Reglamento General de Protección de Datos (RGPD)

Una guía de Stripe acerca de los cambios relativos a la privacidad y la protección de datos en Europa

Introducción

Última actualización del 25 de septiembre de 2020 para reflejar la sentencia del Tribunal de Justicia de la Unión Europea en el caso Schrems II.

Un resumen de la nueva normativa sobre privacidad y protección de datos vigente desde el 25 de mayo de 2018, y algunas de las mejores prácticas para el cumplimiento del Reglamento General de Protección de Datos (RGPD)

El RGPD es el cambio más importante de las últimas décadas en la normativa sobre privacidad de datos. Las empresas están trabajando para introducir grandes cambios en sus sistemas y contratos. Aquellas que cuentan con plataformas compatibles que respetan la privacidad disfrutan de una ventaja inicial. La presente guía intenta ayudar a nuestros usuarios a comprender las amplias consecuencias del RGPD, la oportunidad que ofrece de mejorar el tratamiento de datos y la forma de conseguir y mantener el cumplimiento del RGPD.

Letra pequeña: Esta guía sobre el RGPD se facilita únicamente con fines informativos. No constituye asesoramiento jurídico. Hable con su abogado para obtener asesoramiento personalizado y saber cómo puede afectar el RGPD a su empresa.

¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es un nuevo instrumento legal de protección de la privacidad y los datos para toda la Unión Europea (UE). Requiere instituir salvaguardias de la privacidad más definidas en los sistemas organizacionales, acuerdos de protección de datos más detallados y declaraciones más pormenorizadas de las prácticas de privacidad y protección de datos de cada organización, que sean de fácil comprensión para el consumidor.

El RGPD sustituye el marco legal vigente en materia de protección de datos de la UE desde 1995 (comúnmente conocido como «Directiva de Protección de Datos»). La Directiva de Protección de Datos tenía que ser transpuesta al Derecho nacional de los Estados miembros de la UE, lo que dio lugar a una fragmentación del panorama legislativo de protección de datos en la UE. El RGPD es un reglamento de la UE que tiene efecto legal directo en todos los Estados miembros de la UE, es decir, para que adquiera fuerza vinculante no es necesario transponerlo al Derecho nacional de los Estados miembros de la UE. De este modo, se incrementará la coherencia y la aplicación uniforme de la legislación en la UE.

El RGPD puede aplicarse a organizaciones ubicadas fuera de la UE

A diferencia de la Directiva de Protección de Datos, el RGPD puede aplicarse a cualquier empresa que opere a nivel mundial, no solo a las ubicadas en la UE. Una organización puede quedar comprendida en el ámbito de aplicación del RGPD (I) si está establecida en la UE, o (II) aunque la organización no esté establecida en la UE, si sus actividades de tratamiento de datos se relacionan con personas físicas de la UE y guardan relación con la oferta de bienes y servicios a tales interesados o con la observación de su comportamiento.

El tratamiento de datos personales es un concepto amplio conforme al RGPD

El RGPD regula la forma en que los datos personales de las personas físicas de la UE pueden ser tratados por las organizaciones. Los términos «datos personales» y «tratamiento» se utilizan con frecuencia en la legislación, por lo que comprender su significado concreto conforme al RGPD esclarece el verdadero alcance de esta norma legal:

  • Por datos personales se entenderá toda información sobre una persona física identificada o identificable. Es un concepto muy amplio, ya que comprende cualquier información que pueda utilizarse por sí sola o en combinación con otros elementos a fin de identificar a una persona. Son datos personales no solo el nombre o la dirección de correo electrónico de una persona, sino también otros datos, como la información financiera o incluso, en algunos casos, una dirección IP. Además, algunas categorías de datos personales reciben un mayor nivel de protección por su carácter sensible. Estas categorías de datos se refieren a información sobre el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física, así como los antecedentes penales.

  • El tratamiento de datos personales es la actividad fundamental que da lugar a obligaciones en virtud del RGPD. Por tratamiento se entenderá cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción. En la práctica, esto significa que cualquier proceso en el que se almacenen o consulten datos personales se considerará un tratamiento.

