Inicio ' Recursos ' Artículos ' ¿Qué es rgpd? Resumen de la General...

¿Qué es rgpd? Resumen del Reglamento General de Protección de Datos

Cubierto por Termly

Por: Teodor Stanciu, CIPP/E, CIPM Teodor Stanciu, CIPP/E, CIPM | Actualizado el: 1 de noviembre de 2024

Revisado por: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Cumpla gratuitamente con la rgpd
Qué-es-rgpd-Los- fundamentos-del-Reglamento-UE- general-de-protección-de-datos-01

El Reglamento General de Protección de Datos (rgpd) comenzó a aplicarse en Europa en 2018 y cambió casi de inmediato la forma en que las empresas recopilan y procesan información personal en todo el mundo; lo más probable es que incluso afecte a la suya.

Su objetivo es proteger los derechos de privacidad de las personas en la Unión Europea (UE) y el Espacio Económico Europeo (EEE) dándoles el control sobre cómo se utilizan sus datos personales en línea.

Establece una serie de normas y principios que las empresas deben cumplir o corren el riesgo de recibir cuantiosas multas.

Para ayudar a las empresas a entender la normativa, he creado este resumen enrgpd donde explico su alcance legal, a quién protege, qué hay que hacer para cumplirla y los costes potenciales de infringir la ley de privacidad de datos más estricta del mundo.

Índice
  1. ¿Qué es rgpd?
  2. ¿Quién debe cumplir con la rgpd?
  3. Definiciones clave En el rgpd
  4. Sanciones por incumplimiento
  5. rgpd's Take On...
  6. rgpd Requisitos para las empresas
  7. ¿Cómo afectan las normas de rgpd a usuarios y consumidores?
  8. El efecto mundial de la rgpd
  9. ¿Cómo afecta a las empresas estadounidenses la UE rgpd?
  10. ¿Qué significa rgpd para el futuro?
  11. rgpd Preguntas Frecuentes
  12. Resumen

¿Qué es rgpd?

Me gusta describir el rgpd de dos maneras.

Se trata de una normativa europea sobre protección de datos que otorga a los ciudadanos de la UE y el EEE derechos y control sobre su información personal. Pero también establece normas y principios específicos que deben seguir las empresas de todo el mundo para procesar legalmente esos valiosos datos.

rgpd creó un marco jurídico consolidado de protección de datos en todos los Estados miembros de la UE, además de Islandia, Liechtenstein y Noruega, que forman parte del mercado único del EEE.

Prioriza los derechos individuales de los interesados por encima de todo y responsabiliza a las empresas de las filtraciones y violaciones de datos.

La interesante historia de la rgpd

rgpd tiene una historia interesante, quizá incluso tumultuosa, que abordaré brevemente antes de hablar de sus requisitos legales específicos.

La puesta en marcha de rgpd supuso un punto de inflexión para la protección de la privacidad en nuestra actual y algo nueva era digital de los grandes datos.

Aunque los líderes europeos aprobaron inicialmente la rgpd en 2016, entró en vigor el 25 de mayo de 2018, lo que da a los Estados miembros de la UE y a las empresas de todo el mundo dos años para prepararse.

Dos años parecen mucho tiempo para prepararse. Sin embargo, muchas organizaciones seguían sin tener claros los requisitos de rgpd y si debían cumplirlos y cuándo.

Esta incertidumbre -y la falta de preparación- les expone a multas significativas por incumplimiento (hablaré de los riesgos financieros de infringir la rgpd más adelante en esta guía).

El Reglamento sustituye a la Directiva de Protección de Datos (DPD) de la UE de 1995.

Por supuesto, el entorno de datos era muy diferente a mediados de los 90 que en 2016. La World Wide Web aún era joven y los consumidores no tenían smartphones en el bolsillo.

La DPD se aplicó por separado en los Estados miembros de la UE y del EEE y variaba considerablemente de una jurisdicción a otra. En cambio, el texto de rgpd era directamente aplicable, afectaba a todos los Estados miembros de la UE y su lenguaje refleja mejor el tratamiento de datos moderno.

De hecho, la rgpd se ha utilizado incluso en un intento de regular la tecnología de inteligencia artificial (IA) en países como Italia: en 2022, la autoridad supervisora italiana multó a Clearview AI con 20 millones de euros por almacenar datos biométricos y de geolocalización sin tener una base jurídica adecuada para hacerlo según la rgpd (IAPP).

La normativa sigue inspirando a otras regiones del mundo para adoptar leyes con principios similares en materia de privacidad de datos, lo que demuestra que sin duda tendrá una repercusión duradera en todas nuestras vidas.

¿Quién debe cumplir con la rgpd?

La mayoría de los empresarios se sorprenden al conocer el amplio alcance de rgpd .

rgpd se aplica a entidades y empresas de todo el mundo que tratan datos personales y se dirigen a interesados de la UE o el EEE -directa o indirectamente- de alguna de las siguientes maneras:

  • Ofrecer bienes o servicios a personas de la UE o el EEE, aunque no se produzca ninguna transacción monetaria
  • Supervisa el comportamiento en línea de los ciudadanos de la UE y el EEE

Esta aplicación significa que las empresas que operan fuera de Europa pueden caer bajo su umbral legal como controladores o procesadores de datos, una distinción que discutiré en breve.

También me parece interesante en cuanto a la inclusividad de a quién cubre. El rgpd protege a las personas físicas de la UE o del EEE, independientemente de su nacionalidad o estatus de ciudadanía, y se refiere a ellas como interesados, como se explica en el capítulo 1, artículo 3, del Reglamento.

