¿Qué es el RGPD?La nueva ley europea de seguridad y privacidad de datos incluye cientos de páginas de nuevos requisitos para organizaciones de todo el mundo.Esta descripción general del RGPD le ayudará a comprender la ley y a determinar qué partes se aplican a su caso. El Reglamento General de Protección de Datos (GDPR) es la ley de privacidad y seguridad más estricta del mundo.Aunque fue redactado y aprobado por la Unión Europea (UE), impone obligaciones a las organizaciones en cualquier lugar, siempre que se dirijan a personas de la UE o recopilen datos relacionados con ellas.El reglamento entró en vigor el 25 de mayo de 2018. El RGPD impondrá duras multas a quienes violen sus estándares de privacidad y seguridad, con sanciones que alcanzarán decenas de millones de euros.
Con el RGPD, Europa está señalando su postura firme sobre la privacidad y la seguridad de los datos en un momento en el que cada vez más personas confían sus datos personales a servicios en la nube y las infracciones son algo cotidiano.La regulación en sí es amplia, de gran alcance y bastante ligera en detalles, lo que hace que el cumplimiento del RGPD sea una perspectiva desalentadora, especialmente para las pequeñas y medianas empresas (PYME).
Creamos este sitio web para que sirva como recurso para que los propietarios y administradores de PYME aborden los desafíos específicos que puedan enfrentar.Si bien no sustituye el asesoramiento legal, puede ayudarle a comprender dónde centrar sus esfuerzos de cumplimiento del RGPD.También ofrecemos consejos sobre herramientas de privacidad y cómo mitigar los riesgos.A medida que se siga interpretando el RGPD, lo mantendremos actualizado sobre la evolución de las mejores prácticas.
Si has encontrado esta página: '¿Qué es el RGPD?', es probable que estés buscando un curso intensivo.Quizás ni siquiera hayas encontrado todavía el documento (consejo: aquí tienes el reglamento completo).Quizás no tengas tiempo para leerlo todo.Esta pagina es para ti.En este artículo intentamos desmitificar el RGPD y, esperamos, hacerlo menos abrumador para las pymes preocupadas por el cumplimiento del RGPD.
Historia del RGPD El derecho a la privacidad forma parte del Convenio Europeo de Derechos Humanos de 1950, que establece: 'Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia'. A partir de esta base, la Unión Europea ha buscado garantizar la protección de este derecho a través de la legislación.
A medida que avanzaba la tecnología y se inventaba Internet, la UE reconoció la necesidad de protecciones modernas.Por eso, en 1995 aprobó la Directiva Europea de Protección de Datos, que establece estándares mínimos de privacidad y seguridad de los datos, sobre los cuales cada estado miembro basó su propia ley de implementación.Pero Internet ya se estaba transformando en el Hoover de datos que es hoy.En 1994, apareció en línea el primer anuncio publicitario.En el año 2000, la mayoría de las instituciones financieras ofrecían banca en línea.En 2006, Facebook se abrió al público.En 2011, un usuario de Google demandó a la empresa por escanear sus correos electrónicos.Dos meses después, la autoridad europea de protección de datos declaró que la UE necesitaba 'un enfoque integral sobre la protección de datos personales' y comenzó a trabajar para actualizar la directiva de 1995.
El RGPD entró en vigor en 2016 después de su aprobación por el Parlamento Europeo y, a partir del 25 de mayo de 2018, todas las organizaciones debían cumplirlo.
Alcance, sanciones y definiciones clave En primer lugar, si procesa datos personales de ciudadanos o residentes de la UE, o ofrece bienes o servicios a dichas personas, entonces el RGPD se aplica a usted incluso si no se encuentra en la UE.Hablamos más sobre esto en otro artículo.
En segundo lugar, las multas por violar el RGPD son muy elevadas.Hay dos niveles de sanciones, con un máximo de 20 millones de euros o el 4% de los ingresos globales (lo que sea mayor), además los interesados tienen derecho a solicitar una indemnización por daños y perjuicios.También hablamos más sobre las multas GDPR.
El RGPD define detalladamente una serie de términos legales.A continuación se detallan algunos de los más importantes a los que nos referimos en este artículo:
Datos personales: los datos personales son cualquier información relacionada con un individuo que puede ser identificado directa o indirectamente.Los nombres y direcciones de correo electrónico son obviamente datos personales.La información de ubicación, el origen étnico, el género, los datos biométricos, las creencias religiosas, las cookies web y las opiniones políticas también pueden ser datos personales.Los datos seudónimos también pueden incluirse en la definición si es relativamente fácil identificar a alguien a partir de ellos.
