Continuando con la serie de tres artículos en el que estamos tratando la información general sobre los puntos que son de interés para las pymes a la hora de comunicarnos, todos estaremos de acuerdo que la principal es recopilar, procesar e intercambiar datos personales. Son actividades diarias para muchas empresas y por ello podemos decir que el ámbito de la RGPD es Dual y debemos tener en cuenta los siguientes puntos.
1. Ámbito de aplicación: el RGPD es aplicable en cuanto existe procesamiento de datos.
2. Ámbito territorial: el RGPD se aplica:
También es importante determinar qué tipo de entidad de privacidad es tu empresa.
Hay 3 entidades de privacidad:
Las empresas pueden ser controladoras y procesadoras de datos a la vez: cada procesador se convierte automáticamente en controlador, pero no todos los controladores son procesadores. Por ejemplo, las empresas de nóminas o de estudios de mercado son procesadoras de datos. Una empresa de nóminas, será el controlador de los datos de sus trabajadores, y, además, el procesador cuando se trate de los datos de las empresas para las que trabaja.
Los datos personales es toda la información sobre una persona física identificada o identificable.
Por ejemplo, los datos personales incluyen:
Hay que tener en cuenta que hay una categoría especial de datos personales: son los datos personales sensibles. Estos incluyen, por ejemplo, los datos médicos, los que determinan el origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación sindical, o datos genéticos o biométricos (por ejemplo, la huella dactilar). Los datos financieros no se consideran sensibles. Si una empresa procesa este tipo de datos sensibles, debe tomar medidas de seguridad y técnicas adicionales.
Es importante tomar en consideración que los datos de la empresa también pueden ser datos personales.
Por ejemplo, emily@teamleader.eu es un tipo de dato personal, dado que la dirección de e-mail puede relacionarse a una persona física identificable, ‘emily’. Las direcciones de e-mail como info@teamleader.eu no se consideran datos personales y están fuera del alcance del RGPD.
Incluso si utilizas datos personales seudonimizados (es decir que remplazas cualquier característica de identificación de los datos con un seudónimo), por ejemplo, mediante hash o cifrado, la identificación sigue siendo posible. Seguimos hablando de datos personales mientras queden elementos identificables y la reconstrucción de los datos personales siga siendo posible.
Ejemplo: Una compañía aérea tiene permiso para preguntarte tu fecha de nacimiento porque necesita esta información para aduanas, pero no pueden utilizarla para fines comerciales.
Ejemplo: una empresa de licores tiene razones legítimas para preguntarte tu fecha de nacimiento, ya que no puede comercializar su producto con personas por debajo de una edad concreta.
Ejemplo: Si eres una empresa de entrega de paquetes, no hay razón alguna para que preguntes la fecha de nacimiento.