Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) y RGPD

La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante LOPDGDD) y el Reglamento General de Protección de Datos (en adelante RGPD) que regula el tratamiento que realizan personas, empresas u organizaciones de los datos personales relacionados con personas en la Unión Europea (UE) son dos normas de obligado cumplimiento para cualquier entidad que realice un tratamiento de datos de clientes, proveedores, empleados, socios o cualquier otra figura, para el desarrollo de sus actividades.

Hay que distinguir dentro de los obligados al cumplimiento de estas normativas, dos figuras:

• Responsable del tratamiento, que es el titular del fichero que contenga datos personales.
• Encargado del tratamiento, que es la persona o entidad que tiene acceso al fichero de datos personales para prestar algún servicio al responsable del fichero.

Si tienes una empresa unipersonal serás el responsable del tratamiento, independientemente de que contrates como encargado del tratamiento a un tercero.

Datos a los que se aplica la LOPDGDD y el RGPD.
Un dato personal es toda información que nos puede identificar o hacer identificables. Por tanto, la protección de datos personales en empresas no se refiere solo a datos íntimos, sino a cualquier tipo de dato que identifique o permita la identificación de una persona, y esté en conocimiento o tratamiento de terceros.
Así pues, tanto la LOPDGDD como el RGPD serán de aplicación a:

• Datos de carácter personal registrados en soporte físico.
• Datos que los haga susceptibles de tratamiento.
• A toda modalidad de uso posterior de estos datos por los sectores público y privado en los siguientes supuestos:
  • Cuando el tratamiento sea efectuado en territorio español en el marco de las actividades de un establecimiento del responsable del tratamiento.
  • Cuando al responsable del tratamiento no establecido en territorio español, le sea de aplicación la legislación española en aplicación de normas de Derecho Internacional público.
  • Si el responsable del tratamiento no está establecido en territorio de la UE y utiliza en el tratamiento de datos medios situados en territorio español, salvo que tales medios se utilicen únicamente con fines de tránsito.

Teniendo en cuenta que el RGPD y la LOPD para empresas obligan a indicar:

• Quiénes son los responsables y encargados del tratamiento.
• Qué actividades son objeto de tratamiento y qué datos se registran.
• Cuál es la finalidad del tratamiento.
• Plazo de conservación de los datos.
• Si los datos van a ser cedidos a terceros, y con qué finalidad. 
• Cuáles son las vías para ejercer los derechos de Acceso, Rectificación, Supresión, Limitación del Tratamiento, Portabilidad y Oposición.

También hay que saber que la protección de datos obliga las empresas a obtener consentimiento expreso para tratar los datos del interesado, así como a informar sobre el aviso legal, la política de privacidad o la política de cookies, para garantizar la máxima información a los usuarios en el entorno digital.

Encontrarás más información en la web de la Agencia Española de Protección de datos: https://www.aepd.es/es

FACILITA 2.0: herramienta destinada a aquellas empresas, pymes y autónomos que realizan tratamientos de datos personales con escaso nivel de riesgos (proveedores, clientes, empleados): enlace