Conceptos clave: responsables y encargados del tratamiento de los datos

En la legislación de la UE en materia de protección de datos, existen dos tipos de entidades que pueden llevar a cabo el tratamiento de datos personales: el responsable y el encargado del tratamiento de los datos.

El responsable del tratamiento (en adelante, el «responsable») es la entidad que, por sí sola o junto con otras, determina los fines y medios del tratamiento de los datos personales. El encargado del tratamiento (en adelante, el «encargado») es la entidad que trata los datos personales en nombre del responsable.

Es importante determinar por cada actividad de tratamiento de datos, si la entidad que trata los datos personales es un responsable o un encargado. La elaboración de ese mapa permite a una organización entender los derechos y las obligaciones que corresponden a cada una de sus operaciones de tratamiento de datos.

Stripe ejerce ciertas actividades de tratamiento de datos en las que actúa como responsable y otras en las que actúa como encargado. Un buen ejemplo de esta función dual es el caso en que Stripe tramita transacciones con tarjetas de crédito. Para que sea posible una transacción, se requiere el tratamiento de datos personales, como el nombre del titular de la tarjeta, el número de la tarjeta de crédito, la fecha de caducidad de la tarjeta y el código CVC. Los datos del titular de la tarjeta son enviados desde el usuario a Stripe a través de la API de Stripe (u otro método de integración como Stripe Elements). A continuación, Stripe utiliza los datos para efectuar la transacción en los sistemas de redes de tarjetas de crédito. En esta función, Stripe actúa como encargado del tratamiento. Sin embargo, Stripe también utiliza los datos para cumplir sus obligaciones regulatorias, como en los procesos de KYC y la prevención del blanqueo de capitales. En estos casos, Stripe actúa como responsable del tratamiento de datos.

Base jurídica para el tratamiento de los datos personales en el RGPD

A continuación, debe definirse si una determinada actividad de tratamiento de datos cumple o no con el RGPD. Con arreglo a este, toda actividad de tratamiento de datos realizada como responsable o encargado del tratamiento ha de estar amparada por una base jurídica. El RGPD reconoce un total de seis fundamentos jurídicos para el tratamiento de datos personales de interesados de la UE (en el RGPD, las personas físicas de la UE se denominan «interesados»). Estos seis fundamentos jurídicos, según el orden establecido en el artículo 6, apartado 1, letras a) a f) del RGPD, son los siguientes:

  1. El interesado ha dado consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos.

  2. El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte, o para la aplicación a petición de este de medidas precontractuales.

  3. El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

  4. El tratamiento es necesario para proteger intereses vitales del interesado.

  5. El tratamiento es necesario para el cumplimiento de una labor que se hace al servicio del interés público o en ejercicio del poder público.

  6. El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por la entidad, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales.

Existen semejanzas entre la lista de tratamientos permitidos contenida en el RGPD y la lista recogida en la Directiva de Protección de Datos. Sin embargo, existen también divergencias significativas.

La modificación más comentada introducida por el RGPD en comparación con la Directiva de Protección de Datos es el endurecimiento de los requisitos de consentimiento (punto 1 de la lista anterior). Los requisitos de consentimiento del RGPD incluyen elementos como estos: (I) el consentimiento debe ser verificable, (II) la solicitud de consentimiento debe distinguirse claramente de otros asuntos, y (III) los interesados han de ser informados de su derecho de retirar el consentimiento. Es también importante tener presente que, en el caso del tratamiento de datos sensibles, se impone un requisito de consentimiento aún superior (el «consentimiento explícito»).

Cabe destacar también el punto relativo al interés legítimo (punto 6 de la lista anterior). Al invocar un «interés legítimo» como base del tratamiento de datos personales, una organización ha de tener en cuenta el requisito de la ponderación de intereses, que es inherente a esta base jurídica. Para satisfacer el principio de responsabilidad según lo previsto en el RGPD, una organización debe documentar el cumplimiento del requisito de ponderación de intereses, que incluye el enfoque y los argumentos que se tuvieron en cuenta para concluir que dicho requisito se cumplía.

