Icono de lupa

Conoce a fondo el Reglamento General de Protección de Datos (RGPD)

¿Está tu negocio adaptado al nuevo RGPD/LOPD?

El 25 de mayo de 2018 entró en vigor el nuevo Reglamento General de Protección de Datos. Si tu empresa trabaja con datos personales de ciudadanos de la Unión Europea estás obligado a cumplir con esta nueva normativa.

Icono negro de símbolo de interrogación de cierre

¿Qué es el Reglamento General de Protección de Datos?

El nuevo Reglamento General de Protección de Datos (RGPD, por sus siglas en castellano y GDPR, por sus siglas en inglés) aprobado en abril de 2016 por la Unión Europea, constituye un nuevo marco jurídico sobre la protección de los datos personales y sobre sobre su libre circulación.

El RGPD está diseñado para otorgar mayor seguridad y control a las personas sobre su información personal, así como para establecer unas reglas comunes en toda Europa de protección de dicha información.

En España rige la Ley Orgánica de Protección de Datos (LOPD), una de las normativas más estrictas de la Unión Europea en materia de protección de datos. Hasta la entrada en vigor del RGPD, tanto la Directiva 95/46/CE como las normas internas de los diferentes países de la UE seguirán siendo aplicables, incluida la LOPD en España.

Icono azul de documento

¿En qué consiste el nuevo RGPD?

Uno de los principales objetivos de la nueva normativa es el de aumentar la protección a las personas físicas ante el tratamiento y la libre circulación de cualquier tipo de datos personales en un contexto de actividades profesionales. Con el nuevo Reglamento General de Protección de Datos existirá una necesidad de consentimiento inequívoco y explícito del uso de esos datos.

El nuevo RGPD será una norma más estricta. Las sanciones a las empresas pueden llegar al 4% de la facturación anual mundial o a los 20 millones de euros (lo que sea mayor). Además, la condena podrá imponerse aunque no haya pérdida en sí de los datos.

Con todo ello, se dará mayor control de sus datos personales a los ciudadanos, ampliando sus derechos a decidir cómo desean que sus datos sean tratados y cómo quieren recibir información de las empresas.

Icono azul de marca de comprobación

¿Cuándo entra en vigor y quiénes están obligados?

El nuevo Reglamento General de Protección de Datos ya está en vigor desde abril de 2016, pero será de aplicación obligatoria para todas las empresas de la Unión Europea (UE) a partir del 25 de mayo de 2018.

El RGPD tiene grandes implicaciones para todos los departamentos de muchas compañías a nivel mundial, afectando a las empresas y a quienes se encarguen del tratamiento de datos para ellas (incluso fuera de la UE).

Por eso, se recomienda recibir la formación adecuada en esta nueva normativa de protección de datos para trabajar con tiempo en los cambios necesarios para llevar a cabo una correcta adaptación (y evitar posibles sanciones).

Solicita más información

Analiza si tu negocio está preparado con nuestro diagnosticador

Empezar diagnóstico

Curso RGPD para empleados

¿Sabes que tienes la obligación de formar a tus empleados sobre el RGPD?

No sólo se trata de formar a tu equipo, sino de demostrar que has adoptado las medidas adecuadas para un mejor cumplimiento del RGPD.

El curso e-Learning RGPD para empleados te aporta esa acreditación formativa para tus colaboradores.

Más información sobre el curso para empleados

Cumple con la normativa e infórmate sobre las soluciones RGPD Ready de Sage

Nuestros programas incluyen funcionalidades avanzadas que te permiten realizar un seguimiento y tratamiento de tareas vinculadas con el cumplimiento de la gestión, almacenamiento y custodia de documentación relacionada con la gestión de los datos personales.