Definiciones clave En el rgpd

Ahora que ya conoce los conceptos básicos de rgpd , le sugiero que se familiarice con las definiciones jurídicas de varias frases clave utilizadas en la normativa para ayudarle a simplificar el proceso de cumplimiento.

En el siguiente cuadro, le muestro la definición de esas palabras esenciales tal y como aparece en rgpd y le ofrezco una versión simplificada de los significados.

Plazo Definición jurídica precisa Definición simplificada
Datos Personales "... cualquier información relativa a una persona física identificada o identificable ("interesado"); una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular mediante un identificador como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos específicos de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona física;"

(Capítulo 1, artículo 4, parte 1)

 Información sobre una persona que pueda identificarla directa o indirectamente, como:

  • Nombres
  • Correo electrónico
  • Números de identificación
  • Direcciones
  • Geolocalización precisa
  • Direcciones IP
  • Datos biométricos
  • Información personal sensible
Tratamiento "... cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales o a conjuntos de datos personales, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, limitación, supresión o destrucción;"

(Capítulo 1, artículo 4, parte 2)

 Realizar cualquiera de las siguientes acciones a una pieza o conjunto de datos personales:

  • Recopilación
  • Grabación
  • Organización
  • Estructuración
  • Almacenamiento
  • Adaptación
  • Alterar
  • Recuperar
  • Consultoría
  • Utilizando
  • Revelar
  • Difusión de
  • Poner a disposición
  • Alineación
  • Combinación de
  • Restringir
  • Borrado de
  • Destruir
Consentimiento "...toda manifestación de voluntad, libre, específica, informada e inequívoca, mediante la que el interesado consienta, por declaración o mediante una clara acción afirmativa, el tratamiento de datos personales que le conciernan;"

(Capítulo 1, artículo 4, parte 11)

 Cuando un interesado consiente libremente el tratamiento de los datos mediante una acción afirmativa y clara (como marcar una casilla de verificación, hacer clic en un botón con la etiqueta "Acepto", escribirlo en un papel o firmar un documento con este fin) y tiene acceso a una política de privacidad conforme que le informa sobre las actividades de tratamiento de datos de la entidad y la ha leído.

*Se trata de una definición importante a la que debe prestar atención si su empresa se basa en el consentimiento como fundamento jurídico para el tratamiento de datos personales.
Controlador de datos "...la persona física o jurídica, autoridad pública, agencia u otro organismo que, solo o conjuntamente con otros, determine los fines y los medios del tratamiento de datos personales; cuando los fines y los medios de dicho tratamiento estén determinados por el Derecho de la Unión o de los Estados miembros, el responsable del tratamiento o los criterios específicos para su designación podrán estar previstos por el Derecho de la Unión o de los Estados miembros;"

(Capítulo 1, artículo 4, parte 7)

 Cualquier persona física o entidad que determine el motivo y los medios del tratamiento de datos personales pertenecientes a los interesados (por ejemplo, clientes, usuarios, visitantes de sitios web, etc.).
Procesador de datos una persona física o jurídica, autoridad pública, agencia u otro organismo que trate datos personales por cuenta del responsable del tratamiento;(capítulo 1, artículo 4, parte 8) Cualquier tercero encargado por un responsable del tratamiento de datos de procesar datos personales basándose en las instrucciones proporcionadas por el responsable del tratamiento y en su nombre.

Seguiré utilizando estos términos a lo largo de esta guía rgpd , así que no dudes en consultar las definiciones siempre que sea necesario.

Sanciones por incumplimiento

Violar la rgpd conlleva multas cuantiosas y el escrutinio público. Y créeme, no querrás acabar en nuestra lista de las mayores multas de rgpd de todos los tiempos.

  • Las empresas que incumplan de forma significativa la normativa enumerada en el artículo 83(5) de la rgpd se enfrentan a una sanción máxima de 20 millones de euros (22,5 millones de dólares) o el 4% de su volumen de negocios global anual, la cifra que sea más alta.
  • Las infracciones menos graves, enumeradas en el apartado 4 del artículo 83 de la rgpd, alcanzan los 10 millones de euros (12 millones de dólares) o hasta el 2% de su facturación global anual.

Además, las autoridades pueden emitir una amonestación pública o restringir la realización de la actividad de recogida de datos, como prohibir a una empresa que procese la información de los sujetos de rgpd . Estas restricciones pueden imponerse con carácter temporal o permanente.

La primera sanción significativa de rgpd (unos 50 millones de euros) se emitió en enero de 2019 y no se detuvo ahí: la normativa ha acumulado actualmente un total de 4.000 millones de euros (4.500 millones de dólares) en multas en general. Vaya.

rgpd's Take On...

En las siguientes secciones, trataré la opinión de rgpdsobre varios temas vitales que afectan a las empresas y a sus consumidores.

Siete principios básicos rgpd

El texto de rgpd (capítulo 2, artículo 5) esboza siete principios básicos que las entidades deben seguir para tratar legalmente los datos personales.

Esos principios son:

  1. Legalidad, equidad y transparencia
  2. Limitación de la finalidad
  3. Minimización de datos
  4. Precisión
  5. Limitación de almacenamiento
  6. Integridad y confidencialidad (seguridad)
  7. Rendición de cuentas

Pero encuentro que la mayoría de las empresas no siempre entienden cuál es el propósito de rgpd y qué significan estos principios básicos o a qué se refieren en relación con el cumplimiento de la privacidad. Así que me tomaré mi tiempo para explicarte cada uno de ellos.

Legalidad, equidad y transparencia

Según la web rgpd, todo tratamiento de datos realizado por cualquier entidad debe ser legal. Debe tratar la información de forma leal y en el mejor interés de los interesados.

Las empresas no pueden engañar a los usuarios sobre sus fines o actividades de tratamiento de datos.