Derechos de las personas físicas en virtud del RGPD

La Directiva de Protección de Datos garantizaba a las personas físicas ciertos derechos básicos en relación con sus datos personales. Dichos derechos siguen aplicándose conforme al RGPD, con algunas modificaciones aclaratorias. En el siguiente gráfico, se comparan los derechos de las personas físicas derivados de la Directiva de Protección de Datos y del RGPD.

Derecho de la persona física Directiva de Protección de Datos RGPD
Solicitud de acceso del interesado Los interesados tienen derecho a saber si sus datos personales están siendo tratados, qué datos personales suyos están siendo tratados y en qué forma, y en qué consisten las operaciones de tratamiento de los datos. El RGPD ha ampliado el alcance de este derecho. Por ejemplo, al efectuar una solicitud de acceso, los interesados deben recibir información adicional, en particular información sobre sus derechos de protección de datos en virtud del RGPD que no existían anteriormente, como el derecho a la portabilidad de los datos.
Derecho de oposición Una persona física puede prohibir ciertas operaciones de tratamiento de datos por motivos legítimos imperiosos. Asimismo, puede oponerse al tratamiento de sus datos personales con fines de marketing directo. El RGPD ha ampliado el alcance de este derecho en comparación con lo previsto en la Directiva de Protección de Datos.
Derecho de rectificación o supresión El interesado podrá solicitar que se completen los datos personales que estén incompletos o que los datos incorrectos sean rectificados a fin de garantizar que el tratamiento de los datos personales cumpla los principios de protección de datos aplicables. Conforme al RGPD, la posición es sustancialmente la misma que en la Directiva de Protección de Datos, si bien el RGPD incrementa algunas protecciones procedimentales.
Derecho a la limitación del tratamiento No existe el derecho a la limitación del tratamiento. No obstante, la Directiva de Protección de Datos confiere a las personas físicas el derecho de solicitar el bloqueo de sus datos personales cuando las actividades de tratamiento no respeten los principios de protección de datos, por ejemplo, cuando los datos sean incompletos o inexactos. El RGPD confiere a las personas físicas el derecho a solicitar la limitación del tratamiento de sus datos personales en ciertas circunstancias, en particular cuando el interesado impugna la exactitud de los datos.
Derecho de supresión («derecho al olvido») Las personas físicas tienen derecho a solicitar la supresión de sus datos personales si las actividades de tratamiento no han respetado los principios de protección de datos. Por tanto, el ámbito de este derecho es muy reducido. El RGPD ha ampliado sustancialmente este derecho. Por ejemplo, el derecho de supresión puede ser ejercido cuando los datos personales ya no sean necesarios para los fines para los que fueron recogidos, o si el interesado ha retirado su consentimiento para el tratamiento y ninguna otra base jurídica legitima la continuación del tratamiento.
Derecho a la portabilidad de los datos La Directiva de Protección de Datos no menciona expresamente la «portabilidad de los datos» como derecho del interesado. Las leyes de los Estados miembros de la UE pueden tener previstos, a nivel nacional, derechos adicionales semejantes al derecho de portabilidad de los datos. Los interesados pueden solicitar que sus datos personales en manos de un responsable del tratamiento les sean transmitidos a ellos mismos o a otro responsable del tratamiento.

Transferencias internacionales de datos

En los últimos años, la circulación internacional de datos ha pasado a ser un tema candente, y los debates y las reformas legislativas en este ámbito han sido considerables. Casi con seguridad, puede afirmarse que las leyes sobre la circulación internacional de datos seguirán evolucionando en los próximos años. Actualmente, con arreglo a la legislación de la UE sobre protección de datos, es preciso que concurran determinados requisitos antes de que los datos de personas físicas de la UE puedan ser transferidos fuera de la UE, salvo si la organización que recibe los datos personales está situada en una jurisdicción incluida en la lista de jurisdicciones aprobadas (consultar aquí para ver las jurisdicciones de esa lista).