Icono azul de tarjeta de crédito

Gestor del RGPD

Centro de información del responsable del tratamiento de datos de la empresa/negocio.
Icono azul de dos flechas formando un círculo

Integración con Office 365

Permite realizar copias de seguridad y tener la información compartida con el nivel de seguridad que el nuevo reglamento establece.
Icono azul de birrete de graduación

Formación sobre el RGPD

Incluye un completo programa formativo que te aporta amplios conocimientos teórico-prácticos y de seguridad sobre el RGPD.

Funcionalidades específicas de las Soluciones RGPD Ready

Seguridad

Art. 32 Seguridad del tratamiento 

[…] el encargado del tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros  […]

 Conoce cómo Marta, responsable de tratamiento de datos de su empresa, aumenta el nivel de seguridad en el acceso a la gestión de los datos personales de sus contactos.
youtube video player

Gestión del consentimiento

Art. 4. Apartado 11, sobre la Gestión de Consentimientos

[...]Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen [...]

Marta lo tiene claro. Comprueba cómo gestiona todo el flujo de consentimientos de una forma eficaz y sencilla.
youtube video player

Derecho al olvido

Art. 17 Derecho de supresión o derecho al olvido

[…] Gestionando las excepciones de obligaciones legales.[…] “para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento […]

Fíjate cómo Marta, gestiona este derecho, de una forma muy ágil, cuando recibe una solicitud de supresión de datos de un contacto.
youtube video player

Portabilidad

Art.20. Derecho a la portabilidad de datos

[…] El interesado tendrá derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento o, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento […]

Fíjate cómo Sara responde de forma inmediata a una solicitud de acceso a datos personales, incluyendo la portabilidad de los mismos.
youtube video player

Soluciones RGPD Ready de Sage

Sage 50cloud RGPD Ready

Solución integrada de contabilidad y gestión comercial para pequeñas empresas. 

  • Gestiona de manera integrada la contabilidad y facturación
  • Consolida toda la información financiera de tu empresa
  • Gestión integrada de punto de venta
  • Integración con Office 365
  • Personaliza tu solución a tus necesidades
  • Funcionalidades específicas del RGPD
Sage 200cloud RGPD Ready

Completa solución integrada de gestión empresarial ERP para un control total de tus finanzas, clientes y procesos clave.

  • Mejora la productividad de los departamentos conectando los procesos de la empresa
  • Integración con Office 365, integración automática de apuntes bancarios, tienda online y analítica de datos
  • Gestión de producción y proyectos
  • Personaliza tu solución para adaptarte a los cambios en tu pyme
  • Disponible 100% online
  • Funcionalidades específicas del RGPD
Sage Despachos Connected RGPD Ready

La solución de gestión contable, financiera, laboral y fiscal para asesorías y despachos.

  • Ecosistema de comunicación entre asesor y cliente
  • Gestión de los documentos del despacho y sus clientes
  • Contabilidad colaborativa de los procesos contables y legales con tus clientes
  • Gestión de todo el ciclo laboral, incluyendo un servicio con más de 750 de convenios
  • Gestión fiscal en renta, patrimonio, no residentes, sociedades y depósito de cuentas y libro de actas societarias
  • Funcionalidades específicas RGPD
Descarga el folleto de las soluciones avanzadas RGPD Ready

Descarga gratis tu guía del RGPD y ponte al día con el nuevo reglamento

RGPD: guía completa para pequeñas empresas

Infórmate sobre lo que debes conocer para adaptarte al nuevo reglamento.
Descargar guía
Dos hombres jóvenes sonriendo frente a un ordenador portátil sobre una mesa de madera

RGPD: guía para directores financieros

¿Estás preparado? ¿Qué significa el RGPD para los  directores financieros y su departamento?
Descargar guía
Hombre con ropa elegante que toma un archivo de una estantería en una oficina de aspecto convencional

RGPD: guía para asesorías y despachos profesionales

¿Qué supone el RGPD para tu asesoría o despacho? ¿Y para tus clientes?
Descargar guía

Accede a más contenidos útiles acerca del nuevo RGPD

Black Friday: qué mensajes hay que trasmitir a los compradores para vender más

Black Friday: qué mensajes hay que trasmitir a los compradores para vender más

Una entrada en la que damos las claves para dirigir los mensajes correctos a los clientes actuales (y potenciales) durante el Black Friday.

