como objetivo dar mayor control a los ciudadanos sobre la forma en que se utiliza su información personal.

¿Qué son los datos personales?

“PII – Personally Identifiable Information – Cualquier información relativa a una persona física identificada o identificable”.

Se considera “identificable” una persona física que pueda identificarse, directa o indirectamente, por referencia a un identificador, como por ejemplo un nombre, un número de identificación, datos de localización o identificadores por vía electrónica, o a uno o más elementos específicos de su identidad física, fisiológica, genética, mental, económica, cultural o social.

Los datos pueden constar en cualquier soporte, sea físico, virtual, gráfico, tecnológico o sonoro. Esto engloba etiquetas, archivos, chips/tarjetas RFID, información en la nube, información en sistemas CRM, imágenes de video, bases de datos, folletos o cualquier material impreso/escrito.

Tratamiento de datos personales

El tratamiento de datos personales engloba cualquier acción sobre los mismos y sólo puede ser efectuado cuando hay un motivo legítimo para hacerlo.

A pesar de que se habla mucho al respecto, el consentimiento no es la única base para el procesamiento de datos y, a veces, ni siquiera se puede requerir. Cualquiera sea la base para el procesamiento de datos, debe seguir sus propias reglas y estar siempre documentado.

En general, los datos se pueden procesar cuando:

  • El interesado ha dado su consentimiento para el procesamiento de sus datos personales para uno o más propósitos específicos;
  • El procesamiento es necesario para la ejecución de un contrato en el que el interesado es parte;
  • El procesamiento es necesario para el cumplimiento de una obligación legal a la que está sujeto el controlador;
  • El procesamiento es necesario para los intereses legítimos perseguidos por el controlador o por terceros;

Con respecto al consentimiento, esto debe ser:

  • “Libre” – partiendo de una acción proactiva del usuario, sin limitarlo en el acceso a servicios y con la posibilidad de ser retirado con la misma facilidad que se ha dado;
  • “Informado” – en lenguaje simple y directo;
  • “Específico” – por cada finalidad de tratamiento tendrá que ser dado consentimiento (por ejemplo: registrarse para entrar en un evento es diferente de registrarse para recibir informaciones de marketing);
  • “Expreso” – no se permiten opciones premarcadas y la omisión no puede servir de “consentimiento”;
  • “Demostrable” – el responsable del tratamiento de datos debe poder demostrar que el consentimiento ha sido dado o retirado;

Responsable del tratamiento vs. encargado del tratamiento (data controller vs. data processor)

Es fundamental que las organizaciones involucradas en el procesamiento de datos personales perciban su papel y que determinen si actúan como responsable del tratamiento (data controller) o encargado del tratamiento (data processor). Esta información es relevante para atribuir responsabilidades.

La entidad responsable del tratamiento de datos determina el objetivo de utilización de los datos y la forma en que ellos se procesarán.

El encargado del tratamiento procesa los datos por cuenta del responsable del tratamiento, de acuerdo con los medios y propósitos que han sido definidos. El encargado del tratamiento sólo puede hacerlo mediante un contrato escrito y con el conocimiento del interesado.

Amplitud

Esta regulación se aplica a cualquier procesamiento de datos llevado a cabo en la Unión Europea, y es aplicable a cualquier organización que brinde servicios en la Unión Europea o evento realizado aquí, independientemente de la nacionalidad de la persona que posee los datos o el origen de la empresa.

Regresa a nuestro índice RGPD: ¿Tus eventos están preparados para el RGPD?

¿Ha quedado alguna duda? ¡Habla con nosotros!


Sergio Pinto

Sergio Pinto

With more than 15 years of experience in IT and telecom industry has passed the last years investigating and developing tech solutions for the events industry.