Procesamiento de datos: cualquier acción realizada sobre los datos, ya sea automatizada o manual.Los ejemplos citados en el texto incluyen recopilar, registrar, organizar, estructurar, almacenar, usar, borrar… básicamente cualquier cosa.
Titular de los datos: la persona cuyos datos se procesan.Estos son sus clientes o visitantes del sitio.
Responsable del tratamiento: La persona que decide por qué y cómo se procesarán los datos personales.Si es propietario o empleado de su organización que maneja datos, este es usted.
Procesador de datos: un tercero que procesa datos personales en nombre de un controlador de datos.El RGPD tiene reglas especiales para estas personas y organizaciones.Podrían incluir servidores en la nube como Tresorit o proveedores de servicios de correo electrónico como Proton Mail.
Lo que dice el RGPD sobre… Durante el resto de este artículo, explicaremos brevemente todos los puntos regulatorios clave del GDPR.
Principios de protección de datos Si procesa datos, debe hacerlo de acuerdo con siete principios de protección y responsabilidad descritos en el Artículo 5.1-2:
Legalidad, equidad y transparencia: el procesamiento debe ser legal, justo y transparente para el interesado.
Limitación de finalidad: debe procesar los datos para los fines legítimos especificados explícitamente al interesado cuando los recopiló.
Minimización de datos: debe recopilar y procesar solo la cantidad de datos que sea absolutamente necesaria para los fines especificados.
Precisión: debe mantener los datos personales precisos y actualizados.
Limitación de almacenamiento: solo puede almacenar datos de identificación personal durante el tiempo necesario para el propósito especificado.
Integridad y confidencialidad: el procesamiento debe realizarse de tal manera que se garantice la seguridad, integridad y confidencialidad adecuadas (por ejemplo, mediante el uso de cifrado).
Responsabilidad: el controlador de datos es responsable de poder demostrar el cumplimiento del RGPD con todos estos principios.
Responsabilidad
El RGPD dice que los controladores de datos deben poder demostrar que cumplen con el RGPD.Y esto no es algo que pueda hacer después del hecho: si cree que cumple con el RGPD pero no puede demostrar cómo, entonces no cumple con el RGPD.Entre las formas en que puedes hacer esto:
Designe responsabilidades de protección de datos a su equipo.
Mantenga documentación detallada de los datos que está recopilando, cómo se utilizan, dónde se almacenan, qué empleado es responsable de ellos, etc.
Forme a su personal e implemente medidas de seguridad técnicas y organizativas.
Tener contratos de acuerdo de procesamiento de datos vigentes con terceros que usted contrate para procesar datos por usted.
Designe un Delegado de Protección de Datos (aunque no todas las organizaciones necesitan uno; más sobre eso en este artículo).
Seguridad de datos
Debe manejar los datos de forma segura mediante la implementación de 'medidas técnicas y organizativas apropiadas'.
Las medidas técnicas significan cualquier cosa, desde exigir a sus empleados que utilicen autenticación de dos factores en cuentas donde se almacenan datos personales hasta contratar proveedores de nube que utilizan cifrado de extremo a extremo.
Las medidas organizativas son cosas como capacitaciones del personal, agregar una política de privacidad de datos a su manual de empleado o limitar el acceso a datos personales solo a aquellos empleados de su organización que los necesiten.
Si tiene una violación de datos, tiene 72 horas para informar a los interesados o enfrentar sanciones.(Es posible que no se aplique este requisito de notificación si utiliza medidas de seguridad tecnológicas, como el cifrado, para inutilizar los datos para un atacante).
Protección de datos por diseño y por defecto
De ahora en adelante, todo lo que haga en su organización debe, 'por diseño y por defecto', considerar la protección de datos.En la práctica, esto significa que debes considerar los principios de protección de datos en el diseño de cualquier nuevo producto o actividad.El RGPD cubre este principio en el artículo 25.
Supongamos, por ejemplo, que está lanzando una nueva aplicación para su empresa.Debe pensar en qué datos personales la aplicación podría recopilar de los usuarios, luego considerar formas de minimizar la cantidad de datos y cómo protegerlos con la última tecnología.
Cuándo se le permite procesar datos
El artículo 6 enumera los casos en los que es legal procesar datos personales.Ni siquiera pienses en tocar los datos personales de alguien (no los recopiles, no los almacene, no los vendas a anunciantes) a menos que puedas justificarlo con uno de los siguientes:
El interesado le dio su consentimiento específico e inequívoco para el tratamiento de los datos.(Por ejemplo, se han suscrito a su lista de correo electrónico de marketing).
