¿Qué es el GDPR (Reglamento General de Protección de Datos)?

El Reglamento General de Protección de Datos, comúnmente conocido como RGPD, es un marco jurídico que establece directrices para la recopilación y el tratamiento de la información personal de las personas que viven en la Unión Europea (UE). Establecido por el Parlamento Europeo y el Consejo en abril de 2016, sustituyó a la Directiva de Protección de Datos 95/46/ce como la ley principal que regula cómo las empresas protegen los datos personales de los ciudadanos de la UE. El GDPR entró en vigor el 25 de mayo de 2018.

El RGPD es un importante texto legislativo que tiene efectos de gran alcance sobre la forma en que las empresas manejan y gestionan los datos. Su objetivo es armonizar las leyes de protección de datos en toda la UE y proteger los derechos de los ciudadanos de la UE en relación con sus datos personales. El Reglamento se aplica a todas las empresas que tratan datos personales de personas residentes en la UE, independientemente de la ubicación de la empresa.

Principios clave del RGPD

El RGPD se basa en siete principios clave que sientan las bases de la normativa. Estos principios son la legalidad, la equidad y la transparencia, la limitación de la finalidad, la minimización de los datos, la exactitud, la limitación del almacenamiento, la integridad y la confidencialidad, y la responsabilidad. Estos principios no son normas como tales, sino que proporcionan el contexto en el que deben aplicarse y entenderse las leyes de protección de datos.

Cada principio conlleva su propio conjunto de normas y directrices, concebidas para garantizar que las empresas y organizaciones traten los datos personales respetando los derechos y libertades individuales. El incumplimiento de estos principios puede acarrear multas y sanciones importantes.

Legalidad, equidad y transparencia

El principio de legalidad, equidad y transparencia hace hincapié en que los datos personales deben tratarse de forma legal, equitativa y transparente en relación con el interesado. Esto significa que las empresas deben ser abiertas sobre sus actividades de tratamiento de datos y no deben utilizarlos de manera que tenga efectos injustos o perjudiciales para las personas afectadas.

La transparencia exige que toda información y comunicación relativa al tratamiento de datos personales sea fácilmente accesible y comprensible, y que se utilice un lenguaje claro y sencillo. Esto es especialmente importante en situaciones en las que se solicita el consentimiento del interesado o en las que los datos se recogen directamente del interesado.

Finalidad Limitación

El principio de limitación a una finalidad específica establece que los datos personales deben recopilarse con fines específicos, explícitos y legítimos, y no tratarse posteriormente de manera incompatible con dichos fines. Esto significa que las empresas deben tener claro por qué recogen datos personales y qué piensan hacer con ellos. También deben asegurarse de que, si desean utilizar los datos para otros fines, éstos sean compatibles con su finalidad original o cuenten con el consentimiento explícito del interesado.

Este principio está estrechamente relacionado con los principios de minimización de datos y limitación del almacenamiento, que exigen que las empresas recojan únicamente los datos que necesitan para su finalidad específica y que los conserven sólo el tiempo necesario.

Derechos individuales en virtud del RGPD

Uno de los aspectos clave del RGPD es la mejora de los derechos que otorga a las personas, o "interesados", en relación con sus datos personales. Estos derechos están diseñados para dar a las personas más control sobre sus datos personales y garantizar que las empresas sean transparentes sobre cómo utilizan estos datos.

Estos derechos incluyen el derecho a ser informado, el derecho de acceso, el derecho de rectificación, el derecho de supresión (también conocido como "derecho al olvido"), el derecho a limitar el tratamiento, el derecho a la portabilidad de los datos, el derecho de oposición y los derechos relacionados con la toma de decisiones automatizadas y la elaboración de perfiles.

Derecho a ser informado

El derecho a ser informado abarca el derecho de una persona a ser informada sobre la recopilación y el uso de sus datos personales. Se trata de un requisito clave de transparencia en virtud del RGPD. Cuando se recopilan datos personales, ya sea directamente de la persona o de un tercero, la persona tiene derecho a ser informada sobre cómo se utilizarán los datos, con quién se compartirán, cuánto tiempo se conservarán y si se transferirán a un tercer país u organización internacional.

En la práctica, esto significa que las empresas deben proporcionar a los particulares un aviso de privacidad en el momento en que recogen sus datos personales. El aviso de privacidad debe ser conciso, transparente, inteligible y fácilmente accesible, estar escrito en un lenguaje claro y sencillo, y ser gratuito.

Derecho de acceso

El derecho de acceso, también conocido como derecho de acceso del sujeto, permite a las personas obtener una copia de sus datos personales, así como otra información complementaria. Ayuda a las personas a comprender cómo y por qué se utilizan sus datos, y a comprobar si el uso que se hace de ellos es lícito.

Los particulares pueden presentar una solicitud de acceso verbalmente o por escrito, y la empresa debe responder en el plazo de un mes. Si la solicitud es compleja o numerosa, la empresa puede ampliar el plazo de respuesta otros dos meses. Si la empresa deniega una solicitud, debe explicar los motivos al interesado e informarle de su derecho a presentar una reclamación ante la autoridad de control y a interponer un recurso judicial.

Cumplimiento del GDPR

El cumplimiento del RGPD no es solo cuestión de marcar unas cuantas casillas; el Reglamento exige que pueda demostrar el cumplimiento de los principios y derechos de protección de datos establecidos en el RGPD. Esto incluye demostrar cómo ha implementado la protección de datos en sus operaciones, por ejemplo, mediante políticas de protección de datos, evaluaciones de impacto de la protección de datos, consentimiento del interesado, procedimientos de notificación de infracciones, etc.

El incumplimiento del RGPD puede acarrear cuantiosas multas y sanciones. En virtud del RGPD, las organizaciones pueden ser multadas con hasta 4% de la facturación global anual o 20 millones de euros (lo que sea mayor) por incumplir el RGPD. Esta es la multa máxima que puede imponerse por las infracciones más graves.

Evaluaciones de impacto sobre la protección de datos (EIPD)

Una evaluación del impacto sobre la protección de datos (EIPD) es un proceso diseñado para ayudar a las organizaciones a analizar, identificar y minimizar sistemáticamente los riesgos para la protección de datos de un proyecto o plan. Es una parte clave del enfoque del RGPD en la rendición de cuentas y es necesaria en determinadas situaciones en las que es probable que el tratamiento de datos suponga un alto riesgo para los intereses de las personas.

Las EIPD son especialmente importantes cuando se introduce una nueva tecnología de tratamiento de datos o cuando una operación de elaboración de perfiles puede afectar significativamente a las personas. Si una EIPD indica que el tratamiento de datos es de alto riesgo, y usted no puede abordar suficientemente esos riesgos, se le exigirá que consulte a la autoridad de control antes de iniciar el tratamiento.

Consentimiento del interesado

El consentimiento es una de las bases jurídicas para el tratamiento de datos personales con arreglo al RGPD. Consentimiento significa ofrecer a las personas opciones reales y control. El consentimiento genuino debe poner a las personas al mando, generar confianza y compromiso, y mejorar su reputación.

Según el RGPD, el consentimiento debe ser libre, específico, informado e inequívoco. El consentimiento no puede deducirse del silencio, de casillas marcadas previamente o de la inactividad. También debe estar separado de otros términos y condiciones, y usted tendrá que tener formas sencillas para que las personas retiren su consentimiento. El consentimiento debe ser verificable y, por lo general, las personas tienen más derechos cuando el tratamiento de sus datos se basa en el consentimiento.

GDPR y ciberseguridad

El RGPD tiene un impacto significativo en las prácticas de ciberseguridad. El Reglamento exige que las organizaciones apliquen medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluida la seudonimización y el cifrado de los datos personales, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de tratamiento, la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de incidente físico o técnico, y un proceso para probar, evaluar y valorar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Además, el RGPD impone a todas las organizaciones la obligación de notificar determinados tipos de violación de datos personales a la autoridad de control pertinente. Deben hacerlo en un plazo de 72 horas desde que tienen conocimiento de la violación, siempre que sea posible. Si es probable que la violación conlleve un alto riesgo de afectar negativamente a los derechos y libertades de las personas, las organizaciones también deben informar a esas personas sin demora indebida.

Medidas técnicas y organizativas

Las medidas técnicas y organizativas son las medidas de seguridad que una organización pone en marcha para proteger los datos personales que posee de cualquier riesgo accidental o deliberado. Son esencialmente las medidas que ayudan a una organización a alcanzar el nivel de seguridad adecuado al riesgo del tratamiento.

Estas medidas podrían incluir, por ejemplo, la seudonimización y el cifrado de los datos personales, la garantía de la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas y servicios de tratamiento, la capacidad de restablecer la disponibilidad y el acceso a los datos personales en el momento oportuno en caso de incidente físico o técnico, y un proceso para probar, valorar y evaluar periódicamente la eficacia de estas medidas.

Notificación de violación de datos

Según el RGPD, una violación de datos personales es una violación de la seguridad que conduce a la destrucción accidental o ilícita, pérdida, alteración, divulgación no autorizada o acceso a datos personales. Esto incluye las violaciones que son el resultado tanto de causas accidentales como deliberadas. También significa que una violación es algo más que la simple pérdida de datos personales.

Cuando se produce una violación de datos personales, hay que determinar la probabilidad y gravedad del riesgo resultante para los derechos y libertades de las personas. Si es probable que exista un riesgo, debe notificarlo a la autoridad de control pertinente; si es probable que exista un riesgo elevado, también debe informar a las personas afectadas.

Conclusión

El RGPD es una ley integral de protección de datos que ha modificado la forma en que las organizaciones de toda la región abordan la privacidad de los datos. Ha establecido un nuevo estándar para los derechos de los consumidores en relación con sus datos, pero las empresas se enfrentarán al reto de implantar sistemas y procesos para cumplirlo.

Comprender el RGPD y sus implicaciones es crucial para cualquier organización que maneje datos de ciudadanos de la UE, independientemente de dónde tenga su sede. El incumplimiento puede acarrear cuantiosas multas y dañar la reputación de la empresa. Por lo tanto, es esencial que las organizaciones comprendan y apliquen los procedimientos y controles necesarios para garantizar el cumplimiento del RGPD.