El RGPD es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 o Reglamento General de Protección de Datos, que regula el tratamiento que realizan las personas, empresas u organizaciones de los datos personales relacionados con personas en la Unión Europea.

Por su parte, la LOPDGDD o Ley Orgánica de Protección de Datos y Garantías de Derechos Digitales es la regulación que busca:

a) Adaptar el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y completar sus disposiciones. El derecho fundamental de las personas físicas a la protección de datos personales, amparado por el artículo 18.4 de la Constitución, se ejercerá con arreglo a lo establecido en el Reglamento (UE) 2016/679 y en esta ley orgánica.

b) Garantizar los derechos digitales de la ciudadanía conforme al mandato establecido en el artículo 18.4 de la Constitución.

La nueva Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD) adapta el Reglamento General de Protección de Datos (RGPD) de la Unión Europea al marco español.

¿A quién se aplica el RGPD?

Ante todo, hay que tener en cuenta que el RGPD no se aplica, por un lado, a los datos de las personas fallecidas y, por otro lado, a los datos que trate una persona por motivos exclusivamente personales o en el marco de una actividad doméstica, siempre que no guarden relación con ninguna actividad profesional o comercial.

En otras palabras, la excepción a la aplicación del RGPD es el ámbito doméstico, pero si esa actividad personal o doméstica está relacionada con alguna actividad profesional o comercial, entonces sí se aplica el RGPD.

Es decir, cuando una persona utilice los datos personales fuera de la «esfera personal», por ejemplo, para actividades socioculturales o financieras, dicha persona deberá respetar el Reglamento en materia de protección de datos.

Una vez aclarado esto, y respondiendo a la pregunta, hay que saber que el RGPD se aplica en los siguientes casos:

  • Cuando su empresa o entidad trata datos personales como parte de las actividades de una de sus sucursales establecidas en la UE, independientemente del lugar donde sean tratados los datos, o
  • Cuando su empresa está establecida fuera de la UE y ofrece productos o servicios (de pago o gratuitos) u observa el comportamiento de las personas en la UE.

Si su empresa es una pequeña o mediana empresa (pyme) que trata datos personales según lo descrito arriba, debe cumplir el Reglamento.

Sin embargo, si el tratamiento de datos personales no constituye la parte principal de su negocio y su actividad no entraña riesgos para las personas, no estará sujeto a algunas obligaciones del RGPD, como por ejemplo, el nombramiento de un delegado de protección de datos (DPD). Cabe señalar que las “actividades principales” deben incluir actividades en las que el tratamiento de datos forme una parte indisociable de la actividad del responsable o encargado del tratamiento. Por ejemplo, siempre que la empresa no dirija sus servicios específicamente a personas de la UE no estará sujeto a las normas de RGPD.

¿Cuáles son los objetivos de la auditoría RGPD-LOPDGDD?

La auditoría de protección de datos consiste en la revisión y verificación del cumplimiento de las obligaciones establecidas en la normativa vigente en esta materia (RGPD y LOPDGDD).

El objetivo de esta auditoría es verificar y garantizar la implantación de las medidas necesarias para la protección de los datos que gestiona la organización.

¿Debo auditar mi empresa en materia de Protección de Datos?

La auditoría de protección de datos es obligatoria para todas aquellas organizaciones que traten datos personales. Dichas auditorías deben realizarse al menos bianualmente, siempre y cuando no existan modificaciones sustanciales en el tratamiento de los datos.

Hay que tener en cuenta que, ni la LOPD ni el RGPD establecen la obligación de realizar auditorías de protección de datos. Sin embargo, sí establece que las organizaciones deben evaluar la eficacia de las medidas de seguridad establecidas por las mismas.

Por lo que es obligatoria la verificación, evaluación y valoración de las medidas que se hayan implantado por la entidad en materia de protección de datos. Ahora bien, la manera más eficaz de realizar estas verificaciones es mediante una auditoría.

En Key Auditors realizamos auditorías de Protección de Datos, y gracias al equipo de profesionales que tenemos, podemos ayudarte a cumplir, garantizando y acreditando el establecimiento de las medidas de seguridad necesarias para tu organización.