El RGPD establece los requisitos mínimos que debe cumplir el tratamiento de todos los datos personales. Por datos personales se entiende toda información (tales como el aspecto físico o incluso datos biométricos) sobre una persona física identificada o identificable.
La norma hace una referencia clara a que el consentimiento del usuario ha de ser libre, informado, específico e inequívoco. Las empresas tendrán que informar a los usuarios sobre que datos recogen y los fines para los que lo hacen.
El objetivo del RGPD es la protección de los datos personales, es decir, los relativos a personas físicas. De hecho, el RGPD es una de las mayores reestructuraciones de cómo debería ser el tratamiento de los datos personales y puede llegar a afectar no solo a las empresas, sino a cualquier persona, entidad, autoridad pública, servicio u otro organismo que procese datos personales de quienes residan en la UE. Ahí se incluyen proveedores y terceras empresas a los que se encargue el tratamiento de datos personales.
El RGPD amplía la protección considerablemente, ya que da más derechos que, una vez más, deben comunicarse a los interesados. En concreto, debe informárseles de que tienen los siguientes derechos (entre otros):
- A la queja ante las autoridades de control, como la Agencia Española de Protección de Datos.
- A la retirada del consentimiento al tratamiento de sus datos personales.
- Al acceso a sus datos personales, así como a su rectificación o supresión («el derecho al olvido») por parte de la empresa y por terceros que hayan tenido acceso a ellos.
- Al conocimiento de la existencia de cualquier tratamiento automatizado de los datos personales
(incluida la elaboración de perfiles). - A la oposición a ciertos tipos de tratamiento, como por ejemplo el marketing directo o las decisiones basadas únicamente en un tratamiento automatizado.
- A ser informado de cuánto tiempo se conservarán los datos personales.
- A conocer los datos de contacto de los delegados de protección de datos designados.
Sanciones RGPD
Las sanciones por el incumplimiento del RGPD son duras y podrían ascender al 4 % del volumen de negocio anual en todo el mundo o a 20 millones de euros, la cuantía que sea mayor. La sanción puede imponerse aunque no haya pérdida en sí de los datos.
Cabe destacar que no existen exclusiones ni excepciones para las pequeñas empresas. Además, las personas físicas tienen la posibilidad de presentar una demanda colectiva solicitando una investigación formal si una empresa no cumple el RGPD.