Reglamento General de Protección de Datos (GDPR)

El Reglamento general de protección de datos (GDPR) es una legislación que actualiza y unifica las leyes de privacidad de datos en toda la Unión Europea (UE). El RGPD fue aprobado por el Parlamento Europeo el 14 de abril de 2016 y entró en vigor el 25 de mayo de 2018.

GDPR reemplaza la Directiva de Protección de Datos de la UE de 1995. La nueva directiva se enfoca en mantener a las empresas más transparentes y expandir los derechos de privacidad de los interesados. Cuando se detecta una violación de datos grave, el RGPD exige a la empresa que notifique a todas las personas afectadas y a la autoridad supervisora ​​en un plazo de 72 horas. Los mandatos del RGPD se aplican a todos los datos producidos por ciudadanos de la UE, tanto si la empresa que recopila los datos en cuestión se encuentra dentro de la UE como si no, así como a todas las personas cuyos datos se almacenan dentro de la UE, sean o no ciudadanos de la UE. . El RGPD también define sanciones por incumplimiento.

¿Cuál es el propósito de GDPR?

El propósito del GDPR es proteger a las personas y los datos que los describen y garantizar que las organizaciones que recopilan esos datos lo hagan de manera responsable. El RGPD también exige que los datos personales se mantengan de forma segura; en parte, el reglamento dice que los datos personales deben protegerse contra el "procesamiento no autorizado o ilegal, y contra la pérdida, destrucción o daño accidental".

Las razones para recopilar datos personales también se definen en el GDPR; los datos que se recopilan deben tener un propósito específico y legítimo y no deben usarse de ninguna manera más allá de esa intención. El reglamento también sugiere límites sobre la cantidad de datos que se recopilan, y dice que la recopilación de datos debe "limitarse a lo necesario en relación con los fines para los que se procesan".

Este artículo es parte de

¿Qué es la protección de datos y por qué es importante?

  • Que también incluye:
  • Comparación de la protección de datos con la seguridad de los datos y la privacidad de los datos
  • 20 claves para una estrategia de protección de datos empresarial exitosa
  • 5 desafíos comunes de protección de datos a los que se enfrentan las empresas

Descargar1

¡Descarga esta guía completa GRATIS ahora!

El GDPR establece además que la organización que recopila datos debe asegurarse de que sean precisos y actualizados según sea necesario.

Según el RGPD, las empresas no pueden procesar legalmente la información de identificación personal (PII) de ninguna persona sin cumplir al menos una de las siguientes seis condiciones.

  1. Consentimiento expreso del interesado.
  2. El procesamiento es necesario para la ejecución de un contrato con el interesado o para tomar las medidas necesarias para celebrar un contrato.
  3. El procesamiento es necesario para el cumplimiento de una obligación legal.
  4. El procesamiento es necesario para proteger los intereses vitales de un interesado u otra persona.
  5. El procesamiento es necesario para el desempeño de una tarea llevada a cabo en interés público o en el ejercicio de la autoridad oficial conferida al controlador.
  6. El procesamiento es necesario para los fines de intereses legítimos perseguidos por el controlador o un tercero, excepto cuando dichos intereses sean anulados por los intereses, derechos o libertades del interesado.

Además, las empresas que realizan el procesamiento de datos o monitorean a los interesados ​​a gran escala deben designar un oficial de protección de datos (DPO). El DPO es el testaferro responsable de la gobernanza de datos y de garantizar que la empresa cumpla con GDRP. Si una empresa no cumple con el GDPR, las consecuencias legales pueden incluir multas de hasta 20 millones de euros ($ 24.26 millones) o el 4% de la facturación global anual. Además, la persona en esta función es responsable de garantizar que se apliquen los principios de protección de datos adecuados al mantenimiento de los datos personales.

Preocupaciones sobre el cumplimiento de GDPR

Las preocupaciones con respecto al Reglamento general de protección de datos incluyen la falta de las herramientas adecuadas para monitorear los datos en tiempo real.

Historia de GDPR

Las raíces del RGPD de la UE se remontan a la Convención de Derechos Humanos de la UE de 1950, que estableció los derechos humanos básicos que los estados miembros deben respetar.

A medida que las computadoras se volvieron más omnipresentes en las esferas empresarial y gubernamental, se establecieron regulaciones adicionales, como la Convención de Protección de Datos de 1981, que declaró que la privacidad era un derecho legal.