El procesamiento es necesario para ejecutar o prepararse para celebrar un contrato en el que el interesado es parte.(Por ejemplo, debe realizar una verificación de antecedentes antes de arrendar una propiedad a un posible inquilino).
Necesitas tramitarla para cumplir con una obligación legal tuya.(por ejemplo, recibe una orden del tribunal de su jurisdicción).
Necesita procesar los datos para salvar la vida de alguien.(Por ejemplo, bueno, probablemente sabrás cuándo se aplica este).
El tratamiento es necesario para realizar una tarea de interés público o para llevar a cabo alguna función oficial.(por ejemplo, es una empresa privada de recolección de basura).
Tiene un interés legítimo para procesar los datos personales de alguien.Esta es la base legal más flexible, aunque los 'derechos y libertades fundamentales del interesado' siempre prevalecen sobre sus intereses, especialmente si se trata de datos de un niño.(Es difícil dar un ejemplo aquí porque hay una variedad de factores que deberá considerar para su caso. La Oficina del Comisionado de Información del Reino Unido proporciona orientación útil aquí).
Una vez que haya determinado la base legal para el procesamiento de sus datos, debe documentar esta base y notificar al interesado (¡transparencia!).Y si luego decide cambiar su justificación, debe tener una buena razón, documentar esta razón y notificar al interesado.
Consentir
Existen nuevas reglas estrictas sobre lo que constituye el consentimiento de un interesado para procesar su información.
El consentimiento debe ser 'libremente otorgado, específico, informado e inequívoco'.
Las solicitudes de consentimiento deben ser 'claramente distinguibles de los demás asuntos' y presentadas en 'lenguaje claro y sencillo'.
Los interesados pueden retirar el consentimiento prestado previamente cuando lo deseen, debiendo respetar su decisión.No se puede simplemente cambiar la base jurídica del tratamiento por una de las otras justificaciones.
Los niños menores de 13 años sólo pueden dar su consentimiento con el permiso de sus padres.
Debe conservar prueba documental del consentimiento.
Delegados de protección de datos
Contrariamente a la creencia popular, no todos los responsables o procesadores de datos necesitan nombrar un Delegado de Protección de Datos (DPO).Hay tres condiciones bajo las cuales usted debe nombrar un DPO:
Usted es una autoridad pública distinta de un tribunal que actúa a título judicial.
Sus actividades principales requieren que controle a las personas de forma sistemática y regular a gran escala.(por ejemplo, eres Google).
Sus actividades principales son el procesamiento a gran escala de categorías especiales de datos enumeradas en el artículo 9 del RGPD o datos relacionados con condenas penales e infracciones mencionadas en el artículo 10 (por ejemplo, si es un consultorio médico).
También puede optar por designar un DPO incluso si no está obligado a hacerlo.Hay beneficios de tener a alguien en este rol.Sus tareas básicas implican comprender el RGPD y cómo se aplica a la organización, asesorar a las personas de la organización sobre sus responsabilidades, realizar capacitaciones en protección de datos, realizar auditorías y monitorear el cumplimiento del RGPD, y servir como enlace con los reguladores.
Profundizamos sobre el papel del DPO en otro artículo.
Los derechos de privacidad de las personas
Usted es responsable del tratamiento y/o encargado del tratamiento.Pero como persona que utiliza Internet, también es un interesado.El GDPR reconoce una letanía de nuevos derechos de privacidad para los interesados, cuyo objetivo es brindar a las personas más control sobre los datos que prestan a las organizaciones.Como organización, es importante comprender estos derechos para garantizar el cumplimiento del RGPD.
A continuación se muestra un resumen de los derechos de privacidad de los interesados:
El derecho a ser informado
El derecho de acceso
El derecho a la rectificación
El derecho a borrar
El derecho a restringir el procesamiento
El derecho a la portabilidad de los datos
El derecho a oponerse
Derechos en relación con la toma de decisiones automatizadas y la elaboración de perfiles.
Conclusión
Acabamos de cubrir todos los puntos principales del RGPD en poco más de 2000 palabras.El reglamento en sí (sin incluir las directivas que lo acompañan) tiene 88 páginas.Si se ve afectado por el RGPD, le recomendamos encarecidamente que alguien de su organización lo lea y consulte a un abogado para asegurarse de que cumple con el RGPD.
