Su empresa debe cumplir el Reglamento General de Protección de Datos (rgpd) si posee un sitio web o una aplicación que recopila información personal de los visitantes, y si sus servicios están disponibles para personas de la Unión Europea (UE) o del Espacio Económico Europeo (EEE).
Violar la rgpd, aunque sea por error, puede acarrear multas masivas de hasta el 4% de sus ingresos brutos anuales y otras formas de sanción.
Para ayudarle a configurar su sitio web o aplicación para que cumpla plenamente la normativa rgpd y evitar costosas multas, he creado una lista de comprobación fácil de seguir rgpd que le guiará a través de toda la normativa.
rgpd Lista de control
He aquí una sencilla lista de comprobación de rgpd para ayudarle a que su sitio web o aplicación cumpla todos los requisitos de privacidad de datos que establece este reglamento.
|
Parte 1 - Empiece por aquí: rgpd Lista de control para empresas
Solución: Audite su empresa para conocer los requisitos de rgpd |
Fuente |
|
Las incoherencias o inexactitudes, incluso por error, pueden dar lugar a multas por incumplimiento. |
|
La ley le exige que tenga una base jurídica para tratar cada tipo de datos personales. |
|
Los términos del Reglamento se definen en el Capítulo 1, Artículo 4
Los responsables del tratamiento y los encargados del tratamiento deben seguir directrices ligeramente diferentes, que destacamos para usted más adelante en esta lista de comprobación. |
| CONSEJO: Por tratamiento de datos se entiende la recogida, registro, organización, estructuración, almacenamiento, adaptación, alteración, recuperación, consulta, utilización, revelación, difusión o cualquier otra forma de puesta a disposición de la información. | |
|
Si el consentimiento es su base jurídica, debe seguir estos pasos
Solución: Utilice una plataformagestión del consentimiento que le permita... |
Fuente |
|
Capítulo 2, artículo 7 |
|
Capítulo 2, Artículo 7, Sección 2 |
|
Capítulo 2, Artículo 7, Sección 3 |
|
Capítulo 2, Artículo 7, Sección 1 |
|
Parte 2 - Lo que DEBE explicar a los interesados
Solución: Crear una política de privacidad conforme a rgpd e incluir... |
Fuente |
|
Capítulo 3, artículo 13 y artículo 15 |
|
Capítulo 3, artículo 15 |
|
Capítulo 3, artículo 15, parte (a) |
|
Capítulo 3, artículo 15, parte (c) |
|
Capítulo 3, artículo 15, parte (d) |
|
Capítulo 3, artículo 15, parte (e) |
|
Capítulo 3, artículo 15, parte (f) |
|
Capítulo 3, artículo 15, parte (g) |
|
Capítulo 3, artículo 15, parte (h) |
|
Parte 3 - Responsabilidad y contratos con terceros
Solución: Utilizar un Acuerdo de Procesamiento de Datos (APD) que exija al procesador de datos... |
Fuente |
|
Capítulo 4, artículo 28, sección 3, parte (a) |
|
Capítulo 4, artículo 28, sección 3, parte (b) |
|
Capítulo 4, artículo 28, sección 3, parte (c) |
|
Capítulo 4, artículo 28, sección 3, parte (d) |
|
Capítulo 4, artículo 28, sección 3, parte (e) |
|
Capítulo 4, artículo 28, sección 3, parte (f) |
|
Capítulo 4, artículo 28, sección 3, parte (g) |
|
Capítulo 4, artículo 28, sección 3, parte (h) |
| Si USTED es un procesador de datos, asegúrese de que el controlador de datos crea un DPA conforme para que usted lo firme. | |
|
Parte 4 - Seguridad de los datos y requisitos de almacenamiento
Solución: Implantar medidas de seguridad técnicas y organizativas. |
Fuente |
|
Capítulo 4, artículo 32 |
|
Capítulo 4, artículo 35 y artículo 36 |
|
Parte 5 - Transferencias internacionales de datos
Solución: Implantar las salvaguardias adecuadas para la transferencia de datos |
Fuente |
|
Capítulo 5, artículo 46 |
El resto de esta guía profundiza en los distintos requisitos de rgpd y en cómo las soluciones de Termlypueden ayudarle a cumplirlos de forma fácil y asequible.
Conozca Más rgpd
A continuación, algunas respuestas a las preguntas frecuentes que más escucho sobre rgpd y su impacto global.
¿Qué es rgpd en pocas palabras?
La rgpd es una normativa de la Unión Europea o UE que también abarca el Espacio Económico Europeo (EEE). Esboza directrices de protección de datos, derechos de los consumidores y requisitos empresariales para recopilar y utilizar información personal.
Esta legislación da a los usuarios más control sobre cómo y cuándo recogen sus datos los sitios web o las aplicaciones que operan en línea.
Entró en vigor el 25 de mayo de 2018 y se articula en torno a los siguientes siete principios de privacidad:
- Legalidad, equidad y transparencia
- Limitaciones de la finalidad
- Minimización de datos
- Precisión
- Limitaciones de almacenamiento
- Integridad y confidencialidad
- Rendición de cuentas
¿Cuál es el ámbito de aplicación de rgpd?
La rgpd tiene un alcance mundial porque se aplica a cualquier entidad que recoja información personal y tenga visitantes de la UE o el EEE.
