Descubra lo que debe hacer su organización para cumplir las normas de protección de datos de la UE y aprenda cómo puede ayudar a los ciudadanos a ejercer los derechos que les otorga el Reglamento.

¿A quién se aplica el Reglamento general de protección de datos (RGPD)?

El RGPD se aplica en los casos siguientes:

  • su empresa o entidad trata datos personales como parte de las actividades de una de sus sucursales establecidas en la Unión Europea (UE), independientemente del lugar donde sean tratados los datos, o
  • su empresa está establecida fuera de la UE y ofrece productos o servicios (de pago o gratuitos) u observa el comportamiento de las personas en la UE.

Si su empresa es una pequeña o mediana empresa (pyme) que trata datos personales según lo descrito arriba debe cumplir el Reglamento. Sin embargo, si el tratamiento de datos personales no constituye la parte principal de su negocio y su actividad no entraña riesgos para las personas, no estará sujeto a algunas obligaciones del RGPD [como el nombramiento de un delegado de protección de datos (DPD)]. Cabe señalar que las «actividades principales» deben incluir actividades en las que el tratamiento de datos forme una parte indisociable de la actividad del responsable o encargado del tratamiento.

¿Las normas se aplican a las pymes?

Sí, la aplicación del Reglamento de protección de datos (RGPD) no depende del tamaño de la empresa, sino de la naturaleza de sus actividades. Las actividades que entrañan elevados riesgos para los derechos y libertades de las personas, tanto si las lleva a cabo una pyme como una corporación, dan lugar a la aplicación de normas más estrictas. Sin embargo, algunas de las obligaciones del RGPD pueden no aplicarse a todas las pymes.

Por ejemplo, las empresas con menos de 250 empleados no deben llevar registros de sus actividades de tratamiento a menos que el tratamiento de los datos personales sea una actividad habitual, suponga una amenaza para los derechos y libertades de las personas o guarde relación con datos sensibles o antecedentes penales.

Asimismo, las pymes solo deberán nombrar a un delegado de protección de datos si el tratamiento es su actividad principal y supone una amenaza específica para los derechos y libertades de las personas (como la observación de personas o el tratamiento de datos sensibles o antecedentes penales), en particular porque se realiza a gran escala.

¿Las normas de protección de datos se aplican a los datos sobre una empresa?

No, las normas se aplican únicamente a los datos de personas, no rigen los datos sobre empresas ni ninguna otra persona jurídica. Sin embargo, la información relacionada con empresas unipersonales puede constituir datos personales cuando permita la identificación de una persona física. Además, las normas se aplican a todos los datos personales relacionados con personas físicas en el ejercicio de su actividad profesional, como los empleados de una empresa u organización, las direcciones de correo electrónico del trabajo de tipo «nombre.apellido@gesfortec.com» o los números de teléfono del trabajo de los empleados.