Debe informar de forma transparente a sus usuarios sobre la información que recopila de ellos, su base jurídica para hacerlo y cómo se utiliza, incluyendo si la comparte con terceros y cuáles son sus derechos.

Finalidad Limitación

Según la web rgpd, las empresas deben recoger y tratar datos personales únicamente para los fines que hayan especificado explícitamente a los interesados.

Esto significa que no puede tratar los datos personales más allá de dichos fines, a menos que el tratamiento posterior se considere compatible con los fines para los que se recogieron originalmente los datos personales. Esto se conoce como limitación de la finalidad.

Debe dejar clara la finalidad del tratamiento desde el principio, registrarla de algún modo y sólo puede cambiar si vuelve a obtener el consentimiento de sus usuarios.

Sin embargo, el archivo de datos con fines de interés público, de investigación científica o histórica o con fines estadísticos no depende de las limitaciones de finalidad, siempre que se sigan todas las disposiciones recogidas en el capítulo 9, artículo 89, de la rgpd.

Minimización de datos

Las empresas sujetas a la jurisdicción de rgpd sólo pueden recopilar datos personales que sean adecuados, pertinentes y limitados a lo necesario para los fines indicados a los interesados para el tratamiento de los datos.

En otras palabras, sólo debe recopilar los datos necesarios para la finalidad de tratamiento declarada; no puede inventarse cualquier motivo para recopilar tantos datos como sea posible.

La aplicación práctica de este principio requiere aplicar dos conceptos: necesidad (es decir, ¿es necesario el tratamiento de datos?) y proporcionalidad (es decir, ¿es proporcional?) al tratamiento de datos personales.

Precisión

Según la web rgpd, debe tomar medidas razonables para garantizar que los datos personales que recopila son exactos y están actualizados, siempre que sea necesario. Esta medida es necesaria porque existen riesgos evidentes para los interesados si se procesa información inexacta.

Por lo tanto, las empresas también deben tomar todas las medidas posibles para corregir o rectificar los datos inexactos sin demora indebida (dentro de lo razonable, por supuesto).

Limitación de almacenamiento

rgpd establece claramente que las empresas no deben conservar los datos personales más tiempo del necesario en relación con el fin para el que se trataron inicialmente.

La única excepción es para fines de archivo relacionados con el interés público, la investigación científica o histórica, o fines estadísticos, en cuyo caso puede almacenar los datos durante períodos más largos como se indica en el capítulo 9, artículo 89 de la rgpd.

Integridad y confidencialidad (también conocida como seguridad)

En virtud de la rgpd, su empresa debe adoptar las medidas técnicas y organizativas adecuadas para proteger los datos personales contra el tratamiento no autorizado o ilícito, la pérdida accidental, la destrucción y los daños. En pocas palabras, debe evitar el riesgo de que se produzcan filtraciones o violaciones de datos.

Ser irresponsable con los datos personales de los interesados puede acarrearle problemas.

La dirección rgpd puede exigir responsabilidades económicas a las empresas que sean víctimas de un ciberdelito de este tipo debido a medidas de seguridad inadecuadas.

Es más, debe notificar a la autoridad de protección de datos aplicable cualquier filtración o violación sin demora indebida, pero no más tarde de 72 horas desde el momento en que tuvo conocimiento de dicha violación de datos.

Si es probable que la violación de los datos suponga un alto riesgo para los derechos y libertades de los interesados, también tiene que informarles.

Debido a este principio básico, su empresa debe tomar las medidas de seguridad adecuadas para garantizar que los datos que procesa están anonimizados, cifrados o, al menos, seudonimizados para disminuir la probabilidad de una violación grave de los datos.

Rendición de cuentas

La rendición de cuentas es uno de los principios más importantes de rgpd.

Según rgpd, las organizaciones deben demostrar que cumplen los seis principios anteriores que acabo de tratar, conocidos como principio de responsabilidad. La idea es que las organizaciones deben ser responsables de la recogida y el tratamiento de la información sobre las personas.

Deben responsabilizarse de ellos y cuidarlos durante todo el ciclo de vida de los datos. De este modo, la organización puede responsabilizarse de sus acciones e inacciones.

Si asume que cumple la normativa rgpd pero no puede demostrarlo, técnicamente no la cumple.

Algunas formas de demostrar que su empresa es compatible con rgpd son las siguientes:

  • Publicar una política de privacidad actualizada y precisa a disposición de todos los interesados de la UE o el EEE.
  • Utilizar formularios de solicitud de acceso del interesado (DSAR) en su plataforma para que los interesados de la UE/EEE puedan ejercer fácilmente sus derechos de privacidad.
  • Garantizar el uso de Acuerdos de Procesamiento de Datos(APD) adecuados con cualquier tercero con acceso a sus datos de usuario siguiendo las obligaciones contractuales descritas en el capítulo 4, artículo 28 del Reglamento.
  • Nombrar a un responsable de la protección de datos (RPD) cuando sea necesario.
  • Formación de su personal en materia de privacidad de datos y buenas prácticas de ciberseguridad.
  • Documente detalladamente las medidas de seguridad utilizadas para proteger adecuadamente los datos de sus usuarios.
  • Sea consciente de los derechos de los interesados y esté preparado para ayudar a estos últimos con prontitud.

Privacidad por diseño y por defecto (PdD)

En rgpd se describe lo que se denomina privacidad desde el diseño y por defecto o PbD (Privacy by Design and by Default), que en realidad significa que debe centrarse en incorporar la protección de datos en el núcleo mismo de su empresa, desde la fase de diseño y a lo largo de todo el ciclo de vida de la actividad de tratamiento.