De conformidad con el RGPD, las transferencias internacionales de datos son una cuestión compleja, ya que la legislación sigue evolucionando y solo existen unos pocos mecanismos de transferencia de datos. Pese a la complejidad que ello entraña, las organizaciones tienen que mantenerse al corriente de la evolución de las normas, puesto que el cumplimiento de la normativa en la circulación de datos personales es la piedra angular de cualquier empresa de tecnología.

Ya no nos basaremos en el sistema denominado Escudo de Protección de la Privacidad como mecanismo de transferencia de datos que procedan de la Unión Europea, dado que el Escudo de Privacidad entre la UE y los EE. UU. y el Escudo de Privacidad entre Suiza y EE. UU. ya no son válidos como resultado de la sentencia Schrems II, que el Tribunal de Justicia de la Unión Europea emitió el 16 de julio de 2020. Sí seguiremos respetando los principios de este marco porque aún ofrecen a los usuarios vías de protección de la privacidad. Por esta razón, continuaremos haciendo referencia al Escudo de Privacidad en las políticas y acuerdos.

En términos más generales, Stripe ha instituido medidas para cumplir la normativa sobre transferencias de datos internacionales aplicables a todas las entidades Stripe del mundo que procesan datos personales de personas físicas de la UE. Estas medidas se basan en las Cláusulas Contractuales Tipo de la UE.

Como se ha señalado anteriormente, la circulación internacional de datos continúa siendo un área de potenciales reformas legislativas futuras. Por esta razón, hacemos un seguimiento muy atento de las novedades legislativas relativas a las medidas de cumplimiento de la normativa en materia de transferencias de datos internacionales, y adoptamos todas las medidas disponibles a fin de garantizar la conformidad de las transferencias internacionales de datos personales correspondientes a interesados de la UE. Esto significa, asimismo, que hemos incorporado redundancias a nuestro programa de cumplimiento de la normativa sobre transferencias de datos, en la máxima medida posible, y esperamos ampliarlas con las herramientas disponibles para Stripe conforme al RGPD.

Incumplimiento

La multa máxima que puede imponerse a una organización infractora es la consecuencia más comentada del incumplimiento del RGPD. La máxima multa que puede imponerse es del 4 % de los ingresos globales o de 20 millones de EUR, lo que sea mayor. Ciertos tipos de infracciones entrañan una multa máxima del 2 % de los ingresos globales o de 10 millones de EUR, lo que sea mayor.

Menos referencias se han hecho a las autoridades de control previstas en el artículo 58 del RGPD. Las autoridades de control tienen, entre otras, la facultad de imponer acciones correctivas, como la limitación temporal o definitiva de las actividades de tratamiento de datos, incluida una prohibición total del tratamiento, o la orden de suspender los flujos de datos hacia un destinatario situado en un tercer país.

Stripe y el RGPD

En Stripe, la privacidad, la protección y la seguridad de los datos se encuentran en el centro de todo lo que hacemos. Trabajamos continuamente para ser más exigentes con nosotros mismos en materia de seguridad y privacidad de datos y consideramos que el RGPD brinda una oportunidad para que todo el sector se una en esto y mejore.

Stripe inició sus esfuerzos para cumplir con el RGPD ya en 2016, y hoy trabajamos para velar por que nuestros servicios cumplan con el reglamento desde su fecha de entrada en vigor, el 25 de mayo de 2018.

El cumplimiento del RGPD consta de múltiples elementos. Por ejemplo, estamos actualizando nuestra documentación y contratos para adaptarlos a las exigencias del RGPD. Asimismo, estamos revisando nuestras políticas y procedimientos internos con el fin de garantizar que se atengan a los criterios del RGPD.

En el cumplimiento del RGPD, la mayoría de los elementos tienen lugar en el interior de una organización, ya que se refieren a la actualización del modo como la organización trata los datos personales. A continuación, se indican algunas de las medidas que plataformas como Stripe están adoptando respecto a sus usuarios (y ellas mismas) en previsión del RGPD:

  • Realización de un análisis de los desajustes entre los requisitos impuestos por la Directiva de Protección de Datos y los del RGPD, tal como sean aplicables a las actividades económicas de la empresa.

  • Revisión y actualización de las herramientas, políticas y procedimientos internos, en la medida de lo necesario.