La Directiva europea de protección de datos de 1995 es la más estrechamente relacionada con el RGPD y se considera la precursora de esa regulación.

¿Qué datos protege el RGPD?

Los usuarios deben dar su consentimiento a cualquier empresa u organización que desee recopilar y utilizar datos personales. Según la definición del RGPD, los datos personales son información que se relaciona con "una persona física identificada o identificable", denominada "interesado".

Los datos personales pueden incluir este tipo de información:

  • Nombre
  • Número de identificación
  • Datos de localización
  • Cualquier información que sea específica de "la identidad física, fisiológica, genética, mental, económica, cultural o social de esa persona física".
  • Datos biométricos que se adquieren a través de algún tipo de proceso técnico, como imágenes faciales o huellas dactilares
  • Información relacionada con la salud o el cuidado de la salud de una persona
  • Información racial o étnica de un individuo
  • Opiniones políticas o creencias religiosas
  • Membresía de la unión

Datos personales del RGPD

Los datos personales pueden consistir en cualquier cosa, desde un nombre, una foto, una dirección de correo electrónico o detalles de una cuenta bancaria hasta publicaciones en sitios web de redes sociales, datos biométricos o la dirección IP de la computadora de una persona.

7 principios de GDPR

El GDPR establece siete principios básicos en los que basa sus regulaciones y reglas de cumplimiento relacionadas con los datos personales:

  1. Licitud, equidad y transparencia. El interesado debe estar claramente informado sobre cómo se utilizarán sus datos.
  2. Limitación de finalidad. Los datos se pueden recopilar solo para fines específicos.
  3. Minimización de datos. La cantidad de datos recopilados se limita a lo necesario para un procesamiento específico.
  4. Las organizaciones que recopilan datos deben garantizar su precisión y actualizarlos según sea necesario. Los datos deben eliminarse o cambiarse cuando un interesado realiza dicha solicitud.
  5. Limitación de almacenamiento. Los datos recopilados no se conservarán más tiempo del necesario.
  6. Integridad y confidencialidad. Se deben aplicar las medidas de protección adecuadas a los datos personales para garantizar que sean seguros y estén protegidos contra el robo o el uso no autorizado.
  7. Los recopiladores de datos son responsables de garantizar el cumplimiento del RGPD.

Los siete principios del RGPD son la base de los derechos específicos de los interesados, que incluyen:

  • Derecho al olvido. Los interesados ​​pueden solicitar que se borre la PII del almacenamiento de una empresa. La empresa tiene derecho a rechazar solicitudes si puede demostrar con éxito una base legal para su rechazo.
  • Derecho de acceso. Los interesados ​​pueden revisar los datos que una organización ha almacenado sobre ellos.
  • Derecho a oponerse. Los interesados ​​pueden denegar el permiso para que una empresa utilice o procese los datos personales del interesado. La empresa puede ignorar la denegación si puede satisfacer una de las condiciones legales para el procesamiento de los datos personales del sujeto, pero debe notificar al sujeto y explicar el motivo de hacerlo.
  • Derecho de rectificación. Los interesados ​​pueden esperar que se corrija la información personal inexacta.
  • Derecho de portabilidad. Los interesados ​​pueden acceder a los datos personales que una empresa tiene sobre ellos y transferirlos.

¿Quién está sujeto al cumplimiento de GDPR?

Todas las organizaciones que recopilan datos personales de cualquier ciudadano de un estado miembro de la UE deben cumplir con el GDPR. Eso incluye organizaciones que residen fuera de la Unión; aún deben cumplir con el GDPR si están recopilando datos personales de ciudadanos de un estado miembro.

Las regulaciones se aplican independientemente del método utilizado para recopilar datos personales; esto incluye datos recopilados por métodos distintos a los sitios web y otras herramientas de Internet. El GDPR define tres roles diferentes relacionados con los datos personales:

  1. Asunto de los datos. Titular de los datos personales.
  2. Controlador de datos. La persona u organización que determina qué datos personales recopilar y cómo se utilizarán.
  3. Procesadores de datos. La persona u organización que procesa datos personales para el controlador.

