Preguntas frecuentes sobre el GDPR

Advertencia: la información expuesta a continuación no puede considerarse un sustituto del asesoramiento jurídico ni de la consulta a la autoridad competente. Para resolver cualquier duda, póngase en contacto con su asesor jurídico o con la autoridad de control.

1. ¿Qué es el GDPR (Reglamento general de protección de datos)?

Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento
general de protección de datos / General Data Protection Regulation / GDPR) entró en vigor el 25 de mayo de 2018.

Se refiere a la protección de los datos personales de las personas físicas y se aplica en los siguientes casos:

  • si la empresa realiza actividades en el territorio de la UE;
  • si las actividades de tratamiento de datos personales están relacionadas con la oferta de bienes o servicios a las personas físicas en la UE;
  • si la supervisión del comportamiento de las personas físicas tiene lugar en la UE;
  • si la legislación de la UE se aplica a las actividades de la empresa.

Importante: El GDPR no se aplica a la información anónima, es decir, a la información que no se refiere a una persona física identificada o identificable o a los datos personales anonimizados de tal manera que los interesados no sean o hayan dejado de ser identificables. El GDPR no se aplica al tratamiento de dicha información anónima, incluso con fines estadísticos o de investigación.

2. ¿Se aplica el GDPR a las actividades de mi empresa?

En primer lugar, debe determinar si el GDPR en general se aplica a las actividades de su empresa (véase la pregunta 1).

En segundo lugar, debe determinar si su empresa procesa datos personales.

De acuerdo con el GDPR, por «datos personales» se entiende toda información sobre una persona física identificada o identificable («el interesado»). Se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona. 

De acuerdo con el GDPR, por «tratamiento» se entiende cualquier operación o conjunto de operaciones realizadas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción.

De acuerdo con el GDPR, por «responsable del tratamiento» o «responsable» se entiende la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.

De acuerdo con el GDPR, por «encargado del tratamiento» o «encargado» se entiende la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

Ejemplo 1. El GDPR se aplica si usted es un empresario y controla la ubicación de los vehículos que pertenecen o están asignados a sus empleados. Los datos pueden incluir no solo la ubicación del vehículo, sino también la del empleado. En ese caso, los datos obtenidos del vehículo pueden ayudar a identificar a la persona y su ubicación.

Ejemplo 2. El GDPR no se aplica si se controla la ubicación de los vehículos que están vinculados a la dirección IP de la empresa y no pueden atribuirse a una persona concreta.

Para decidir si los datos recogidos pueden utilizarse para identificar a una persona física, deben tenerse en cuenta todos los factores objetivos, como los costes y el tiempo necesarios para la identificación, teniendo en cuenta la tecnología disponible en el momento del tratamiento y los avances tecnológicos.

Esta cuestión es importante, porque su empresa puede estar obligada a realizar determinadas acciones en virtud del GDPR (véase la pregunta 5). Le aconsejamos que se ponga en contacto con su asesor jurídico local o con la autoridad de control para determinar si el GDPR se aplica a las actividades de su empresa.

3. ¿Se aplica el GDPR a las actividades de Gurtam?

Gurtam no procesa datos personales identificables de los clientes de nuestros socios.

Sin embargo, cuando un socio de Gurtam procesa datos personales utilizando el software Wialon Hosting, Gurtam puede actuar como encargado del tratamiento de acuerdo con el RGPD (véase la pregunta 5). ¿Qué acciones toma Gurtam para cumplir con el RGPD? Gurtam toma todas las medidas técnicas y organizativas necesarias para cumplir con el RGPD.

4. ¿Cómo obtiene Gurtam el consentimiento para procesar datos personales de los usuarios finales de sus productos?

Gurtam no obtiene el consentimiento de los usuarios finales de sus socios. En caso de que su empresa procese datos personales (véase la pregunta 2), la empresa Gurtam está obligada a:

  • Tomar ciertas medidas para cumplir con el GDPR; 
  • Asegurarse de que tiene un Acuerdo de Protección de Datos válido con su empresa;
  • Cumplir las obligaciones del encargado del tratamiento de acuerdo con el artículo 28 del GDPR.

5. ¿Qué medidas debe tomar mi empresa para cumplir con el GDPR?

Si se considera que su empresa es responsable del tratamiento o encargado del tratamiento según el GDPR (consulte la pregunta 2), estará obligado a realizar ciertas acciones de acuerdo con los artículos 24-34 del GDPR.

La descripción de las acciones se puede encontrar aquí: https://ec.europa.eu/justice/smedataprotect/index_en.htm#target-4

6. ¿Estaré sujeto a una multa si las acciones de mi empresa no cumplen con el GDPR?

Cada autoridad de control se asegura de que la imposición de multas administrativas en relación con el GDPR sea efectiva, proporcionada y de carácter disuasorio en cada caso individual.

Las competencias de las autoridades de control se detallan en el artículo 58 del RGPD.