  • Revisión de las prácticas relativas a mapas de datos e inventario de datos y actualización de estas en la medida de lo necesario a fin de cumplir con las obligaciones de conservación de registros previstas en el RGPD.

  • Realización de un análisis de las deficiencias específicas de las herramientas de revisión de la privacidad y la protección de datos para satisfacer los requisitos de la Evaluación del impacto en la protección de datos.

  • Actualización del enfoque para las transferencias de datos internacionales.

  • Actualización de los contratos de forma que reflejen las obligaciones del artículo 28 del RGPD referidas a las partes contratantes de la sociedad.

  • Evaluación y, en caso de ser necesario, revisión de las relaciones con los proveedores para cumplir los requisitos del RGPD que exigen que tales terceros reciban y traten los datos personales de manera lícita.

  • Actualización del Programa de Cumplimiento de la Normativa sobre Privacidad de la empresa y formación continua de los trabajadores a fin de reflejar los cambios que han de introducirse por el RGPD.

El principio de responsabilidad

Los usuarios de Stripe deben consultar con sus asesores jurídicos a fin de comprender el alcance pleno de sus obligaciones de cumplimiento en virtud del RGPD. Como regla general, si la organización está establecida en la UE o realiza el tratamiento de datos personales de personas físicas de la UE, el RGPD será aplicable a dicha organización.

Un principio rector del RGPD que ha de tenerse en cuenta es el principio de responsabilidad. Conforme a este principio, el responsable del tratamiento ha de poder demostrar que sus actividades de tratamiento cumplen los principios de protección de datos previstos en el RGPD. La forma más sencilla de demostrar dicho cumplimiento es documentando y comunicando el sistema de cumplimiento del RGPD.

En Stripe, el cumplimiento normativo ha sido fruto de un esfuerzo de cooperación entre muchas personas de la organización, en particular de los departamentos de Operaciones de los Usuarios, Ventas, Ingeniería, Seguridad y Asuntos Legales. Según nuestra experiencia, la colaboración multidisciplinaria y una documentación de fácil lectura son increíblemente útiles en el proceso global de cumplimiento del RGPD.

Lista de verificación del RGPD para su empresa

Dado que solo quedan algunas semanas para el 25 de mayo de 2018, las organizaciones pequeñas y medianas pueden enfrentarse a problemas especiales en la preparación de la aplicación del RGPD. Por ello, hemos recopilado, en una lista de verificación para los usuarios, algunos de los elementos fundamentales de un programa de cumplimiento del RGPD.

Coordinarse: reúnase con sus colegas técnicos, de soporte al cliente y del departamento de asuntos legales para que todos entiendan qué es el RGPD y cómo afecta a la organización.

Tener una imagen clara de lo que sucede con los datos personales en la organización: la elaboración de un mapa de datos puede contribuir a descubrir cómo se almacenan y se tratan los datos personales en los sistemas de su empresa. Las siguientes preguntas pueden servir de orientación:

  • ¿Qué tipos de datos personales está tratando? (p. ej., información financiera, información de salud, información sobre marketing, etc.)
  • ¿De qué categorías de personas físicas está tratando datos personales? (p. ej., titulares de tarjetas, menores, pacientes, etc.)
  • ¿Cuál es la razón para tratar esa información?
  • ¿Cómo y por qué recopiló esta información?
  • ¿Cómo protege estos datos?
  • ¿Hay terceros que reciben la información? De ser así, ¿se hacen constar dichos terceros destinatarios en la Política de Privacidad o en otras formas de notificación? ¿Sabe quiénes son esos terceros? ¿Durante cuánto tiempo conserva la información sobre las personas físicas?

Mapa de bases jurídicas: consultar las 6 bases jurídicas antes mencionadas. Toda operación de tratamiento identificada en el mapa de datos ha de vincularse con una base jurídica. Esta vinculación le dará lugar al mapa de bases jurídicas.

