Logo Logo
Cookiebot

¿Qué es el RGPD?


El Reglamento general de protección de datos (RGPD) es un reglamento dentro del marco de la UE que controla la forma en la que empresas y otras organizaciones tratan datos personales. Es la iniciativa más importante sobre protección de datos en 20 años y tiene implicaciones importantes para cualquier organización en el mundo que sirva a individuos de la Unión Europea.

Para ofrecer a las personas el control sobre cómo se utilizan sus datos y para proteger "los derechos y las libertades fundamentales de las personas físicas", la legislación establece estrictos requisitos sobre el procedimiento de manejo de datos, transparencia, documentación y consentimiento del usuario.

Toda organización debe mantener un registro y supervisar las actividades del procesamiento de datos personales.

Como responsable del tratamiento de datos, toda organización debe mantener un registro y monitorear las actividades del tratamiento de datos personales. Esto incluye no solo los datos personales tratados dentro de la organización, pero también por terceros - llamados encargados del tratamiento datos.

Los encargados de tratamiento pueden ser desde proveedores de Software-como-Servicio, hasta servicios integrados de terceros, rastreando y perfilando visitantes en el sitio web de la organización.

Tanto los responsables como los encargados del tratamiento de datos, deben ser capaces de reportar qué tipo de datos se están tratando, el propósito del tratamiento y a qué países y terceros se emiten los datos.

Si los datos se mandan a otras organizaciones o jurisdicciones que se encuentren fuera del alcance del RGPD o que no se consideren “adecuadas” por el RGPD, el usuario debe ser informado sobre esta situación y sobre los riesgos que esto puede implicar.

Todos los consentimientos deben registrarse como prueba de que se ha obtenido un consentimiento.

No está permitido el tratamiento de datos personales sensibles sin el consentimiento explícito del individuo. Para datos no sensibles, un consentimiento implícito es suficiente. En cualquier caso, el consentimiento debe ser otorgado libremente con base a información clara y específica tanto de los tipos de datos que se manejarán como de su propósito, y siempre antes de que se lleve a cabo cualquier tratamiento (también conocido como consentimiento previo). Todos los consentimientos deben registrarse como prueba de que se ha obtenido un consentimiento.

Los individuos ahora cuentan con "el derecho de portabilidad de datos ", "el derecho de acceso a datos " y "el derecho al olvido " y pueden retirar su consentimiento cuando así lo deseen. En tal caso, el responsable de datos debe eliminar los datos personales del individuo si ya no es necesario para el propósito por el cual fue recolectado.

En el caso de una violación de la seguridad de los datos, la empresa debe de notificar a las autoridades de la protección de datos y a las personas afectadas dentro de un plazo de 72 horas.

Además, el RGPD impone una obligación a autoridades públicas, a organizaciones con más de 250 empleados y a empresas que tratan datos personales sensibles a gran escala, a contratar o capacitar a un delegado de protección de datos (DPD). El DPD debe tomar medidas para asegurar el cumplimiento del RGPD dentro de toda la organización.

En cuanto a Brexit, el gobierno del Reino Unido tiene previsto aplicar una legislación equivalente que también seguirá en gran medida el RGPD.

¿Qué significa el RGPD para mi sitio web?


Si su sitio web ofrece servicios a individuos de la UE y usted – o servicios de terceros como Google y Facebook – están procesando cualquier tipo de datos personales, usted necesita obtener un consentimiento previo del visitante.

Para obtener un consentimiento válido, usted necesita describir en un lenguaje sencillo cuál es el propósito y a qué grado se realizará el tratamiento de datos previo a realizar cualquier tratamiento de datos personales.

Esta información debe estar disponible para el visitante en todo momento, p.ej. como parte de la política de privacidad. Usted también debe habilitar una manera sencilla para que el visitante pueda cambiar o retirar su consentimiento.

Todo consentimiento se debe registrar como prueba y todo el rastreo de datos personales se debe documentar, incluyendo a qué países se están transmitiendo los datos.

Consulte la página de la Comisión Europea sobre la Reforma de las normas de protección de datos de la UE.

Consulte también su infografía Protección de datos: Mejores normas para las pequeñas empresas.

¿Cómo ayuda Cookiebot?

Con Cookiebot, usted puede automatizar su sitio web para cumplir con el RGPD en cuanto a los requisitos de seguimiento de internet y de consentimiento.

