En estos momentos, el GDPR es una de las leyes sobre privacidad más influyentes y debatidas en todo el mundo, si no la que más. La privacidad digital se está situando cada vez más en el primer plano de las prácticas empresariales. Y ya era hora. 10 años después de que los archivos de Snowden llegaran a la superficie de la tierra, todavía estamos en los inicios de la protección de nuestra privacidad.
Últimamente, las autoridades se están posicionando, y la ONG de privacidad noyb se está enfrentando a los grandes(Facebook y Google), y todo parece llegar a la privacidad de la UE llamada GDPR. Este artículo profundiza en esta ley de privacidad y aborda algunas cuestiones generales e importantes sobre ella. ¿Qué es el GDPR? ¿Cuándo se aplica? ¿Cómo se aplica?
- ¿Qué es el GDPR?
- ¿Se aplica directamente el RGPD?
- ¿Cuándo se aplica el RGPD?
- ¿A quién se aplica el RGPD?
- ¿Quién hace cumplir el RGPD?
- ¿Protege el RGPD la privacidad?
- ¿Quién tiene derechos en virtud del RGPD?
- ¿Cuáles son los principios del RGPD?
- ¿Qué son datos personales según el RGPD?
- ¿Qué datos son sensibles según el RGPD?
- ¿Qué derechos de los datos protege el RGPD?
- ¿Cuáles son los deberes en virtud del RGPD?
- ¿Cuáles son las multas del RGPD?
- ¿Exige el RGPD el consentimiento?
- ¿Exige el GDPR el consentimiento para las cookies?
- ¿Cómo regula el RGPD las transferencias de datos?
- ¿Es el RGPD la única ley europea sobre privacidad?
- ¿Cómo se cumple el RGPD?
- Conclusiones
Averigüémoslo.
¿Qué es el GDPR?
El Reglamento General de Protección de Datos (RGPD ) es un reglamento de la Unión Europea (Reglamento (UE) 2016/679). Es el reglamento europeo más importante sobre privacidad y el núcleo del marco europeo de protección de datos. El Reglamento se aprobó en 2016 y entró en vigor en 2018.
El GDPR tiene como objetivo proteger los derechos de datos de las personas al tiempo que fomenta el libre flujo de datos. Estos objetivos no son fáciles de equilibrar, y por eso el GDPR es una legislación larga y compleja con muchos principios, normas y exenciones. Pero, en pocas palabras, el RGPD trata de lo que puede y no puede hacerse con los datos personales.
¿Se aplica directamente el RGPD?
Sí, porque es un Reglamento. En la legislación europea, los reglamentos se oponen a las directivas porque no es necesario aplicarlos. Por otro lado, las directivas no se aplican directamente y deben ser aplicadas a través de la legislación nacional por los Estados miembros.
El GDPR tuvo un predecesor en la Directiva de Protección de Datos. El RGPD hereda muchas normas de la Directiva, pero establece una base más sólida para los derechos de privacidad en todos los Estados miembros porque es un reglamento.
¿Cuándo se aplica el RGPD?
El GDPR se aplica a todos los Estados miembros de la Unión Europea y del Espacio Económico Europeo (básicamente los Estados miembros de la UE, así como Islandia, Liechtenstein y Noruega).
El GDPR también tiene un efecto extraterritorial porque a veces se aplica a empresas y otras entidades fuera de la UE/EEE. Las normas sobre el ámbito territorial del GDPR son demasiado complejas para resumirlas en pocas palabras, pero simplificando mucho, podemos decir que se aplica a cualquier empresa o servicio que se dirija a un mercado o público europeo. Puede consultar gdprhub.eu para una explicación más detallada y precisa.
También hay que señalar que el GDPR sólo se aplica a los datos personales.
¿A quién se aplica el RGPD?
El RGPD se aplica a los responsables del tratamiento y a los encargados del tratamiento.
El responsable del tratamiento es la entidad que "controla" el tratamiento de los datos, porque decide los medios y los fines del tratamiento. Por otro lado, el encargado del tratamiento es la entidad que procesa los datos en nombre de otra persona y sigue sus instrucciones. Así, si una empresa utiliza un servicio en la nube para almacenar los datos personales de los empleados, la empresa es un responsable del tratamiento, y el proveedor de la nube es un encargado del tratamiento (mientras que los empleados son los interesados).
Otras situaciones son posibles. Si hay dos o más responsables del tratamiento para una única operación de tratamiento, son corresponsables del tratamiento. Y si un encargado trabaja para otro encargado, es un subencargado del tratamiento.
