Logotipo de la Guía de Negocios en España

2. Principios configuradores de la regulación

2.4 Protección de datos de carácter personal

Otro aspecto que puede tener implicaciones en la realización de actividades de comercio electrónico es el referido a los posibles tratamientos de datos personales que se pudieran derivar del desarrollo de este tipo de operaciones.

Actualmente, la norma que regula esta materia en España, como en el resto de la Unión Europea, es el Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), conocido como RGPD.

En el marco del RGPD, que es de aplicación directa en España desde el 25 de mayo de 2018, se ha promulgado en España la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de derechos digitales (LOPD-gdd), que derogó la anterior Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. La LOPD-gdd regula algunos aspectos del tratamiento de los datos de carácter personal de las personas físicas dentro de los márgenes de concreción que el RGPD permite en los Estados Miembros de la UE.

EL RGPD se aplica a los datos de carácter personal, entendidos como cualquier información concerniente a personas físicas, identificadas o identificables, no siendo extensiva, por tanto, su regulación a los datos que hagan referencia a personas jurídicas; sin embargo, a diferencia del anterior sistema, sí es de aplicación a los datos de empresarios individuales y de las personas de contacto en personas jurídicas.

La normativa sobre protección de datos de carácter personal gira en torno a los siguientes principios:

  • Es necesario contar con una base legal para el tratamiento de los datos personales.
  • El tratamiento de datos especialmente protegidos (aquellos que hagan referencia a la ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual) se somete a limitaciones o, en algunos casos, prohibiciones.
  • El interesado debe ser informado acerca de una serie de extremos con relación al tratamiento previsto de sus datos de carácter personal.
  • Únicamente pueden ser objeto de tratamiento aquellos datos de carácter personal que resulten pertinentes, adecuados y no excesivos con relación a la finalidad que motivó su recogida.
  • La comunicación de datos de carácter personal a un tercero requiere contar con una base legal suficiente.
  • Cuando la comunicación de datos personales se dirija a un tercero, que en la Ley recibe la denominación de Encargado de Tratamiento, que preste un servicio que implique el acceso a tales datos, no se requiere el consentimiento del interesado, siendo necesario que la relación se regule en un contrato de prestación de servicios que incluya una serie de menciones establecidas por el RGPD.
  • Se reconocen a los interesados los derechos de acceso, rectificación, cancelación y oposición al tratamiento de sus datos de carácter personal, así como otros derechos de nuevo cuño tales como el derecho a la portabilidad de los datos o el derecho a la limitación del tratamiento.
  • Las sanciones por incumplimiento pueden ir hasta los 20.000.000 € o el 4% de la facturación anual global del grupo del infractor durante el ejercicio financiero anterior.

Otro aspecto destacable es el relativo a las comunicaciones de datos que impliquen un movimiento internacional de los datos de carácter personal, el cual se somete a limitaciones y a la obligación de mantener un nivel de seguridad equivalente al existente dentro de la UE, para lo cual es necesario recurrir a alguno de los medios establecidos en el propio RGPD incluyendo, en algunos casos, la autorización previa del Director de la Agencia Española de Protección de Datos.

En relación con el ámbito sancionador, resulta relevante destacar la facultad del órgano sancionador, en determinados supuestos excepcionales, de no acordar la apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable de la infracción a fin de que, en el plazo establecido por el órgano sancionador, acredite la adopción de las medidas correctoras que en cada caso resulten pertinentes.

El Reglamento General de Protección de Datos basa su estructura normativa en la “responsabilidad proactiva” o accountability, que supone la obligación para el responsable del tratamiento de autoevaluar los tratamientos que realiza y los riesgos implícitos a cada uno de ellos, adoptando las medidas de seguridad más adecuadas en cada caso.