Cómo dar cumplimiento al ejercicio de los derechos de una persona física:

  • Tener la capacidad de utilizar la información derivada del mapa de datos para responder a la solicitud de acceso de un interesado.
  • A la luz del mapa de datos, saber dónde se encuentran los datos personales en los sistemas (y la interrelación con otros sistemas) para cumplir las solicitudes de exclusión, modificación y supresión.
  • Conocer cuáles son los formatos de datos que utilizan sus sistemas y determinar cómo responderá a las solicitudes de portabilidad de datos.

Violación de la seguridad de los datos y respuesta a incidentes: al hablar con sus colegas acerca del aspecto técnico o de seguridad de la organización, debe cerciorarse de conocer el plan de respuesta a incidentes. Realice algunos ejercicios de simulación, de modo que todos los que intervengan en dar respuesta a incidentes sepan qué hacer si se produce un incidente de seguridad. Lo ideal es que el equipo de respuesta a incidentes sea una máquina perfectamente aceitada, lista para poner en práctica los planes de respuesta a incidentes cuando estos tengan lugar.

Podrían añadirse muchos otros elementos a esta lista de verificación, por lo que tendrá que trabajar con los expertos internos y con asesores externos para conseguir una lista que se adapte a sus necesidades. Por ejemplo, es posible que tenga que realizar evaluaciones del impacto en la protección de datos, nombrar a un director de protección de datos, gestionar y revisar las prácticas de marketing y comunicaciones de otras empresas, y reconsiderar los procesos de gestión y contratación, por citar sólo algunas posibilidades.

Si dispone de un fundamento sólido a través del mapeo de las actividades de tratamiento de datos, dispondrá de una gran ventaja en cualquier cuestión ulterior de cumplimiento del RGPD que se suscite.

A continuación se ofrecen algunos recursos adicionales que hemos consultado y considerado útiles, y esperamos que también lo sean para usted.

Recursos adicionales

En muchos lugares diferentes, se hace referencia al RGPD y no es fácil hacer una recopilación de los recursos fiables que están disponibles en Internet. A continuación, se indican algunos recursos que consultamos a fin de estar al corriente de las novedades relativas al RGPD:

  • El punto de partida es el texto legal: El texto legal completo del RGPD se encuentra aquí y la Directiva de Protección de Datos puede consultarse aquí.

  • La autoridad de control: Hay una Autoridad de Protección de Datos (APD) en cada Estado miembro de la UE, y muchas de ellas han publicado directrices útiles sobre la aplicación del RGPD. Puede consultarse una lista de APD aquí.

  • Grupo de Trabajo del Artículo 29 (GT 29), que pronto pasará a ser el Comité Europeo de Protección de Datos (CEPD): El GT 29 es un órgano consultivo integrado por un representante de la DPA de cada Estado miembro de la UE, el Supervisor Europeo de Protección de Datos y la Comisión Europea. El 25 de mayo de 2018, el GT 29 pasará a ser el Comité Europeo de Protección de Datos. Este comité incluirá al director de una Autoridad de Protección de Datos de cada Estado miembro de la UE y al Supervisor Europeo de Protección de Datos.

    El GT 29 ha publicado centenares de directrices y opiniones, y ha sometido varios temas a consulta. Las directrices y opiniones más recientes se centran todas en la manera óptima de introducir los elementos del RGPD en el sistema de cumplimiento normativo de una organización. La sección de noticias del GT 29 se encuentra aquí.

    El antiguo sitio web del Grupo de Trabajo del Artículo 29 ofrecía múltiples recursos adicionales que por desgracia no son tan fácilmente accesibles ahora con la disposición del nuevo sitio web. El sitio web archivado con materiales adicionales está disponible aquí.

  • Algunas Autoridades de Protección de Datos, despachos de abogados, asociaciones de protección de la privacidad como la IAPP, y otras muchas organizaciones, ONG y empresas están celebrando eventos relacionados con el RGPD. Es muy probable que otras organizaciones tengan preguntas muy similares a las suyas en torno a la aplicación del RGPD. Son oportunidades excelentes para ponerse en contacto con la comunidad afectada por el RGPD y buscar juntos respuestas a las preguntas.

Volver a las guías
You’re viewing our website for Malta, but it looks like you’re in the United States.