Cookiebot le permite monitorear y documentar cualquier tipo de seguimiento en su sitio web, mostrar la información relevante a los visitantes del sitio, y obtener y registrar de manera automática todos los consentimientos de los usuarios.

¿Cuál es la definición de datos personales?


El RGPD define los datos personales como "toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.

Los identificadores en línea, como las direcciones IP, se clasifican como datos personales, a menos que sean anonimizados.

Los datos personales seudonimizados también se encuentran sometidos al RGPD, cuando se puede identificar por ingeniería inversa a quién pertenecen los datos.

Fecha de aplicación del RGPD: 25 de mayo de 2018

La reforma de la protección de datos de la UE fue adoptada por el Parlamento Europeo y el Consejo Europeo el 27 de abril de 2016. El Reglamento general de protección de datos es aplicable a partir del 25 de mayo de 2018 y sustituye a la Directiva general de protección de datos.

Multas y Sanciones del RGPD


Las organizaciones que no cumplan con el reglamento pueden enfrentarse a multas de hasta 20 millones de euros o de un 4% de la facturación anual global de la organización, dependiendo del importa que sea mayor.

Checklist para el RGPD: 6 cosas que debe hacer


1. Prepare su organización

Introduzca a todas las partes interesadas (stakeholders) de su organización con los requisitos del RGPD. Conduzca cursos de entrenamiento para los empleados en seguridad cibernética, privacidad por diseño y privacidad por defecto. Asigne a un delegado de protección de datos (DPD) en caso necesario, es decir, si el número de empleados de la empresa as mayor a 250 personas.

2. Audite sus datos

Asegúrese de saber en dónde se almacenan todos sus datos, quién cuenta con acceso y a través de qué dispositivos. Identifique el lugar donde se tratan los datos personales, incluyendo los efectuados por encargados de tratamiento y terceros. Documente los fundamentos para operaciones de tratamiento lícitas y actualice las políticas actuales de privacidad.

3. Audite los servicios que ofrecen sus proveedores

Asegúrese que los servicios que ofrecen sus proveedores, es decir, los servicios integrados de terceros en su sitio web o proveedores de Software-como-Servicio, también cumplan con el RGPD o se encuentren bajo una jurisdicción oficial de datos. Revise y mapee los flujos de datos internacionales de sus proveedores.

4. Obtenga consentimiento

Implemente métodos para buscar, obtener y grabar consentimientos que aseguren el cumplimiento. Mantenga un claro registro sobre lo que cada individuo de datos haya consentido y proporcione opciones para que el sujeto de dichos datos pueda retirar o modificar su autorización.

5. Responda a los derechos de datos

Implemente procedimientos para que su organización pueda responder a los derechos exigibles, es decir, acceso de datos, rectificación y cancelación. Documente cómo se manejará la información tanto en el contexto del cliente como del empleado.

6. Prepárese en caso de violación de la seguridad de los datos

Asegúrese de que existan procedimientos para detectar, investigar y denunciar violaciones de la seguridad de los datos y así poder cumplir con el periodo límite de notificación de 72 horas del RGPD.

Cumplimiento y requisitos del RGPD


Cursos, formación y certificación del RGPD:

Usted puede conseguir la certificación de iniciación al RGPD (EU GDPR F) y la certificación avanzada del RGPD (EU GDPR P) ambas con acreditación ISO 17024, en varios cursos que brinda, p. ej. IT Governance. La Asociación Internacional de Profesionales de Privacidad (IAPP) también ofrece cursos en línea.

Software para cumplir con el RGPD:

Hay numerosas herramientas, estructuras y soluciones de software que le pueden ayudar en el proceso de cumplir con el RGPD, p. ej. DPOrganizer.

Cookiebot puede ayudarle a automatizar el manejo de consentimientos de usuarios dentro de su sitio web y documentar las cookies y otros tipos de seguimiento que se estén utilizando.

Recursos


Descarga PDF del Reglamento General de Protección de Datos
Comisión Europea: Protección de Datos Personales
Paìses "adecuados" seg˙n el RGPD
Oficina del Comisionado de Información del RU (ICO): la reforma de la protección de datos en el RU
Privacidad desde el diseño: los 7 principios básicos (PDF)

Haga que el uso de cookies y rastreadores online de su web cumpla el RGPD/ePR

PRUÉBELO AHORA GRATIS