La distinción entre responsable y encargado del tratamiento es importante porque tienen obligaciones diferentes en virtud del RGPD. También es delicada: algunos casos son claros, pero otros son más complicados.
¿Quién hace cumplir el RGPD?
Tanto los tribunales como las autoridades de protección de datos velan por el cumplimiento del RGPD.
Todos los Estados miembros de la UE y del EEE tienen una autoridad de protección de datos (APD), y algunos tienen más de una, como Alemania. Las DPA son autoridades administrativas que actúan en virtud de la legislación nacional para hacer cumplir el GDPR y la ley de privacidad.
Todas las APD forman parte del Consejo Europeo de Protección de Datos, una institución de la UE que coordina la aplicación del RGPD. El Consejo Europeo de Protección de Datos decide sobre los casos transfronterizos en los que no están de acuerdo las APD. El Consejo también es muy activo a la hora de emitir orientaciones, que no son vinculantes pero sí muy influyentes.
También es posible hacer cumplir el RGPD a través del sistema judicial de los Estados miembros. Así pues, si se vulneran sus derechos en virtud del RGPD, puede acudir a los tribunales y reclamar daños y perjuicios o presentar una denuncia ante su APD nacional.
Hay diferencias importantes entre estas dos vías de aplicación. Por ejemplo, las APD no tienen autoridad para conceder indemnizaciones por daños y perjuicios, y los tribunales civiles no tienen autoridad para imponer multas. Por tanto, los tribunales y las APD desempeñan papeles diferentes en la aplicación de la ley.
Los recursos funcionan de forma diferente en los tribunales y en las APD, pero en ambos casos el asunto puede acabar en el Tribunal de Justicia de la UE. El Tribunal de Justicia tiene esencialmente la última palabra sobre la interpretación del RGPD. Por ello, las APD, los abogados especializados en datos y los tribunales nacionales suelen remitirse a la jurisprudencia del Tribunal a la hora de interpretar el RGPD. Si sigue nuestro blog, probablemente haya perdido la cuenta de las veces que hemos mencionado la sentencia Schrems II... ¡seguro que lo hemos hecho!
¿Protege el RGPD la privacidad?
Más o menos. Para ser exactos, protege el derecho a la protección de datos. Privacidad y protección de datos se utilizan a menudo como sinónimos. Nosotros también lo hacemos a veces, en aras de la legibilidad. Pero la Carta Europea de los Derechos Fundamentales los reconoce como derechos humanos distintos, por lo que ambos no son exactamente lo mismo según la legislación de la UE.
La distinción entre privacidad y protección de datos puede parecer extraña en un principio, pero tiene sentido desde una perspectiva práctica. Para ejercer sus derechos en virtud del RGPD, no necesita demostrar que se ha revelado alguna información íntima o que se ha invadido su esfera privada de alguna otra manera. Si alguien procesa sus datos personales, usted simplemente tiene derechos en virtud del RGPD. Así que la distinción entre privacidad y protección de datos facilita el ejercicio de sus derechos, y eso es lo que realmente importa.
¿Quién tiene derechos en virtud del RGPD?
Todas las personas en Europa tienen derechos en virtud del GDPR, independientemente de su residencia o ciudadanía. Esto significa que los ciudadanos de la UE y de fuera de la UE tienen exactamente los mismos derechos en virtud del GDPR siempre que se encuentren en la UE / EEE. Por otro lado, un ciudadano de la UE no disfruta de ningún derecho de datos en virtud del RGPD cuando se encuentra fuera de la Unión/EEE.
Además, toda persona tiene derechos en virtud del RGPD, esté donde esté, siempre que sus datos se procesen en Europa. Por ejemplo, una empresa francesa que procese exclusivamente datos de residentes japoneses sigue estando obligada por el RGPD.
¿Cuáles son los principios del RGPD?
La mayoría de los principios del RGPD se encuentran en el artículo 5. Entre ellos figuran los siguientes
- los datos deben tratarse de forma lícita, leal y transparente (principios de licitud, lealtad y transparencia)
- los datos deben recopilarse para un fin específico y deben ser adecuados para dicho fin (limitación de la finalidad)
- los datos deben ser adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que se procesan (minimización de datos - ya escribimos sobre esto)
- los datos deben ser exactos y mantenerse actualizados (exactitud)
- los datos deben borrarse o hacerse anónimos en cuanto dejen de ser necesarios (limitación del almacenamiento)
- los datos deben tratarse de forma segura y confidencial para evitar su violación (integridad y confidencialidad)
- si procesa datos personales, es responsable de demostrar que cumple todos estos principios (responsabilidad).
