El ámbito y datos personales
Continuando con la serie de tres artículos en el que estamos tratando la información general sobre los puntos que son de interés para las pymes a la hora de comunicarnos, todos estaremos de acuerdo que la principal es recopilar, procesar e intercambiar datos personales. Son actividades diarias para muchas empresas y por ello podemos decir que el ámbito de la RGPD es Dual y debemos tener en cuenta los siguientes puntos.
1. Ámbito de aplicación: el RGPD es aplicable en cuanto existe procesamiento de datos.
2. Ámbito territorial: el RGPD se aplica:
- A la empresa localizada en la UE y que procesa datos en el contexto de sus actividades, sin importar si esos datos se procesan en la UE o fuera de ella, ni si actúan como controladoras o procesadoras (véase más abajo).
- Al procesamiento de datos personales de sujetos que se encuentran en la UE (es decir, no solo los ciudadanos de la UE) por un controlador o procesador no establecido en la UE, que se refieran a una de las siguientes actividades:
- La oferta de bienes o servicios a los sujetos de los datos en la UE (independientemente de si se requiere el pago del interesado)
- El control del comportamiento de los individuos de la UE de cuyos datos se disponga en la medida en que tenga lugar dentro de la UE.
También es importante determinar qué tipo de entidad de privacidad es tu empresa.
Hay 3 entidades de privacidad:
- Controlador (llamado responsable del tratamiento en el texto legal del RGPD): la entidad que determine los fines y medios del tratamiento de datos personales.
- Procesador (llamado encargado del tratamiento en el mismo texto legal): la entidad que trate datos personales por cuenta del responsable del tratamiento y mantiene registros detallados de los datos.
- Interesados: persona física identificada o identificable sobre quien tratan los datos personales.
- Subprocesadores: cualquier procesador contratado por el procesador.
- Controlador adjunto: la entidad que determina, junto con otro controlador, los propósitos y medios para el procesamiento de los datos personales.
Las empresas pueden ser controladoras y procesadoras de datos a la vez: cada procesador se convierte automáticamente en controlador, pero no todos los controladores son procesadores. Por ejemplo, las empresas de nóminas o de estudios de mercado son procesadoras de datos. Una empresa de nóminas, será el controlador de los datos de sus trabajadores, y, además, el procesador cuando se trate de los datos de las empresas para las que trabaja.
¿Qué son los datos personales?
Los datos personales es toda la información sobre una persona física identificada o identificable.
Por ejemplo, los datos personales incluyen:
- el nombre y los apellidos
- el número de teléfono
- la dirección de casa
- el género y la nacionalidad
- información bancaria
- información médica
- cualquier dato sobre intereses u orientación personales
- una dirección de e-mail del tipo nombre.apellido@empresa.com
- el comportamiento de páginas web
- un número de tarjeta identificativo
- datos sobre la localización (por ejemplo, la función de los datos de localización de un teléfono móvil)
- una dirección IP (protocolo de Internet)
- una cookie ID
- el identificador de publicidad de su teléfono (es decir, una identificación única para cada anuncio móvil que utilizan las redes publicitarias para publicar anuncios orientados)
Hay que tener en cuenta que hay una categoría especial de datos personales: son los datos personales sensibles. Estos incluyen, por ejemplo, los datos médicos, los que determinan el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, o datos genéticos o biométricos (por ejemplo, la huella dactilar). Los datos financieros no se consideran sensibles. Si una empresa procesa este tipo de datos sensibles, debe tomar medidas de seguridad y técnicas adicionales.
Es importante tomar en consideración que los datos de la empresa también pueden ser datos personales.
Por ejemplo, emily@teamleader.eu es un tipo de dato personal, dado que la dirección de e-mail puede relacionarse a una persona física identificable, ‘emily’. Las direcciones de e-mail como info@teamleader.eu no se consideran datos personales y están fuera del alcance del RGPD.
Incluso si utilizas datos personales seudonimizados (es decir que remplazas cualquier característica de identificación de los datos con un seudónimo), por ejemplo, mediante hash o cifrado, la identificación sigue siendo posible. Seguimos hablando de datos personales mientras queden elementos identificables y la reconstrucción de los datos personales siga siendo posible.
Para procesar datos personales, hay que tener en cuenta estos principios:
- Equidad y transparencia: los datos personales deben procesarse de manera legal, justa y transparente. Informaremos a los clientes de qué datos personales recopilamos y de cómo los utilizamos.
Ejemplo: Una compañía aérea tiene permiso para preguntarte tu fecha de nacimiento porque necesita esta información para aduanas, pero no pueden utilizarla para fines comerciales.
- Limitación de propósitos: solo se pueden recopilar datos para propósitos específicos, explícitos y legítimos. Después de notificar al interesado de cómo van a ser manejados sus datos, solo te estará permitido utilizarlos para estos propósitos.
Ejemplo: una empresa de licores tiene razones legítimas para preguntarte tu fecha de nacimiento, ya que no puede comercializar su producto con personas por debajo de una edad concreta.
- Minimización de datos: las empresas solo pueden recopilar datos adecuados, relevantes y limitados a las necesidades del propósito, así pues, solamente podrás solicitar la información necesaria para ese proceso.
Ejemplo: Si eres una empresa de entrega de paquetes, no hay razón alguna para que preguntes la fecha de nacimiento.