El RGPD (Reglamento UE 2016/679 del Parlamento Europeo y del Consejo, de 27 de Abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos) es una norma que nace inspirada, entre otros aspectos, por el deseo de quienes ceden sus datos, ya que éstos quieren saber exactamente a quién se los ceden y con qué finalidades van a ser empleados.
Desde su entrada en vigor en 2016, pero a partir de su plena exigencia, el 25 de Mayo de 2018, debemos conocer que lo arriba expresado es una de las bases sobre las que se asienta este nuevo Reglamento General de Protección de Datos.
Sin embargo, esta norma, tan comentada y discutida, en algunos puntos peca de aquello que pretende evitar. Como ocurre con muchas otras, para llegar a comprenderla claramente, se necesitan ciertos conocimientos previos en cuanto a Protección de Datos o, al menos, sobre Derecho. Si bien el RGPD, en su artículo 4, recapitula algunos conceptos que se repiten a lo largo del Reglamento y explica qué debe entenderse por ellos, lo cierto es que el lenguaje que emplea parece mostrar el objetivo opuesto. Más que crear un diccionario que pueda servir de consulta para aquellos que estén interesados en el RGPD (que no tengan conocimientos de Derecho) y pretendan evitar equívocos de cara a su interpretación y a eventuales reclamaciones, pueden llegar, incluso, a obtener un resultado poco clarificador o insatisfactorio.
Por ello, a lo largo de este artículo trataremos de explicar en líneas generales qué es qué y quién es quién en el Reglamento General de Protección de Datos.

Datos Personales.

Son la pieza angular del RGPD. Por datos personales debe entenderse toda información relativa a una persona física que sea capaz de identificarla. Los datos más evidentes son el nombre, número de DNI, domicilio, correo electrónico, etc. Pero, también, puede ser cualquier otro que permita identificarla (elementos propios de su aspecto, de su identidad genética, psíquica, económica, cultural, social, etc.). Este concepto es clave para entender por qué la inmensa mayoría de las organizaciones están sujetas al RGPD, y es que prácticamente todas, en algún punto de su actividad, han manejado este tipo de datos relativos a clientes, proveedores o empleados.

Categorías especiales de datos personales.

Están citadas en el artículo 9 del RGPD. Son aquellas que identifiquen el origen étnico o racial, las opiniones políticas y sindicales, convicciones religiosas, la vida u orientación sexual, etc., algo que podríamos resumir como datos sensibles. En general, su tratamiento está prohibido, pero hay tantas excepciones establecidas en el mismo artículo que, de hecho, supone una práctica habitual, y el Reglamento establece obligaciones especiales para las organizaciones que, en calidad de responsables o de encargados, traten esta clase de datos.

Interesados.

Son las personas físicas citadas anteriormente, es decir, aquellas personas cuyos datos personales son objeto de tratamiento.

Tratamiento.

Son las operaciones que se realizan sobre los datos personales o conjuntos de datos personales, mediante procedimientos automatizados o manuales. Prácticamente cualquier cosa que se haga con ellos implica tratarlos: su recogida, conservación, organización, utilización, difusión, destrucción, almacenamiento, etc. En otras palabras, y a modo de ejemplo, constituiría un tratamiento de datos personales el almacenamiento de un currículum que un particular deja en un establecimiento mercantil, aunque en ningún momento la empresa lo haya requerido o haya tenido contacto previo alguno con él. Otras operaciones habituales de las organizaciones que constituyen claramente un tratamiento de datos personales serían la administración de las nóminas de su personal, la consulta de bases de datos de clientes o proveedores, la grabación de vídeos de seguridad, etc.

Responsable del tratamiento.

Es la persona (física o jurídica), autoridad pública, servicio u otro organismo que, en solitario o junto con otros, decide con qué finalidad y con qué medios trata los datos del interesado. Deviene responsable aquél al que el interesado otorgó directamente su consentimiento para tratar sus datos, aquél con quien el interesado tiene suscrito un contrato y debe ejecutarlo, aquél que tiene una obligación legal para cuyo cumplimiento necesita manejar esos datos personales, además del resto de condiciones que figuran en el artículo 6 del RGPD. El responsable es quien decide qué hace con los datos. En términos más prácticos, sería responsable del tratamiento de datos personales el empleador respecto de sus trabajadores, un banco respecto de sus clientes, o cualquiera a quien directamente hayamos concedido autorización para que trate nuestros datos.

Consentimiento.