¿Qué son datos personales según el RGPD?
Los datos personales son cualquier información relativa a una persona física identificada o identificable (un sujeto de datos en el GDPR).
En términos jurídicos, una persona física es una persona en el sentido común de la palabra. Así pues, las personas físicas tienen derechos en virtud del GDPR, mientras que las organizaciones públicas y privadas no los tienen. Los fallecidos tampoco tienen derechos en virtud del GDPR.
No es necesario que los datos afecten a la intimidad para recibir protección: basta con que estén relacionados con alguien. No sería el fin del mundo saber que me he tomado un café esta mañana, pero esta información sigue siendo un dato personal porque mi nombre aparece en la parte superior de este blog.
La definición de datos personales parece bastante sencilla, pero en realidad no lo es. "Identificable" es la parte resbaladiza. Según el RGPD, un interesado es identificable cuando puede ser identificado, es decir, cuando los datos pueden referirse a él individualmente. No es necesario que los datos revelen la identidad del interesado para que se consideren datos personales.
Por ejemplo, algunas cookies contienen identificadores únicos, que son cadenas de letras y números generadas aleatoriamente. Estas cadenas no contienen información sobre la identidad del interesado, pero su carácter único las convierte en datos personales con arreglo al RGPD porque cada cadena se refiere a un único usuario.
La definición de datos personales tiene otras consecuencias importantes. Ciertos datos pueden no identificar a una persona de forma independiente, pero pueden hacerlo cuando se combinan con otros datos (piense en la forma en que algunos sitios web toman las huellas dactilares de los usuarios basándose en los datos del dispositivo). Esto puede convertir los datos en personales con arreglo al RGPD. Los datos anónimos y agregados presentan problemas similares de reidentificación.
En resumidas cuentas, el concepto de datos personales es una gran caja de Pandora. No podemos profundizar más aquí, pero si tiene curiosidad, el gdprhub ofrece algunos comentarios valiosos sobre el tema.
¿Qué datos son sensibles según el RGPD?
Los datos que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas o filosóficas, la afiliación sindical, los datos genéticos, los datos biométricos, los datos sanitarios y los datos sobre la vida sexual o la orientación sexual de una persona son tratados como datos sensibles por el GDPR.
El RGPD establece normas específicas y más estrictas para el tratamiento de datos sensibles.
¿Qué derechos de los datos protege el RGPD?
Son bastantes. La mayoría de ellos pretenden dar a las personas cierto control sobre sus datos. Por ejemplo, puede solicitar la supresión o corrección de sus datos, puede solicitar el acceso a ellos y tiene derecho a recibir cierta información básica sobre el tratamiento de sus datos. En algunas situaciones también puede oponerse al tratamiento de sus datos o revocar su consentimiento al tratamiento.
¿Cuáles son los deberes en virtud del RGPD?
Todo derecho del interesado conlleva un deber del responsable del tratamiento. Así, cuando usted ejerce su derecho a que se borren sus datos, el responsable del tratamiento tiene el deber de borrarlos, y así sucesivamente.
Los responsables del tratamiento también tienen deberes sin contrapartida directa entre los derechos del interesado. Por ejemplo, los responsables del tratamiento deben tratar los datos personales de forma lícita, no deben almacenarlos más tiempo del necesario, deben tratarlos de forma segura y deben notificar las violaciones de datos a las autoridades de protección de datos. Todas estas son obligaciones generales del RGPD, y los responsables del tratamiento deben cumplirlas aunque los interesados no se lo exijan.
Los responsables del tratamiento también deben poder demostrar que cumplen el RGPD. Esto se conoce como principio de responsabilidad.
Los encargados del tratamiento de datos también tienen obligaciones, pero la mayoría de ellas son diferentes de las de un responsable del tratamiento. Esto tiene sentido porque siguen instrucciones y no tienen tanto poder de decisión como el responsable del tratamiento de los datos.
¿Cuáles son las multas del RGPD?
El RGPD tiene fama de imponer multas escalofriantes. Las sanciones tienen un límite máximo de 20 millones de euros o el 4% de la facturación anual global de una empresa, la cifra que sea más alta. El actual poseedor del récord es Amazon, con una multa de 746 millones de euros, y recientemente hemos hablado de dos multas impuestas a Meta por un total de 390 millones de euros.
(Actualización: ¡Meta ha sido multada por 1.200 millones de euros! y ahora ostenta el récord).
