Para comprender bien la ley GDPR, hay algunas definiciones que necesitas saber:
- Sujeto de datos
- Tratamiento
- Información personal
- Informacion delicada
- Controlador
- Procesador
Intentaré explicar estos conceptos de la manera más clara y sencilla posible. Tómate el tiempo que necesites para leerlos y comprenderlos; de lo contrario, es posible que te sientas algo confuso más adelante.
¿Quién es el sujeto de datos?
Un sujeto de datos es una persona física (es decir, un ser humano) cuya información personal estás procesando. Por ejemplo, un sujeto de datos es un visitante a tu sitio web, un cliente o un empleado.
¿Qué es el tratamiento?
El tratamiento o procesamiento es cualquier actividad o conjunto de actividades que realizas con los datos personales: ver, recolectar, almacenar, transferir, modificar, borrar.
En pocas palabras, prácticamente todo lo que haces con los datos de tus clientes es «tratamiento» o «procesamiento».
GDPR Art. 4 (2): tratamiento es cualquier operación o conjunto de operaciones que se realiza con datos personales o con conjuntos de datos personales, ya sea por medios automáticos o no, tales como la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, consulta, uso, divulgación por transmisión, difusión, alineación o combinación, restricción, borrado o destrucción.
¿Qué es la información personal?
Los datos personales son prácticamente todos los datos sobre una persona:
- nombre
- correo electrónico
- edad
- número de identificación personal
- información de ubicación
- descripción física
- información sobre hobbies
- nivel de ingresos
- preferencias culturales
- etc
GDPR Art. 4 (1): Datos personales es cualquier información relacionada con una persona física identificada o identificable (sujeto de datos); una persona física identificable es aquella que puede identificarse, directa o indirectamente, en particular por referencia a un identificador, como un nombre, un número de identificación, datos de ubicación, un identificador en línea o uno o más factores específicos de los factores físicos, fisiológicos, identidad genética, mental, económica, cultural o social de esa persona natural.
¿Qué es la información delicada?
Los datos confidenciales o información delicada son datos sobre la persona, como por ejemplo:
- origen racial o étnico
- opiniones políticas
- creencias religiosas o filosóficas
- membresía sindical
- estado de salud
- vida sexual u orientación sexual
- datos genéticos
- Información biométrica
(Técnicamente, todo esto se conoce como «categorías especiales de datos» según la nueva ley GDPR, pero siendo breves, seguiré refiriéndome a ellos como datos confidenciales).
Lo más importante: no está permitido procesar datos confidenciales sin el consentimiento explícito del interesado o afectado (a menos que se apliquen excepciones enumeradas en el Art. 9 (2) de GDPR). Estos datos confidenciales también requieren medidas de seguridad más estrictas. Si estás tratando con datos confidenciales, te recomiendo acudir a asesoramiento legal para garantizar el cumplimiento de la norma.
Datos anónimos
Los datos personales son personales siempre que tengan una forma de relacionarlos con una persona real. Esto significa que si los datos contienen el nombre, la dirección, el correo electrónico, la dirección IP, etc. de una persona, son datos personales. Sin embargo, si se elimina todo lo que ata estos datos a una persona, los datos se anonimizan y ya no cuentan como datos personales.
¿Quién es el controlador?
En pocas palabras: tú eres el controlador.
Un controlador es alguien que determina el propósito (el por qué) y los medios (el cómo) del procesamiento o tratamiento de datos personales. Si tienes un sitio web que hace algo con los datos personales de tus visitantes, tú eres el controlador. Tú eres quien controla los datos de tus clientes y tú eres el responsable final de los mismos.
GDPR Art. 4 (7): Un controlador es una persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determina los propósitos y los medios del procesamiento de datos personales; cuando los fines y los medios de dicho tratamiento se determinen por la legislación de la Unión o del Estado miembro, el responsable del tratamiento o los criterios específicos para su designación podrán estar previstos en la legislación de la Unión o del Estado miembro.
¿Quién es el procesador?
El procesador es el que procesa los datos personales en nombre de otra persona. Por ejemplo, tu proveedor de alojamiento web es un procesador de datos. Poseen los servidores donde se almacenan los datos de tus clientes, por lo que también tienen acceso a los datos personales de tus clientes. También es probable que ocasionalmente necesiten procesarlos, ya sea manualmente (arreglando un error puntual) o automáticamente (por ejemplo, haciendo copias de seguridad). Otro ejemplo sería MailChimp (o cualquier otro servicio similar), que también tiene acceso a los datos personales de tus clientes. Un programador web también es un procesador de datos.
Lo importante: debes tener un contrato escrito con tu controlador de datos (GDPR Art. 28). Esto es algo que los proveedores de servicios más grandes manejarán por sí mismos. Sin embargo, ten en cuenta que también necesitarás un contrato con tu programador web y con cualquier otro tercero con quien compartas los datos, de lo contrario podrías tener problemas.
GDPR Art. 4 (8): Un procesador es una persona física o jurídica, autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador.