Resumen: Reglamento General de Protección de Datos (RGPD) en la UE

¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es un reglamento dentro del marco de la UE que controla la forma en la que empresas y otras organizaciones utilizan los datos personales. Es la iniciativa más importante sobre protección de datos en 20 años y tiene implicaciones importantes para cualquier organización en el mundo que sirva a individuos de la Unión Europea.

Para ofrecer a las personas el control sobre cómo se utilizan sus datos y para proteger “los derechos y las libertades fundamentales de las personas físicas”, la legislación establece estrictos requisitos sobre el procedimiento de manejo de datos, transparencia, documentación y consentimiento del usuario.

Toda organización debe mantener un registro y supervisar las actividades del procesamiento de datos personales.

Como responsable del tratamiento de datos, toda organización debe mantener un registro y monitorear las actividades del tratamiento de datos personales. Esto incluye no solo los datos personales tratados dentro de la organización, pero también por terceros – llamados encargados del tratamiento datos.

Los encargados de tratamiento pueden ser desde proveedores de Software-como-Servicio, hasta servicios integrados de terceros, rastreando y perfilando visitantes en la web de la organización.

Tanto los responsables como los encargados del tratamiento de datos, deben ser capaces de informar sobre qué tipo de datos se están tratando, con qué propósito y a qué países y terceros se emiten los datos.

Si los datos se mandan a otras organizaciones o jurisdicciones que se encuentren fuera del alcance del RGPD (EU) o que no se consideren “adecuadas” por el RGPD, el usuario debe ser informado sobre esta situación y sobre los riesgos que esto puede implicar.

Todos los consentimientos deben registrarse como prueba de que se ha obtenido la autorización.

No está permitido el tratamiento de datos personales sensibles sin el consentimiento explícito del individuo. Para datos no sensibles, un consentimiento implícito es suficiente. En cualquier caso, el consentimiento debe ser otorgado libremente con base a información clara y específica tanto de los tipos de datos que se manejarán como de su propósito, y siempre antes de que se lleve a cabo cualquier tratamiento (también conocido como consentimiento previo). Todos los consentimientos deben registrarse como prueba de que se ha obtenido un consentimiento.

Los individuos ahora cuentan con “el derecho de portabilidad de datos “, “el derecho de acceso a datos ” y “el derecho al olvido ” y pueden retirar su consentimiento cuando así lo deseen. En tal caso, el responsable de datos debe eliminar los datos personales del individuo si ya no es necesario para el propósito por el cual fue recogido.

En el caso de una violación de la seguridad de los datos, la empresa debe de notificar a las autoridades de la protección de datos y a las personas afectadas dentro de un plazo de 72 horas.

Además, el RGPD impone una obligación a las autoridades públicas, a organizaciones con más de 250 empleados y a empresas que tratan datos personales sensibles a gran escala, a contratar o capacitar a un delegado de protección de datos (DPD). El DPD debe tomar medidas para asegurar el cumplimiento del RGPD dentro de toda la organización.

En cuanto al Brexit, el gobierno del Reino Unido tiene previsto aplicar una legislación equivalente que también seguirá en gran medida el RGPD.

¿Qué conlleva el RGPD para mi web?

Si tu sitio web ofrece servicios a individuos de la UE– o servicios de terceros como Google y Facebook – y estás procesando cualquier tipo de datos personales, necesitas obtener un consentimiento previo del visitante.

Para obtener un consentimiento válido, necesitas describir en un lenguaje sencillo cuál es el propósito y en qué medida se realizará el tratamiento de datos previamente a realizar cualquier tratamiento de datos personales.

Esta información debe estar disponible para el visitante en todo momento, por ejemplo, como parte de la política de privacidad. También debes habilitar una manera sencilla para que el visitante pueda cambiar o retirar su consentimiento.

Todo consentimiento se debe registrar como prueba y todo el rastreo de datos personales se debe documentar, incluyendo a qué países se están transmitiendo los datos.

Consulta la página de la Comisión Europea sobre la Reforma de las normas de protección de datos de la UE (RGPD).

Consulta también su infografía Protección de datos: Mejores normas para las pequeñas empresas.

¿Cómo ayuda Cookiebot CMP?

Con Cookiebot CMP, puedes automatizar tu sitio web para cumplir con el RGPD en cuanto a los requisitos de seguimiento de internet y de consentimiento.