El cumplimiento de la normativa puede ser costoso, pero las multas se adaptan caso por caso. Las pequeñas empresas que cometen un error honesto y las grandes empresas que intentan engañar al sistema reciben un trato diferente. Y las APD suelen intentar colaborar con las empresas para que cumplan la normativa, en lugar de imponer multas cuantiosas a diestro y siniestro. Ven con buenos ojos a las empresas que colaboran con las investigaciones y toman medidas para abordar los problemas de cumplimiento, incluso si solo lo hacen después de que se haya presentado una denuncia.
¿Exige el RGPD el consentimiento?
No, el GDPR no exige el consentimiento. Al menos no siempre.
Ya escribimos un blog sobre el consentimiento, así que aquí tiene una explicación resumida: según el GDPR, los datos solo pueden procesarse por una razón. Toda operación de tratamiento de datos necesita una base jurídica, es decir, una justificación. El consentimiento es una de estas justificaciones. El GDPR incluye cinco más, como el interés legítimo o una obligación legal.
Así que la respuesta más correcta a la pregunta es que depende. La idea de que el GDPR exige siempre el consentimiento es errónea. Pero siempre se necesita una base jurídica para procesar los datos. Puede ser el consentimiento u otra cosa (como una obligación legal o el cumplimiento de un contrato). Y de hecho hay casos en los que el consentimiento es la única opción porque no se aplica ninguna otra base jurídica al escenario específico en cuestión, pero eso no es una regla general.
¿Exige el GDPR el consentimiento para las cookies?
Depende. Las cookies necesarias, como las de seguridad, no requieren consentimiento. Por otro lado, las cookies no necesarias, como las cookies analíticas y de marketing, siempre requieren consentimiento. Esta es la razón por la que ves tantos banners de cookies cuando navegas.
Esto no se debe al GDPR. Las cookies entran en el ámbito de la Directiva sobre la privacidad y las comunicaciones electrónicas, y la Directiva exige el consentimiento para las cookies. Como nota al margen, la Directiva también cubre tecnologías similares a las cookies, como los rastreadores de publicidad en dispositivos (recientemente cubrimos un caso interesante sobre esta cuestión).
¿Cómo regula el RGPD las transferencias de datos?
En principio, los datos deben transferirse de forma segura fuera de Europa. Para garantizarlo, el Reglamento establece un complejo sistema de normas para las transferencias de datos. Ya hemos tratado este tema en profundidad, pero en pocas palabras, siempre que transfiera datos a un tercer país, deberá basarse en uno de los diversos mecanismos de cumplimiento enumerados por el GDPR, todos los cuales están destinados a actuar como salvaguardias para los datos.
Esto es complicado para los EE.UU. debido a la amplitud e invasividad de la vigilancia estatal sobre los datos extranjeros. El riesgo de vigilancia es la razón por la que el Tribunal de Justicia de las Comunidades Europeas invalidó un mecanismo existente para las transferencias de datos entre la UE y EE.UU. (el Escudo de la privacidad) en la sentencia Schrems II de 2020. En general, la sentencia dificulta bastante el cumplimiento de las normas de transferencia de datos cuando se envían datos a Estados Unidos.
Schrems II está en el centro de los problemas de Google Analytics con las transferencias de datos y es la razón por la que Google Analytics fue prácticamente prohibido en Austria, Francia, Italia, Dinamarca y Finlandia (así como en Noruega, aunque la decisión es sólo preliminar). Schrems II es también la razón por la que Meta fue multada con 1.200 millones de euros y actualmente se arriesga a un apagón de Facebook en Europa.
Pero el asunto va más allá de Facebook y Google Analytics. En el futuro puede afectar a otros proveedores de servicios, incluidos servicios clave como AWS, Oracle y Microsoft Azure.
Por eso la Comisión Europea está trabajando en el Marco Transatlántico de Privacidad de Datos, un nuevo sistema para facilitar las transferencias de datos entre la UE y Estados Unidos. Pero no está claro si el nuevo marco resolverá los problemas del Escudo de Privacidad. Y en algún momento, el Marco Transatlántico de Privacidad de Datos seguramente también será impugnado ante el Tribunal de Justicia (probablemente por el propio Sr. Schrems).
En resumidas cuentas, el futuro de las transferencias de datos entre la UE y EE.UU. seguirá siendo incierto hasta que obtengamos una decisión "Schrems III".
¿Es el RGPD la única ley europea sobre privacidad?
No. El GDPR es crucial para la ley de privacidad de la UE, pero también hay otras fuentes importantes.