Leer más Leer más
Sage, el gregario que quiere llevar al despacho profesional a su transformación digital

Sage, el gregario que quiere llevar al despacho profesional a su transformación digital

Nuestro compañero Marc Rius nos habla de los desafios que tiene que afrontar el despachos profesional para llevar a cabo la transformación digital.

Leer más Leer más
Excepciones al control horario (IX): trabajadores en movilidad

Excepciones al control horario (IX): trabajadores en movilidad

¿Cómo se realiza el control horario de los trabajadores en movilidad? Esta cuestión y otras más, te las resolvemos en este post.

Leer más Leer más
Modelo 232: las preguntas que te haces y las respuestas que necesitas

Modelo 232: las preguntas que te haces y las respuestas que necesitas

El modelo 232, que habrá que presentar a partir de noviembre, informa de las operaciones vinculadas y situaciones relacionadas con paraísos fiscales.

Leer más Leer más

Preguntas y respuestas sobre el Reglamento General de Protección de Datos (RGPD)

El Reglamento General de Protección de Datos será obligatorio a partir del 25 de mayo de 2018. Para facilitar la comprensión y adaptación a la nueva normativa, la AEPD (Agencia Española de Protección de Datos) ha elaborado un documento de preguntas y respuestas para ayudar a los ciudadanos y a las organizaciones en su adaptación a estos cambios.

No. El Reglamento ha entrado en vigor el 25 de mayo de 2016, pero no comenzará a aplicarse hasta dos años después, el 25 de mayo de 2018. Hasta entonces, tanto la Directiva 95/46 como las normas nacionales que la trasponen, entre ellas la española, siguen siendo plenamente válidas y aplicables.

El periodo de dos años hasta la aplicación del Reglamento tiene como objetivo permitir que los Estados de la Unión Europea, las instituciones europeas y también las organizaciones que tratan datos vayan preparándose y adaptándose para el momento en que el Reglamento sea aplicable.
 
En esos dos años, por ejemplo, los Estados miembros pueden adoptar o iniciar la elaboración de determinadas normas que sean necesarias para permitir o facilitar la aplicación del Reglamento. Esas normas no pueden ser contrarias a las disposiciones de la vigente Directiva ni tampoco ir más allá de los poderes de actuación normativa que el propio Reglamento prevé de forma explícita o implícita.

El Reglamento se aplicará como hasta ahora a responsables o encargados de tratamiento de datos establecidos en la Unión Europea, y se amplía a responsables y encargados no establecidos en la UE siempre que realicen tratamientos derivados de una oferta de bienes o servicios destinados a ciudadanos de la Unión o como consecuencia de una monitorización y seguimiento de su comportamiento.
 
Para que esta ampliación del ámbito de aplicación pueda hacerse efectiva, esas organizaciones deberán nombrar un representante en la Unión Europea, que actuará como punto de contacto de las autoridades de supervisión y de los ciudadanos y que, en caso necesario, podrá ser destinatario de las acciones de supervisión que desarrollen esas autoridades. Los datos de contacto de ese representante en la Unión deberán proporcionarse a los interesados entre la información relativa a los tratamientos de sus datos personales.

Esta novedad supone una garantía adicional para los ciudadanos europeos. En la actualidad, para tratar datos no es necesario mantener una presencia física en un territorio, por lo que el Reglamento pretende adaptar los criterios que determinan qué empresas deben cumplirlo a la realidad del mundo de Internet.
 
Ello permite que el Reglamento sea aplicable a empresas que, hasta ahora, podían estar tratando datos de personas en la Unión y, sin embargo, se regían por normativas de otras regiones o países que no siempre ofrecen el mismo nivel de protección que la normativa europea.