Cookiebot CMP te permite monitorear y documentar cualquier tipo de seguimiento en tu sitio web, mostrar la información relevante a los visitantes del sitio, y obtener y registrar de manera automática todos los consentimientos de los usuarios.

¿Cuál es la definición de datos personales?

El RGPD define los datos personales como “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Los identificadores en línea, como las direcciones IP, se clasifican como datos personales, a menos que sean anonimizados.

Los datos personales seudonimizados también se encuentran sometidos al RGPD, cuando se puede identificar por ingeniería inversa a quién pertenecen los datos.

Fecha de entrada en vigor del RGPD: 25 de mayo de 2018

La reforma de la protección de datos de la UE fue adoptada por el Parlamento Europeo y el Consejo Europeo el 27 de abril de 2016. El Reglamento General de Protección de Datos es aplicable a partir del 25 de mayo de 2018 y sustituye a la Directiva general de protección de datos.

Multas y Sanciones del RGPD

Las organizaciones que no cumplan con el reglamento pueden enfrentarse a multas de hasta 20 millones de euros o de un 4% de la facturación anual global de la organización, dependiendo del importe que sea mayor.

Lista de cosas por hacer para el RGPD

1. Prepara tu organización

Introduce a todas las partes interesadas (stakeholders) de tu organización a los requisitos del RGPD. Conduce cursos de entrenamiento para los empleados en seguridad cibernética, privacidad por diseño y privacidad por defecto. Asigna a un delegado de protección de datos (DPD) en caso necesario, es decir, si el número de empleados de la empresa as mayor a 250 personas.

2. Audita tus datos

Asegúrate de saber en dónde se almacenan todos tus datos, quién cuenta con acceso y a través de qué dispositivos. Identifica el lugar donde se tratan los datos personales, incluyendo los efectuados por encargados de tratamiento y terceros. Documenta los fundamentos para operaciones de tratamiento lícitas y actualiza las políticas actuales de privacidad.

3. Audita los servicios que ofrecen tus proveedores

Asegúrate de que los servicios que ofrecen tus proveedores, es decir, los servicios integrados de terceros en tu sitio web o proveedores de Software-como-Servicio, también cumplan con el RGPD o se encuentren bajo una jurisdicción oficial de datos. Revisa y mapea los flujos de datos internacionales de tus proveedores.

4. Obtén consentimiento

Implementa métodos para buscar, obtener y grabar consentimientos que aseguren el cumplimiento. Mantén un claro registro sobre lo que cada sujeto individual de datos haya consentido y proporciona opciones para que el sujeto de dichos datos pueda retirar o modificar su autorización.

5. Responde a los derechos de datos

Implementa procedimientos para que tu organización pueda responder a los derechos exigibles, es decir, acceso de datos, rectificación y cancelación. Documenta cómo se manejará la información tanto en el contexto del cliente como del empleado.

6. Prepárate en caso de violación de la seguridad de los datos

Asegúrate de que existan procedimientos para detectar, investigar y denunciar violaciones de la seguridad de los datos y así poder cumplir con el periodo límite de notificación de 72 horas del RGPD.

Cumplimiento y requisitos del RGPD

Cursos, formación y certificación del RGPD:

Puedes conseguir la certificación de iniciación al RGPD (EU GDPR F) y la certificación avanzada del RGPD (EU GDPR P) ambas con acreditación ISO 17024, en varios cursos que brinda, por ejemplo IT Governance. La Asociación Internacional de Profesionales de Privacidad (IAPP) también ofrece cursos en línea.

Software y RGPD:

Hay numerosas herramientas, marcos y soluciones de software que te pueden ayudar en el proceso de cumplir con el RGPD, por ejemplo, Responsum.

Cookiebot CMP puede ayudarte a automatizar el manejo de consentimientos de usuarios dentro de tu sitio web y documentar las cookies y otros tipos de seguimiento que se estén utilizando.

Fuentes

Descarga PDF del Reglamento General de Protección de Datos
Comisión Europea: Protección de Datos Personales
Países “adecuados” según el RGPD
Oficina del Comisionado de Información del RU (ICO): la reforma de la protección de datos en el RU
Privacidad desde el diseño: los 7 principios básicos (PDF)