Al hacer de la protección de datos un componente esencial de su empresa, puede anticipar mejor los riesgos y las violaciones de datos antes de que se produzcan. Así, podrá ofrecer a los particulares un entorno más seguro y confianza en su empresa.

Suelo decir a las empresas que esto es como una garantía para sus clientes de que tienen en mente la seguridad de su información personal cuando planifican sus protocolos de recogida y tratamiento de datos.

La PdD no es un concepto nuevo en el ámbito de la protección de datos. Sin embargo, rgpd lo convierte en un requisito legal oficial en relación con los interesados dentro de la UE y el EEE.

Debe hacer que la integridad de los datos forme parte de cada fase de diseño del producto y tenerla presente de forma proactiva en todas las facetas del desarrollo.

Condiciones para el tratamiento legal de datos personales

Para procesar legalmente datos personales en virtud de rgpd, debe indicar su base jurídica para cada categoría de información que utilice.

En rgpd se exponen las siguientes bases jurídicas como motivos conformes para el tratamiento de datos:

Consentimiento

Sólo puede basarse en el consentimiento si ofrece a los interesados el control y la posibilidad real de aceptar o rechazar las condiciones ofrecidas sin perjuicio de sus actividades de tratamiento.

Para que la recopilación de datos personales tenga una base jurídica válida, también debe cumplir una serie de condiciones específicas recogidas en rgpd . Dado que se trata de una base jurídica común para las empresas, la tratamos con más detalle en la siguiente sección.

Cumplimiento contractual

Si el tratamiento es necesario para la ejecución de un contrato que incluye al interesado, se trata de un motivo legítimo para el tratamiento de la información del usuario.

Interés legítimo

Si el tratamiento de los datos es necesario para sus intereses legítimos, se aplicará esta base jurídica, a menos que dichos intereses legítimos prevalezcan sobre los derechos y libertades de los interesados.

Interés vital

Se aplica en situaciones de vida o muerte y se refiere al tratamiento de datos necesarios para proteger los intereses vitales de un interesado.

Requisitos legales

Esta base jurídica se aplica cuando el tratamiento es necesario para cumplir una obligación legal.

Interés público

Se aplica cuando el tratamiento de datos es necesario para realizar una tarea en interés del público en general y suele aplicarse a entidades públicas o privadas que realizan tareas de interés público.

Asegúrese de explicar y demostrar claramente su base jurídica para cada tipo de información personal que recopile en una política de privacidad conforme a rgpd.

Es importante destacar que no existe jerarquía entre las bases jurídicas, salvo en el caso del "Interés legítimo", que sólo se utilizará como último recurso cuando no pueda invocarse ninguna otra base jurídica.

Además, debe determinar la base jurídica antes de tratar los datos personales. Es importante hacerlo bien a la primera. Es probable que cambiar la base jurídica sea intrínsecamente injusto para los interesados y puede dar lugar a incumplimientos de los requisitos de responsabilidad y transparencia.

Consentimiento en virtud de la rgpd

El consentimiento es una de las bases jurídicas para el tratamiento de datos personales en virtud de la rgpd, pero su empresa debe poder demostrar varias condiciones específicas señaladas por el reglamento.

En rgpd se define el consentimiento válido en el capítulo 1, artículo 4, y para ayudarte a entender esta definición un poco mejor, la he desglosado en sus partes esenciales:

  • Libre elección: Los usuarios deben tener la opción y el control genuinos de aceptar sus prácticas de recopilación de datos y no pueden ser forzados o coaccionados.
  • Específico: Si un usuario consiente sus actividades de tratamiento, no puede combinar esa elección afirmativa con otras cosas o convolucionarla de formas que puedan confundir al interesado.
  • Informar: Los usuarios deben saber lo que aceptan, lo que significa proporcionar una explicación fácil de leer sobre los datos que recopila, por qué los necesita, cómo los utilizará y con quién los compartirá. Esto está estrechamente relacionado con los principios de imparcialidad y legalidad explicados anteriormente.
  • Indicación inequívoca: Los usuarios deben indicar que están de acuerdo con sus prácticas de tratamiento de datos a través de una moción o declaración activa, como la selección de una casilla de verificación o un botón "Acepto" debidamente etiquetado. Este consentimiento no puede confundirse con la aceptación de otras cosas, como correos electrónicos de marketing o boletines informativos. Por tanto, debe quedar claro que el interesado consiente una actividad de tratamiento concreta.
  • Acción afirmativa: Los usuarios deben realizar una acción evidente para expresar que están de acuerdo con sus actividades de tratamiento de datos. Pídeles que seleccionen un botón claramente etiquetado como "Acepto", que rellenen activamente un formulario o que marquen una casilla sin marcar para expresar su aprobación.

En el capítulo 4, artículo 7, de rgpd se exponen las siguientes condiciones para el consentimiento, que usted debe cumplir para utilizar el consentimiento como base jurídica válida para el tratamiento de datos:

  • Debe poder demostrar que obtuvo el consentimiento de sus usuarios para procesar sus datos.
  • Si dan su consentimiento mediante una declaración por escrito y también se refiere a otros asuntos, debes presentarla de forma que sea fácilmente distinguible, inteligible y en un formato accesible.
  • Sus usuarios tienen derecho a retirar su consentimiento en cualquier momento, y este proceso debe ser tan fácil como optar por dar su consentimiento.
  • Se presumirá que el consentimiento no se ha dado libremente si no permite dar un consentimiento por separado para diferentes operaciones de tratamiento de datos personales a pesar de que sea adecuado en cada caso concreto o si la ejecución de un contrato, incluida la prestación de un servicio, depende del consentimiento a pesar de que éste no sea necesario para dicha ejecución.

La información debe ser accesible y estar redactada en un lenguaje comprensible para el ciudadano medio. Los usuarios deben saber lo que aceptan, y el uso de sus datos no debe ir más allá de lo especificado.