El Reglamento introduce nuevos elementos, como el derecho al olvido y el derecho a la portabilidad, que mejoran la capacidad de decisión y control de los ciudadanos sobre los datos personales que confían a terceros.
El derecho al olvido se presenta como la consecuencia del derecho que tienen los ciudadanos a solicitar, y obtener de los responsables, que los datos personales sean suprimidos cuando, entre otros casos, estos ya no sean necesarios para la finalidad con la que fueron recogidos, cuando se haya retirado el consentimiento o cuando estos se hayan recogido de forma ilícita. Asimismo, según la sentencia del Tribunal de Justicia de la Unión Europea de 13 de mayo de 2014, que reconoció por primera vez el derecho al olvido recogido ahora en el Reglamento europeo, supone que el interesado puede solicitar que se bloqueen en las listas de resultados de los buscadores los vínculos que conduzcan a informaciones que le afecten que resulten obsoletas, incompletas, falsas o irrelevantes y no sean de interés público, entre otros motivos.
 
Por su parte, el derecho a la portabilidad implica que el interesado que haya proporcionado sus datos a un responsable que los esté tratando de modo automatizado podrá solicitar recuperar esos datos en un formato que le permita su traslado a otro responsable. Cuando ello sea técnicamente posible, el responsable deberá trasferir los datos directamente al nuevo responsable designado por el interesado.

El Reglamento establece que la edad a la que los menores pueden prestar por sí mismos su consentimiento para el tratamiento de sus datos personales en el ámbito de los servicios de la sociedad de la información (por ejemplo, redes sociales) es de 16 años. Sin embargo, permite rebajar esa edad y que cada Estado miembro establezca la suya propia, estableciendo un límite inferior de 13 años. En el caso de España, ese límite continúa en 14 años. Por debajo de esa edad, es necesario el consentimiento de padres o tutores.

En el caso de las empresas que recopilen datos personales, es importante recordar que el consentimiento tiene que ser verificable y que el aviso de privacidad debe estar escrito en un lenguaje que los niños puedan entender.

Uno de los aspectos esenciales del Reglamento es que se basa en la prevención por parte de las organizaciones que tratan datos. Es lo que se conoce como responsabilidad activa. Las empresas deben adoptar medidas que aseguren razonablemente que están en condiciones de cumplir con los principios, derechos y garantías que el Reglamento establece. El Reglamento entiende que actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, dado que esa infracción puede causar daños a los interesados que pueden ser muy difíciles de compensar o reparar. Para ello, el Reglamento prevé una batería completa de medidas:
  • Protección de datos desde el diseño
  • Protección de datos por defecto
  • Medidas de seguridad
  • Mantenimiento de un registro de tratamientos
  • Realización de evaluaciones de impacto sobre la protección de datos
  • Nombramiento de un delegado de protección de datos
  • Notificación de violaciones de la seguridad de los datos
  • Promoción de códigos de conducta y esquemas de certificación

El Reglamento supone un mayor compromiso de las organizaciones, públicas o privadas, con la protección de datos. Pero ello no implica necesariamente ni en todos los casos una mayor carga. En muchos casos será sólo una forma de gestionar la protección de datos distinta de la que se viene empleando ahora.
 
En primer lugar, algunas de las medidas que introduce el Reglamento son una continuación o reemplazan a otras ya existentes, como es el caso de las medidas de seguridad o de la obligación de documentación y, hasta cierto punto, la evaluación de impacto y la consulta a autoridades de supervisión.
 
Otras constituyen la formalización en una norma legal de prácticas ya muy extendidas en las empresas o que, en todo caso, formarían parte de una correcta puesta en marcha de un tratamiento de datos, como pueden ser la privacidad desde el diseño y por defecto, la evaluación de impacto sobre protección de datos en ciertos casos o la existencia de un delegado de protección de datos.
 
