¿Qué es el RGPD?

En abril de 2016, el Parlamento Europeo aprobó una nueva legislación que regula, de manera más amplia y extendida a todos los países de la Unión Europea, la forma en que los datos personales de los ciudadanos europeos pueden recogerse, almacenarse, transferirse y protegerse. La reglamentación (GDPR – Global Data Protection Regulation) tiene como objetivo dar mayor control a los ciudadanos sobre la forma en que se utiliza su información personal.

¿Qué son datos personales?

“PII – Personally Identifiable Information – Cualquier información, relativa a una persona física, identificada o identificable”

Se considera “identificable” una persona física que pueda identificarse, directa o indirectamente, por referencia a un identificador, como por ejemplo un nombre, un número de identificación, datos de localización o identificadores por vía electrónica, o a uno o más elementos específicos de la localización identidad física, fisiológica, genética, mental, económica, cultural o social.

Los datos pueden constar en cualquier soporte, sea físico, virtual, gráfico, tecnológico o sonoro. Esto engloba etiquetas, archivos, chips/tarjetas RFID, material impreso/escrito, etc.

Tratamiento de datos personales

El tratamiento de datos personales engloba cualquier acción sobre los mismos y sólo puede ser efectuado cuando existe consentimiento. El consentimiento tiene que ser:

  • “Libre” – partiendo de una acción proactiva del usuario, sin limitarlo en el acceso a servicios y con la posibilidad de ser retirado con la misma facilidad que se ha dado;
  • “Informado” – en lenguaje simple y directo;
  • “Específico” – Por cada finalidad de tratamiento tendrá que ser dado consentimiento (por ejemplo: registrarse para entrar en un evento es diferente de registrarse para recibir informaciones de Marketing);
  • “Expreso” – No se permiten opciones pre-validadas y la omisión no puede servir de “consentimiento”;
  • “Demostrable” – El responsable del tratamiento de datos debe poder demostrar que el consentimiento ha sido dado o retirado;

El tratamiento de datos también es admisible cuando existe un interés legítimo (por ejemplo, cobro de servicios), por obligación legal o en el curso de una contratación de servicios (pago de salarios, verificación de reclamaciones, etc.).

Procesamiento de datos vs. Control de datos (data processor vs. data controller)

Es fundamental que las organizaciones envolvidas en el procesamiento de datos personales perciban su papel y que determinen si actúan como “data processor” o “data controller”. Esta información es relevante para determinar la responsabilidad.

La entidad responsable del control de datos determina el objetivo de utilización de los datos y la forma en que ellos se procesarán.

Amplitud

El reglamento sigue a los ciudadanos y los protege en cualquier lugar del globo. Esto significa que es aplicable a cualquier organización o evento que recoja o procese información personal de ciudadanos europeos, independientemente de la ubicación del evento, ya sea en la Unión Europea o en cualquier otro lugar.

Regrese a nuestro índice RGPD: ¿Sus eventos están preparados para el RGPD?

¿Ha quedado alguna duda? ¡Hable con nosotros!


Sergio Pinto

Sergio Pinto

With more than 15 years of experience in IT and telecom industry has passed the last years investigating and developing tech solutions for the events industry.