Para describir el consentimiento en rgpd en pocas palabras: interminables páginas de jerga legal y casillas previamente marcadas ya no sirven.

Almacenamiento de datos y directrices de seguridad

Según la web rgpd, las empresas son responsables de mantener los datos personales a salvo de brechas o filtraciones de ciberseguridad, que darían lugar, en particular, a accesos no autorizados, indisponibilidad de datos personales o pérdida de integridad.

También establece que las entidades sólo deben almacenar la información el tiempo necesario para completar los fines iniciales presentados a los interesados.

Depende de usted considerar el nivel de riesgo de los datos que está recopilando y aplicar las salvaguardias adecuadas, teniendo en cuenta al mismo tiempo los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento.

Sin embargo, el capítulo 4, artículo 32 de la rgpd recomienda tomar las siguientes medidas:

  • Seudonimización y cifrado de los datos.
  • Garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas de procesamiento.
  • Proporcionar la capacidad de restaurar la disponibilidad y el acceso a los datos en caso de incidente.
  • Un proceso de prueba, valoración y evaluación de la eficacia de las medidas técnicas y organizativas.

Responsables de Protección de Datos (RPD)

Según el capítulo 4, artículo 37, debe designar a un RPD si:

  • Una autoridad pública lleva a cabo el tratamiento de datos.
  • Las actividades y fines del responsable o encargado del tratamiento requieren un seguimiento sistemático de los interesados a gran escala (por ejemplo, elaboración de perfiles).
  • Usted procesa categorías sensibles de datos a gran escala (como condenas penales, datos sanitarios, opiniones políticas, detalles sobre el sexo, etc.).

Algunas preguntas pueden surgir de las condiciones enumeradas anteriormente.

  • ¿Qué es una autoridad pública? Esto debe determinarse con arreglo a la legislación nacional de cada Estado miembro.
  • ¿Qué son las actividades principales? Esto debe interpretarse como las operaciones clave necesarias para alcanzar sus objetivos, independientemente de si actúa como controlador o procesador.
  • ¿Qué es una gran escala? A la hora de analizar si el tratamiento se realiza a gran escala, deben tenerse en cuenta los siguientes elementos:

    • El número de interesados afectados, ya sea como número específico o como proporción de la población pertinente.
    • El volumen de datos y/o la variedad de datos que se procesan.
    • La duración o permanencia de la actividad de tratamiento de datos.
    • La extensión geográfica de la actividad de tratamiento.

Designar a una persona que supervise todos los procedimientos relacionados con la protección de datos es clave para lograr el cumplimiento de rgpd .

Los RPD no son personalmente responsables en caso de incumplimiento y deben ser independientes en el desempeño de su labor. Los RPD también deben tener una línea de comunicación directa con la dirección superior, por ejemplo, con el director general de la empresa.

Evaluaciones de impacto sobre la protección de datos (EIPD)

Es posible que tenga que evaluar de antemano determinados riesgos si su tratamiento de datos -ya sea mediante el uso de nuevas tecnologías o debido a la naturaleza, alcance y contexto de la actividad de tratamiento- conlleva un alto riesgo para los derechos y libertades de los interesados.

Por lo tanto, debe prestar mucha atención a este aspecto en rgpd.

Su empresa debe realizar una Evaluación de Impacto sobre la Protección de Datos (EIPD), tal como se indica en el capítulo 4, artículo 35 del Reglamento, y solicitar asesoramiento a un Delegado de Protección de Datos (DPD) designado para el tratamiento de datos altamente sensibles.

Si la EIPD determina que el tratamiento de los datos entraña un riesgo demasiado elevado para los derechos y libertades de los interesados, deberá consultar a una autoridad de control, tal como se indica en el capítulo 4, artículo 36.

rgpd Requisitos para las empresas

Las empresas deben seguir varios requisitos para cumplir adecuadamente la rgpd . Los he dividido en pasos para ayudarte a simplificar el proceso.

Paso 1: Realice una auditoría de privacidad y determine su base jurídica

Al empezar, le sugiero que se tome el tiempo necesario para realizar una auditoría de privacidad de su sitio web o empresa, en general, para conocer todos los datos personales que está recopilando de los usuarios.

Además, debe determinar las categorías y tipos de datos que recopila y los motivos legales para hacerlo.

Prepárese para anotar todo esto; debe ir en una política de privacidad que presente a los interesados dondequiera que se produzca el tratamiento de datos en su sitio web. Igualmente importante es que esta información le permitirá cartografiar todos sus datos, lo que puede necesitar más adelante para crear sus registros de actividades de tratamiento con arreglo al artículo 30 de la rgpd.

Paso 2: Obtener el consentimiento adecuado de los interesados

Este paso se aplica si el consentimiento es la base jurídica que utiliza para tratar los datos personales.

Para asegurarse legalmente de que cumple todos los requisitos de consentimiento de rgpd , debe:

  • Presente a sus usuarios un banner de consentimiento conforme que les permita aceptar o rechazar sus actividades de tratamiento de datos.
  • Asegúrese de que la política de privacidad y política de cookies estén vinculadas a su banner de consentimiento, ya que los titulares de datos de la UE/EEE tienen derecho a acceder a esta información (a continuación trataremos las directrices de la política de privacidad de rgpd ).
  • Ofrézcales la posibilidad de cambiar fácilmente de opinión o retirar su consentimiento en cualquier momento, por ejemplo, a través de un centro de preferencias de consentimiento.
  • Lleva un registro de sus opciones de consentimiento para demostrar que has obtenido su consentimiento.