En todos los casos, el Reglamento prevé que la obligación de estas medidas, o el modo en que se apliquen, dependerá de factores tales como el tipo de tratamiento, los costes de implantación de las medidas o el riesgo que el tratamiento presenta para los derechos y libertades de los titulares de los datos.
 
Por ello, es necesario que todas las organizaciones que tratan datos realicen un análisis de riesgo de sus tratamientos para poder determinar qué medidas han de aplicar y cómo hacerlo. Estos análisis pueden ser operaciones muy simples en entidades que no llevan a cabo más que unos pocos tratamientos sencillos que no impliquen, por ejemplo, datos sensibles, u operaciones más complejas en entidades que desarrollen muchos tratamientos, que afecten a gran cantidad de interesados o que por sus características requieren de una valoración cuidadosa de sus riesgos.
 
Las autoridades de protección de datos europeas de forma colectiva, y la Agencia Española individualmente, estamos ya trabajando en el desarrollo de herramientas que faciliten la identificación y valoración de riesgos y en recomendaciones sobre la aplicación de medidas, especialmente en relación con pymes que realizan los tratamientos de datos más habituales en la gestión empresarial.

Una de las bases fundamentales para tratar datos personales es el consentimiento. El Reglamento pide que el consentimiento, con carácter general, sea libre, informado, específico e inequívoco. Para poder considerar que el consentimiento es inequívoco, el Reglamento requiere que haya una declaración de los interesados o una acción positiva que indique el acuerdo del interesado. El consentimiento no puede deducirse del silencio o de la inacción de los ciudadanos.
 
Las empresas deberían revisar la forma en la que obtienen y registran el consentimiento. Las prácticas que se encuadran en el llamado consentimiento tácito y que son aceptadas bajo la actual normativa dejarán de serlo cuando el Reglamento sea de aplicación.
 
Además, el Reglamento prevé que el consentimiento haya de ser explícito en algunos casos, como puede ser para autorizar el tratamiento de datos sensibles. Se trata de un requisito más estricto, ya que el consentimiento no podrá entenderse como concedido implícitamente mediante algún tipo de acción positiva. Así, será preciso que la declaración u acción se refieran explícitamente al consentimiento y al tratamiento en cuestión.
 
Hay que tener en cuenta que el consentimiento tiene que ser verificable y que quienes recopilen datos personales deben ser capaces de demostrar que el afectado les otorgó su consentimiento. Por ello, es importante revisar los sistemas de registro del consentimiento para que sea posible verificarlo ante una auditoría.

Con carácter general, sí. El Reglamento prevé que se incluyan en la información que se proporciona a los interesados una serie de cuestiones que con la Directiva y muchas leyes nacionales de trasposición no eran necesariamente obligatorias. Por ejemplo, habrá que explicar la base legal para el tratamiento de los datos, los períodos de retención de estos y que los interesados pueden dirigir sus reclamaciones a las autoridades de protección de datos si creen que hay un problema con la forma en que están manejando sus datos. Es importante recordar que el Reglamento exige de forma expresa que la información que se proporcione sea fácil de entender y presentarse en un lenguaje claro y conciso.

Este sistema está pensado para que los responsables establecidos en varios Estados miembros o que, estando en un solo Estado miembro, hagan tratamientos que afecten significativamente a ciudadanos en varios Estados de la UE tengan una única autoridad de protección de datos como interlocutora. También implica que cada autoridad de protección de datos europea, en lugar de analizar una denuncia o autorizar un tratamiento a nivel estrictamente nacional, a partir de la aplicación del Reglamento valorará si el supuesto tiene carácter transfronterizo, en cuyo caso habrá que abrir un procedimiento de cooperación entre todas las Autoridades afectadas buscando una solución aceptable para todas ellas. Si hay discrepancias insalvables, el caso puede elevarse al Comité Europeo de Protección de Datos, un organismo de la Unión integrado por los directores de todas las autoridades de protección de datos de la Unión. Ese comité resolverá la controversia mediante decisiones vinculantes para las autoridades implicadas.