Notificaciones de incumplimiento

En el caso de una violación de seguridad que afecte a los datos personales almacenados, el controlador de datos debe notificar a la autoridad supervisora ​​dentro de las 72 horas posteriores a la violación. La autoridad supervisora ​​se define como la autoridad pública que ha sido designada por el país miembro de la UE para supervisar el cumplimiento del RGPD.

Algunos requisitos adicionales relevantes para las notificaciones de incumplimiento incluyen:

  • Si la notificación no se realiza dentro de las 72 horas asignadas, el controlador de datos debe proporcionar el motivo del retraso.
  • Las notificaciones de incumplimiento deben incluir, como mínimo, la naturaleza del incumplimiento, el número y los tipos de datos personales de los interesados ​​que podrían verse comprometidos y el número de registros de datos que podrían estar involucrados.
  • La organización de control de datos también debe describir las posibles consecuencias derivadas de la infracción y describir las medidas que se tomarán para mitigar los efectos.
  • La notificación de la violación de datos debe entregarse directamente a las víctimas, no en forma de un anuncio general.
  • El responsable del tratamiento debe documentar la infracción y las soluciones que ha aplicado, así como proporcionar la documentación a la autoridad de control para su verificación.

Multas y sanciones por incumplimiento

Las sanciones por incumplimiento o por violaciones de datos pueden ser graves. Se evalúan varios criterios para determinar las sanciones adecuadas, incluida la gravedad de la infracción, la duración de la infracción, el número de interesados ​​afectados por la infracción y el grado de daño en el que incurrió la infracción.

Otros factores que pueden influir en las sanciones incluyen:

  • Si una violación de datos fue causada por negligencia o intención
  • No mantener registros adecuados de la recopilación y el procesamiento de datos personales; las multas pueden ascender a 10 millones de euros o al 2% de los ingresos anuales
  • No cumplir con las órdenes dictadas por las autoridades supervisoras; estas multas pueden ser de hasta 20 millones de euros o hasta el 4% de los ingresos totales

Riesgos de incumplimiento de GDPR

Si las organizaciones no cumplen con GDPR, podrían enfrentar sanciones y demandas.

Aunque el RGPD ha estado en vigor solo durante unos años, hasta la fecha se han impuesto algunas multas importantes, como:

  • British Airways. Más de 200 millones de euros
  • Hoteles Marriot. Más de 100 millones de euros
  • Google Inc. 50 millones de euros

GDPR y datos de terceros

Existen varias regulaciones con respecto a los datos personales obtenidos de partes distintas de los interesados ​​y relacionados con el intercambio de datos personales fuera de la UE.

  • Un controlador de datos debe obtener permiso para transferir datos a otro país u organización internacional.
  • Si los datos personales se recopilan de otras fuentes que no sean el sujeto de datos, el controlador de datos debe proporcionar una descripción de los datos y su origen al sujeto de datos.

Algunos críticos expresaron su preocupación por la retirada del Reino Unido de la UE con respecto al efecto en el cumplimiento del RGPD por parte del país. El Reino Unido ha actualizado su Ley de Protección de Datos de 1998 con una nueva ley llamada Ley de Protección de Datos de 2018. La nueva ley se ajusta estrechamente a las reglas definidas en el GDPR, pero se espera que las empresas del Reino Unido que hacen negocios con clientes u otras organizaciones en los estados miembros de la UE para cumplir con el RGPD. 

6 pasos para garantizar el cumplimiento de GDPR

El RGPD describe los resultados esperados de una gestión de datos buena y responsable, pero no define ninguna medida técnica específica que los recopiladores de datos deban utilizar para alcanzar ese objetivo.

Algunas de las mejores prácticas para ayudar a garantizar el cumplimiento del RGPD incluyen:

  1. Pregunte siempre antes de recopilar datos personales; los interesados ​​deben ser participantes dispuestos.
  2. Reúna solo lo que realmente necesita; Las organizaciones serán responsables de todos los datos que recopilen, los utilicen o no.
  3. No comparta datos con otras entidades, a menos que los usuarios estén de acuerdo y las autoridades supervisoras hayan aprobado la transacción.
  4. Cifre todos los datos personales, tanto en reposo como en vuelo.
  5. Asegúrese de que se mantengan al menos dos copias de seguridad seguras y actualizadas de todos los datos personales en dos ubicaciones separadas fuera del sitio.
  6. Tenga las herramientas para editar o eliminar fácilmente elementos específicos de datos personales y para verificar y documentar las acciones.