Ya hemos mencionado una de ellas: la Directiva sobre privacidad en las comunicaciones electrónicas. La Directiva se dirige principalmente a los proveedores de servicios de comunicación, como las empresas de telecomunicaciones y los proveedores de Internet (pero las normas sobre cookies que hemos mencionado tienen un alcance más amplio). Se está elaborando un Reglamento sobre la privacidad y las comunicaciones electrónicas que sustituirá a la Directiva, del mismo modo que el RGPD sustituyó a la antigua Directiva sobre protección de datos.
La Directiva sobre aplicación de la ley es otra pieza del rompecabezas. Se ocupa de las investigaciones penales y la justicia penal y se redactó y aprobó paralelamente al RGPD. El objeto de la Directiva queda fuera del ámbito del RGPD, por lo que ambas fuentes se complementan.
Otras fuentes de la legislación de la UE no son leyes de privacidad, pero afectan a los derechos de privacidad. La reciente Ley de Mercados Digitales y la Ley de Servicios Digitales son dos ejemplos notables.
A un nivel superior, la Carta de los Derechos Fundamentales de la Unión Europea protege los derechos a la intimidad y a la protección de datos. La Carta tiene el mismo rango jurídico que los Tratados constitutivos de la Unión: es una de las fuentes superiores del Derecho de la UE y "triunfa" sobre Directivas y Reglamentos.
El Convenio Europeo de Derechos Humanos también reconoce la privacidad como derecho fundamental. El Convenio no forma parte técnicamente del marco jurídico de la UE, pero influye en su legislación. Lo mismo ocurre con la jurisprudencia del Tribunal Europeo de Derechos Humanos, que aplica el Convenio y no es una institución de la UE.
¿Cómo se cumple el RGPD?
No hay una respuesta única. Tampoco existe una lista de comprobación exhaustiva. Cada estrategia de cumplimiento debe adaptarse a un escenario específico y tener en cuenta los tipos de datos, los fines para los que se procesan, la escala del procesamiento de datos, etcétera. Una buena estrategia de cumplimiento debe implicar a todas las partes interesadas dentro de una organización y requiere una buena comprensión de la forma en que se procesan los datos, lo cual no es trivial(sí, Meta, te estoy mirando a ti).
Dicho esto, el artículo 5 del RGPD resume la mayoría de los principios en los que se basa el RGPD, por lo que podría utilizarlo como punto de partida para plantearse las preguntas adecuadas. Por ejemplo
- ¿qué base jurídica tengo para procesar datos personales?
- ¿proporciono suficiente información a mis clientes o a cualquier otra persona a la que se refieran los datos? ¿Comprenden lo que hago con sus datos y por qué lo hago, al menos en términos muy generales? ¿Comprenden cuáles son sus derechos y cómo ejercerlos?
- ¿recopilo los datos con una finalidad clara y específica?
- ¿realmente necesito todos esos datos? ¿Hay alguno que pueda borrar o anonimizar? ¿estoy almacenando datos durante más tiempo del necesario?
- ¿hay algo que pueda hacer para mitigar el riesgo de una violación de datos? ¿Puedo mejorar la seguridad técnica de mis sistemas? ¿Puede algún miembro de mi personal acceder a datos personales que realmente no necesita?
- ¿puedo explicar por qué mi tratamiento de datos es conforme? ¿Y puedo documentar estas razones?
No son preguntas fáciles, pero tenerlas presentes es un buen primer paso, aunque aún no tenga todas las respuestas.
Aparte de eso, asegúrese de que está utilizando el consentimiento de la manera correcta. A veces se considera que el consentimiento es la panacea para el cumplimiento de la normativa, pero hay límites a lo que el consentimiento permite hacer y situaciones en las que confiar en el consentimiento no funciona. Nuestro blog puede darle una visión general rápida de cómo funciona el consentimiento bajo el GDPR.
Por último, si está utilizando Google Analytics, cambiar a un servicio diferente de análisis web será un paso hacia el cumplimiento. Por supuesto, hay mucho más para el cumplimiento, pero deshacerse de Google Analytics es la fruta madura para muchas organizaciones.
Conclusiones
Nos apasiona la privacidad. Por eso nos esforzamos al máximo para cubrir las noticias sobre privacidad y debatir la legislación sobre privacidad de forma precisa y accesible. Creemos que la legislación en materia de privacidad nos concierne a todos y no debería ser dominio de abogados y juristas.
También creemos que Internet podría ser un lugar mejor y más respetuoso con la privacidad. Por eso hemos creado Simple Analytics. Estamos orgullosos de ofrecer a nuestros clientes toda la información que necesitan, sin rastrear a los usuarios y sin recopilar datos personales. Si esto le parece bien, ¡pruébenos!