Este nuevo sistema no supone que los ciudadanos tengan que relacionarse con varias autoridades o con autoridades distintas de la del Estado donde residan. Siempre pueden plantear sus reclamaciones o denuncias ante su propia autoridad nacional (en el caso español, la Agencia Española de Protección de Datos). La gestión será realizada por esa autoridad, que será también responsable de informar al interesado del resultado final de su reclamación o denuncia.

La ventanilla única, en todo caso, no afectará a empresas que sólo estén en un Estado miembro y que realicen tratamientos que afecten sólo a interesados en ese Estado.

No. El Reglamento está en vigor, pero no será aplicable hasta 2018.
 
Sin embargo, puede ser útil para las organizaciones que tratan datos empezar ya a valorar la implantación de algunas de las medidas previstas, siempre que esas medidas no sean contradictorias con las disposiciones de la LOPD, que sigue siendo la norma por la que han de regirse los tratamientos de datos en España.
 
Por ejemplo, las organizaciones deben tener en cuenta que a partir de mayo de 2018 deberán realizar análisis de riesgo de sus tratamientos y que puede ser útil para ellas empezar desde ahora a identificar el tipo de tratamientos que realizan, el grado de complejidad del análisis que deberán llevar a cabo, etc. En esta tarea podrían utilizar las herramientas y recursos que paulatinamente vayan desarrollando las autoridades de protección de datos.
 
Igualmente, nada impide que las organizaciones comiencen a planificar o a establecer el registro de tratamientos de datos o a implantar las evaluaciones de impacto o cualquier otra de las medidas previstas.
 
Del mismo modo, las organizaciones podrían comenzar a diseñar e implantar los procedimientos para notificar adecuadamente a las autoridades de protección de datos o a los interesados las quiebras de seguridad que pudieran producirse.
 
En general, las organizaciones que tratan datos personales deberían comenzar a preparar la aplicación de estas medidas, así como de otras modificaciones prácticas derivadas del Reglamento. Por ejemplo, el Reglamento exige que los responsables de tratamiento faciliten a los interesados el ejercicio de sus derechos. Aunque la interpretación de facilitar pueda variar dependiendo de los casos, incluye en todos ellos algún tipo de actuación positiva por parte de los responsables para hacer más accesibles y sencillas las vías para el ejercicio de derechos.
 
La ventaja de una pronta aplicación es que permitirá detectar dificultades, insuficiencias o errores en una etapa en que estas medidas no son obligatorias y, en consecuencia, su corrección o eficacia no estarían sometidas a supervisión. Ello permitiría corregir errores para el momento en que el Reglamento sea de aplicación.
Solicita más información

Aviso legal de Sage

La información contenida en este sitio web tiene una finalidad meramente orientativa. Por tanto, no debe interpretarse como asesoramiento jurídico ni fue creada para tal fin. Nos gustaría destacar que los clientes deberán realizar sus propias investigaciones detalladas o buscar su propio asesoramiento jurídico cuando no estén seguros de las implicaciones del RGPD para su negocio. Aunque hemos hecho todo lo posible para asegurarnos de que la información incluida en este sitio web sea correcta y esté actualizada, Sage no se compromete a garantizar su integridad ni su exactitud, y entrega esta información tal como está, sin garantía alguna, ni expresa ni implícita. Sage no asume ninguna responsabilidad por errores u omisiones y no se responsabiliza de ningún daño (incluidos, entre otros, los daños por pérdida de negocio o pérdida de ganancias) que pudiera surgir por contrato, agravio o de cualquier otra manera por usar esta información o basarse en ella, o por cualquier medida o decisión tomada como resultado del uso de esta información.