El consentimiento que damos al responsable para que trate nuestros datos personales tiene que ser libre (los planteamientos de “aceptas nuestras condiciones, o no puedes utilizar nuestro servicio” están en el punto de mira), informado (no puede estar expresado en un lenguaje que el interesado no entienda por si solo), específico (no se puede autorizar el tratamiento de nuestros datos personales “entre otras cosas”, hay que hacerlo por separado) e inequívoco (no se puede presumir que se ha otorgado). Es una declaración o una acción claramente afirmativa por la cual manifestamos al responsable que aceptamos que trate nuestros datos.

Cláusulas informativas.

Cuando de una forma u otra un responsable trata nuestros datos personales, está obligado a facilitarnos una serie de información de forma explícita: su identidad y datos de contacto, la finalidad que persigue con el tratamiento de nuestros datos (que, como hemos dicho, le corresponde decidir), bajo qué base jurídica los trata (nuestro consentimiento expreso, el contrato que nos une a él, la obligación legal que tiene que cumplir o las demás del artículo 6) , a quién se van a comunicar esos datos, durante qué plazo se van a conservar, los derechos (de acceso, rectificación, oposición, a retirar el consentimiento en cualquier momento…) que nos amparan ante él y cómo reclamarlos, etc.

Encargado del tratamiento.

Es la persona (física o jurídica), autoridad pública, servicio u otro organismo que trata los datos del interesado por cuenta del responsable (generalmente para prestarle algún servicio). Podemos concretar la figura del encargado del tratamiento en ese alguien a quien el responsable que está legitimado para tratar nuestros datos autoriza a que los trate, pero siempre “por cuenta del responsable”. En términos prácticos: es bastante habitual que las organizaciones que tratan los datos personales de los interesados lo hagan con finalidades que les competen a ellos, pero que no realizan directamente sino a través de otra persona. Por ejemplo, cuando dejan su planificación laboral, contable, fiscal, etc. en manos de asesorías, o cuando cuentan con un servicio de mantenimiento informático, disponen de un servicio de prevención de riesgos laborales ajeno a la entidad, etc.
En definitiva, para que una asesoría laboral a la que una empresa ha contratado pueda elaborar las nóminas de los trabajadores de ésta, necesita acceder a los datos del trabajador, y quien está ligado a él por un contrato que legitima al tratamiento de sus datos no es la asesoría, sino la empresa para la que trabaja.
Por ello, para que el encargado pueda tratar los datos del interesado, debe hacerlo siempre “por cuenta del responsable”, y ello se expresa en lo que se conoce como contrato de encargo del tratamiento, que debe contener una serie de estipulaciones que se detallan en el artículo 28 del RGPD y van encaminadas a garantizar que el tratamiento que lleva a cabo el encargado se haga bajo las instrucciones del responsable.

Tercero.

Cuando el RGPD se refiere a “un tercero”, lo define como cualquier persona (física o jurídica), autoridad pública, servicio u otro organismo distinto del interesado, del responsable del tratamiento, del encargado del tratamiento y distinto de cualquier autorizado para tratar los datos personales bajo la autoridad directa del responsable o del encargado.

Delegado de Protección de Datos (DPD).

Se podría definir esta figura como aquella persona cuyo deber es asegurarse de que la organización para la que actúa cumpla con el RGPD (realizando auditorías, formando al personal, informando y asesorando a responsables y encargados del tratamiento de sus responsabilidades) y hacer las veces de punto de contacto entre ésta y las Agencias de Protección de Datos (fundamentalmente, la AEPD). El RGPD, en su artículo 37, establece que la designación del DPD por parte del responsable y el encargado del tratamiento procederá:
  • Si dicho tratamiento lo lleva a cabo una autoridad u organismo público.
  • En el caso de que  las organizaciones que se dedican, como actividad principal, a llevar a término operaciones de tratamiento que requieran una observación habitual y sistemática de interesados a gran escala.
  • Si las actividades principales, del responsable o del encargado, consisten en el tratamiento a gran escala de categorías especiales de datos personales (Art. 9 del RGPD) y de datos relativos a condenas e infracciones penales (Art. 10 del RGPD).
El Delegado de Protección de Datos, una figura de la que hablaremos en próximos artículos, debe cumplir una serie de requisitos especificados en el artículo 37 del RGPD, como contar con conocimientos especializados en materia de Protección de Datos, acreditar la experiencia necesaria, etc.
Estemos en la circunstancia que estemos, según lo visto en este último apartado, resulta más que recomendable contar con alguien en nuestra organización que se encuentre certificado por la AEPD como Delegado de Protección de Datos.