Paso 3: elabore y comparta una política de privacidad que cumpla la normativa

Debe presentar una política de privacidad a los interesados cuando obtenga datos personales de ellos que incluya los siguientes detalles, tal como se indica en el capítulo 3, artículo 13:

  • Identidad de su empresa, información de contacto y representante, si procede
  • La información de contacto de su responsable de protección de datos, si procede
  • La finalidad prevista del tratamiento de los datos y su fundamento jurídico para hacerlo
  • Una explicación de los intereses legítimos que usted o cualquier tercero con el que trabaje puedan tener para el tratamiento de los datos, si se basa en esta base jurídica (es decir, el artículo 6.1(f) de la rgpd)
  • Los destinatarios de los datos personales, o categorías de destinatarios, si existen
  • Si tiene intención de transferir datos personales a un tercer país u organización internacional, y las medidas de seguridad establecidas para proteger los datos.
  • El periodo para el que almacenará los datos o los criterios utilizados para determinar dicho periodo.
  • Los derechos de los interesados, incluido el derecho a presentar una reclamación
  • La existencia de la toma de decisiones automatizada, incluida la elaboración de perfiles, a que se refieren los apartados 1 y 4 del artículo 22 de la rgpd

Paso 4: Utilizar acuerdos de procesamiento de datos para cumplir las obligaciones contractuales rgpd

Si recurre a terceros para que traten los datos en su nombre, se convertirán en encargados del tratamiento y su empresa seguirá siendo la responsable del tratamiento, y ambos deberán firmar un contrato aprobado por rgpd.

También debe asegurarse de que el encargado del tratamiento de datos que vaya a contratar ofrezca garantías suficientes para aplicar medidas técnicas y organizativas adecuadas para salvaguardar los datos personales que se le confíen.

Las empresas suelen utilizar un Acuerdo de Tratamiento de Datos o APD para cumplir estas directrices, recogidas en el capítulo 4, artículo 28. Debe exigir al tercero que procesa los datos que:

  • Tratar los datos personales únicamente conforme a las instrucciones del responsable del tratamiento
  • Comprometerse a respetar la confidencialidad de los datos personales.
  • Adopte todas las medidas de seguridad indicadas en rgpd.
  • No contratar a otro encargado del tratamiento sin la autorización por escrito del responsable del tratamiento.
  • Ayudar al responsable del tratamiento adoptando medidas técnicas y organizativas para atender las solicitudes de los interesados que deseen hacer valer sus derechos a la intimidad.
  • Ayudar al responsable del tratamiento de datos a cumplir todas las directrices de tratamiento de seguridad y los requisitos de consulta previa señalados por la rgpd.
  • Elimine todos los datos personales o devuélvalos todos al responsable del tratamiento una vez finalizada la vigencia del contrato.
  • Facilitar toda la información necesaria para demostrar el cumplimiento de rgpd , e informar inmediatamente al responsable del tratamiento si considera que una instrucción infringe el reglamento u otras leyes de los Estados miembros.

Paso 5: Cumpla todos los requisitos de seguridad y protección de rgpd

Todas las empresas incluidas en rgpd deben almacenar y proteger los datos personales de forma segura, pero las empresas que recopilan datos a gran escala o procesan categorías de datos de alto riesgo también deben emplear a un RPD y completar las DPIA que cubro en esta guía.

No obstante, quiero recordarle que el nombramiento de un RPD y la realización de DPIA se consideran buenas prácticas para su responsabilidad en virtud de la rgpd, incluso si no procesa categorías de datos personales a gran escala o de alto riesgo.

rgpd El cumplimiento de la normativa es diferente para cada empresa porque cada una utiliza prácticas de tratamiento de datos únicas.

¿Cómo afectan las normas de rgpd a usuarios y consumidores?

La web rgpd afecta a los usuarios dándoles más derechos y control sobre el uso que se hace de sus datos y garantiza que las empresas les informarán rápidamente si su información se ve comprometida.

Resumen de los nuevos derechos de los consumidores rgpd

rgpd otorga a los interesados los siguientes derechos en el capítulo 3, artículos 12 a 23:

  • Derecho a ser informado(artículos 13 y 14): rgpd hace hincapié en la transparencia de las prácticas de recopilación de datos, lo que significa que las personas tienen derecho a estar plenamente informadas sobre la recopilación y el uso de sus datos.
  • Derecho de acceso(artículo 15): Las personas pueden solicitar ver cualquier dato personal que se haya recopilado sobre ellas. Usted debe explicarles por qué recopiló la información y con quién la ha compartido. Debe facilitar estos datos lo antes posible y, a más tardar, en el plazo de un mes, de forma gratuita.
  • Derecho de rectificación(artículo 16): Si los datos recogidos sobre una persona son inexactos, ésta puede solicitar una corrección (rectificación). La organización que procesa los datos debe responder lo antes posible y, en el plazo de un mes, debe corregir la información en consecuencia. El interesado también puede solicitar que se complete la información incompleta. También puede tener que informar de esta solicitud a otros terceros con los que haya compartido datos personales.
  • Derecho de supresión(artículo 17): Las personas pueden solicitar que elimines permanentemente su información si los datos ya no son relevantes o porque el usuario retira su consentimiento. Es posible que también tengas que informar de esta solicitud a otros terceros con los que hayas compartido datos personales.
  • Derecho a limitar el tratamiento de datos(artículo 18): Una persona puede solicitar que se limite el tratamiento de sus datos cuando se den determinadas condiciones, como si el tratamiento es ilícito o si la persona se ha opuesto al mismo. Es posible que también tenga que informar de esta solicitud a otros terceros con los que haya compartido datos personales.
  • Derecho a la portabilidad de los datos (artículo 20): Cuando los usuarios solicitan ver sus datos, deben recibirlos en un formato claro. El responsable del tratamiento que proporcione esta información no puede impedir o dificultar que el interesado entregue los datos a otro responsable. En esencia, los datos personales deben transferirse fácilmente a otra organización.
  • Derecho de oposición(artículo 21): las personas pueden oponerse al tratamiento de sus datos en determinadas situaciones, como la mercadotecnia directa.
  • Toma de decisiones individuales automatizadas (artículo 22): Las personas tienen derecho a no ser sometidas a un proceso automático de toma de decisiones que tenga efectos jurídicos significativos.

Esta normativa es también una de las principales razones por las que aparecen banners de consentimiento con enlaces a políticas de cookies y avisos de privacidad detallados.

Dato curioso: tras su entrada en vigor, el uso de banners emergentes de consentimiento aumentó en Europa un 16%.

A la gente le gusta quejarse de la abundancia de estos banners emergentes, pero a mí personalmente no me molestan.

Me gusta poder elegir cómo se utiliza mi información personal, y pulsar repetidamente un botón en Internet no me parece una molestia tan grande.

Resumen de rgpd Notificaciones de violaciones de datos

rgpd exige a las empresas que notifiquen a la autoridad de control competente y, en determinados casos, a los interesados afectados si sus datos personales se ven comprometidos por errores técnicos u otras violaciones de datos.

En mi opinión, este es uno de los impactos más críticos introducidos por la rgpd , ya que responsabiliza a las empresas de sus prácticas de seguridad -o de la falta de ellas- al tiempo que ofrece a los usuarios una mayor tranquilidad.

Según el artículo 33 del texto, las empresas disponen de 72 horas para informar a la autoridad de control competente tras descubrir una infracción.

La notificación a la autoridad de control debe incluir detalles sobre la naturaleza de la violación, las consecuencias probables y las medidas que el responsable del tratamiento tiene previsto adoptar para mitigar los efectos perjudiciales.

Los propios interesados deben ser notificados "sin dilaciones indebidas" si es probable que la violación de los datos suponga un alto riesgo para sus derechos y libertades. Esto se describe con más detalle en el artículo 34 de rgpd.

El efecto mundial de la rgpd

El sitio rgpd proporcionó un modelo de cómo la legislación sobre privacidad de datos considera las fronteras territoriales en un mundo digital, cambiando esencialmente el panorama de la privacidad en todo el mundo.

rgpd tiene un ámbito de aplicación extraterritorial, lo que significa que sus normas se aplican más allá de las fronteras territoriales tradicionales. Por ello, las empresas de otros países deben cumplir los requisitos de rgpd a pesar de encontrarse fuera de la UE o el EEE si prestan servicios a interesados en la UE o el EEE, aunque sea de forma gratuita o estén supervisando su comportamiento, por ejemplo, mediante la elaboración de perfiles.

En sólo cinco años, más de 100 países han puesto en marcha nuevas leyes de protección de datos para regular el flujo de datos personales, con más legislación por venir, muchas de las cuales son directamente paralelas a esta normativa europea.

¿Cómo afecta a las empresas estadounidenses la UE rgpd?

Muchas empresas estadounidenses se ven afectadas por la rgpd porque, a pesar de estar ubicadas en Estados Unidos, caen bajo el umbral legal de la normativa y deben cumplir todas sus directrices.

En los primeros días de rgpd, recuerdo que algunas empresas estadounidenses adoptaron un enfoque tímido a la hora de dirigir la publicidad a los usuarios europeos. Otras, en cambio, optaron por excluir totalmente a sus clientes de la UE y el EEE.

Pero años después, resulta que los que intentaron cumplirla siguieron siendo más fuertes, sobre todo cuando en 2020 entró en vigor la Ley de Privacidad del Consumidor de California (CCPA), una ley estatal con medidas de privacidad inspiradas en la rgpd, a la que siguieron Colorado, Connecticut, Indiana, Iowa, Montana, Tennessee, Texas, Utah o Virginia.

Estados Unidos cuenta ya con varias leyes de privacidad aprobadas en distintos estados, y con más proyectos de ley en el horizonte.

Ahora es el momento ideal para que las empresas se familiaricen con la forma en que la rgpd afecta a Estados Unidos y pongan en marcha una estrategia global de seguridad de datos.

¿Qué significa rgpd para el futuro?

Con rgpd a la cabeza de la regulación del flujo de datos, creo que el futuro de la privacidad dependerá de quienes hoy dan prioridad a la protección de datos.

Los datos tienen un valor inmenso para las empresas, pero tanto los consumidores como las entidades gubernamentales exigen cada vez más a las empresas que protejan la fuente de esos datos y garanticen que la privacidad se toma en serio, o que se atengan a las consecuencias.

Basta con echar un vistazo a algunas de las alarmantes estadísticas sobre privacidad de datos que ponen de relieve que los consumidores esperan prácticas de privacidad más transparentes por parte de las empresas de cara al futuro:

Tras años de falta de transparencia en materia de privacidad de datos, es evidente que los clientes exigen una protección más exhaustiva de su información personal, incluso los de territorios como Estados Unidos, que queda fuera del ámbito de aplicación de rgpd .

rgpd Preguntas Frecuentes

A continuación, respondo a algunas de las preguntas más frecuentes que Termly recibe sobre el Reglamento.

¿Cuáles son los siete principios de rgpd?

Los siete principios de rgpd son:

  1. Legalidad, equidad y transparencia
  2. Limitaciones de la finalidad
  3. Minimización de datos
  4. Precisión
  5. Limitaciones de almacenamiento
  6. Integridad y confidencialidad (seguridad)
  7. Rendición de cuentas

¿Cuál es el equivalente estadounidense de rgpd?

Estados Unidos no cuenta con una ley federal equivalente a la rgpd. Pero los líderes políticos debaten actualmente sobre la Ley de Protección y Privacidad de Datos de Estados Unidos (ADPPA, por sus siglas en inglés), que sería la primera.

Algunas leyes estatales comparten similitudes con la rgpd, entre ellas la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Protección de Datos del Consumidor de Virginia (CDPA).

¿Cuál es el principal objetivo de rgpd?

El principal objetivo de rgpd es proteger la privacidad de los datos de las personas dentro de la UE/EEE de manera uniforme para que cada Estado miembro no tenga que crear sus propias medidas de protección de datos, produciendo regularidad en las leyes de toda la Unión.

¿Cuáles son los puntos clave de rgpd?

Entre los puntos clave de rgpd figuran la concesión de derechos a los interesados en la UE y el EEE para acceder, modificar, corregir, rectificar, oponerse o suprimir su información personal, y la obligación de las empresas de procesar los datos personales únicamente cuando sea necesario para fines legales específicos, con la privacidad desde el diseño y por defecto (PdD) incorporada en cada parte del proceso.

¿Qué se entiende por datos personales en rgpd?

El sitio rgpd define los datos personales en su capítulo 1, artículo 4, como información relativa a la identidad de una persona física, ya sea directa o indirectamente, e incluye detalles como:

  • Nombre
  • Correo electrónico
  • Números de identificación
  • Datos de localización
  • Identificadores en línea
  • Datos genéticos
  • Datos mentales
  • Datos económicos
  • Identidad cultural o social

¿Qué se considera tratamiento de datos personales en rgpd?

De acuerdo con la definición legal que figura en el capítulo 1, artículo 4, de la rgpd, todas las acciones siguientes cuentan como tratamiento de datos personales:

  • Recopilación
  • Grabación
  • Organización
  • Estructuración
  • Almacenamiento
  • Adaptación
  • Alterar
  • Recuperar
  • Consultoría
  • Utilizando
  • Divulgación por transmisión
  • Difusión de
  • Si no, poner a disposición
  • Alinear o combinar
  • Restringir
  • Borrar o destruir

Resumen

rgpd es una ley de privacidad estricta, pero las empresas pueden cumplirla fácilmente.

Necesitará una política de privacidad actualizada y política de cookies, una plataforma gestión del consentimiento correctamente configurada y un formulario DSAR para ayudar a los usuarios a enviar solicitudes de privacidad.

Termly puede ayudarle. Empiece a utilizar gratuitamente nuestra plataforma Generador de política de privacidad y gestión del consentimiento , que cumple la normativa rgpd.

Teodor Stanciu, CIPP/E, CIPM
Más sobre el autor

Escrito por Teodor Stanciu, CIPP/E, CIPM

Teo es un especialista en privacidad de datos y experimentado responsable de protección de datos (RPD) al que le apasiona ayudar a las empresas a cumplir sus obligaciones en materia de protección de datos. Cuenta con una experiencia de más de siete años como RPD para una organización internacional activa en 50 países y con sede en Bruselas (Bélgica). Teo es Certified Information Privacy Professional/Europe (CIPP/E) y Certified Information Privacy Manager (CIPM) por la International Association of Privacy Professionals (IAPP).

Más sobre el autor
Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Revisado por Masha Komnenic CIPP/E, CIPM, CIPT, FIP Directora de Privacidad Global

termly-dashboard-add-privacy-policy-screenshot-with-green-checkmark

Cumplir con la rgpd GRATIS

Termly generará una política de privacidad y una solución de consentimiento listas para rgpd en cuestión de MINUTOS.
Gratis rgpd Cumplimiento

Artículos Relacionados

  1. Termly
    Termly vs Osano: Comparación de características y servicios
    Comparaciones

    20 de junio de 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  2. rgpd-Cookie-Notice-Banner-Ejemplos-01
    rgpd Ejemplos de banners de aviso de cookies
    Artículos

    20 de junio de 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  3. rgpd-Cookies-Consentimiento-Requisitos-Políticos-01
    rgpd Cookies: Requisitos de consentimiento y política
    Artículos

    20 de junio de 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  4. Qué son las cookies: una guía útil sobre las cookies de Internet y los ordenadores-01
    ¿Qué son las cookies? Guía útil sobre las cookies de Internet y del ordenador
    Artículos

    20 de junio de 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  5. Directiva sobre privacidad-Ley de cookies de la UE-01
    Explicación de la Directiva sobre la privacidad y las comunicaciones electrónicas (Ley de cookies de la UE)
    Artículos

    13 de junio de 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  6. Cookie-Law-Guide-for-Businesses-EU-US-and-the-UK-01 (en inglés)
    Guía de la ley de cookies para empresas: UE, EE.UU. y Reino Unido
    Artículos

    13 de junio de 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  7. ¿Cuál es la diferencia entre una política de privacidad (descargo de responsabilidad) y unos términos y condiciones?
    ¿Cuál es la diferencia entre una política de privacidad, descargo de responsabilidad, y los términos y condiciones?
    Artículos

    12 de junio de 2025
    Etienne Cussol CIPP/E, CIPM
  8. Cómo-Crear-un-Contrato-de-Cookie-Notice-01
    Cómo crear un aviso de Consentimiento de Cookies
    Guías

    12 de junio de 2025
    Masha Komnenic CIPP/E, CIPM, CIPT, FIP
  9. Qué es la Ley de Protección de Datos de los Consumidores de Montana-01
    Ley de Protección de Datos de los Consumidores de Montana: Primer vistazo y resumen
    Artículos

    11 de junio de 2025
    Stefani Schmidt, M.S., CIPM, CIPP-US

Explore más recursos