Otras leyes de privacidad de datos, como la Ley de Privacidad del Consumidor de California(CCPA) modificada y la Ley de Protección de Datos de los Consumidores de Virginia(CDPA) tienen umbrales monetarios o se aplican a empresas que recopilan cantidades específicas de datos. Pero este no es el caso de la rgpd.
Su empresa puede estar situada en cualquier lugar del mundo, pero si tiene visitantes de la UE o el EEE y recopila sus datos, debe proporcionarles una forma de hacer valer sus derechos de privacidad o arriesgarse a recibir multas por incumplimiento.
La UE tiene 27 Estados miembros:
- Austria
- Bélgica
- Bulgaria
- Croacia
- República de Chipre
- República Checa
- Dinamarca
- Estonia
- Finlandia
- Francia
- Alemania
- Grecia
- Hungría
- Irlanda
- Italia
- Letonia
- Lituania
- Luxemburgo
- Malta
- Países Bajos
- Polonia
- Portugal
- Rumanía
- Eslovaquia
- Eslovenia
- España
- Suecia
Otros países del EEE a los que también protege rgpd son:
- Islandia
- Liechtenstein
- Noruega
¿Qué se consideran datos personales en rgpd?
Dado que debe informar a los consumidores sobre qué información personal (IP) está recopilando, es importante que sepa exactamente cómo define rgpd la información personal.
La rgpd describe los datos personales en el capítulo 1, artículo 4, como:
...toda información sobre una persona física identificada o identificable ("interesado"); una persona física identificable es aquella cuya identidad puede determinarse, directa o indirectamente, en particular mediante un identificador, como un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos específicos, característicos de su identidad física, fisiológica, genética, psíquica, económica, cultural o social...
Cualquier información que pueda identificar a un individuo, ya sea por sí sola o combinada con otros datos recogidos, se considera IP según este reglamento, incluyendo:
- Nombres
- Direcciones
- Número de teléfono
- Direcciones de correo electrónico
- Direcciones IP
- Ubicación
- Datos biométricos
- Creencias políticas, religiosas o filosóficas
- Orientación sexual
- Afiliación sindical
- Raza u origen étnico
- Datos médicos
El Reglamento utiliza deliberadamente una definición amplia para poder adaptarse y tener en cuenta cualquier avance o cambio tecnológico.
Encargados del tratamiento y responsables del tratamiento Según la rgpd
En rgpd se describen distintas obligaciones en función de si su empresa puede considerarse responsable o encargado del tratamiento de datos. Es posible actuar como ambos.
Un responsable del tratamiento, definido en el capítulo 1, artículo 4, es cualquier entidad que, sola o con otras, determina los fines y el modo en que se procesa la información personal. Por tanto, si su empresa recopila datos y los utiliza para marketing e investigación, usted es el responsable del tratamiento.
Cualquiera de las siguientes entidades puede ser responsable del tratamiento de datos:
- Persona física o jurídica
- Autoridad pública
- Agencia
- Cualquier otro organismo
Por su parte, el encargado del tratamiento es la entidad que realmente procesa la información y también se define en el artículo 4. Puede incluir cualquiera de las entidades enumeradas anteriormente. Puede incluir cualquiera de las entidades enumeradas anteriormente.
Según el Reglamento, por tratamiento se entiende la recogida, registro, organización, estructuración, almacenamiento, adaptación, modificación, recuperación, consulta, utilización, revelación, difusión o puesta a disposición de los datos personales de los usuarios.
Si realiza alguna de esas acciones en nombre de una entidad, se le considera su encargado de tratamiento.
Las transferencias internacionales de datos y la rgpd
rgpd proporciona directrices y restricciones para la transferencia de datos fuera de la UE a terceros países.
Algunos países se consideran "adecuados", y el traslado a esos lugares es legal sin autorización previa, entre ellos:
- Andorra
- Argentina
- Canadá
- Islas Feroe
- Guernsey
- Israel
- Isla de Man
- Japón
- Jersey
- Nueva Zelanda
- Corea del Sur
- Suiza
- Reino Unido
- Uruguay
Cuando transfiera a un país no considerado "adecuado", debe asegurarse de que el encargado del tratamiento cumple todos los requisitos de rgpd , tal y como figuran en el capítulo 5, artículos 44 a 50, del Reglamento, o se arriesga a recibir multas por incumplimiento.
Esto puede obligarle a incluir cláusulas adicionales en sus contratos con terceros.
Consejos para cumplir la rgpd
Para cumplir con la rgpd, le recomendamos los siguientes consejos para su sitio web o app:
Sanciones por incumplimiento
El incumplimiento de las normas de rgpd tiene importantes consecuencias, que pueden afectar a su empresa incluso si la infracción es un accidente.
Las sanciones previstas en el artículo 83 incluyen multas de hasta 10 millones de euros (unos 12 millones de dólares) o hasta el 2% de su volumen de negocios global anual del año anterior, la cifra que sea más alta si:
- Incumplimiento de las obligaciones contractuales entre responsables y encargados del tratamiento de datos
- Infringir las obligaciones de certificación para garantizar la seguridad de los datos personales recogidos y compartidos entre responsables y encargados del tratamiento.
- Incumplir las directrices del organismo de control independiente e imparcial para expedir y renovar la certificación.
Vea a continuación una captura de pantalla en la que se destaca esta parte del Reglamento.
Pero si comete alguna de las siguientes infracciones, se arriesga a multas de hasta 12 millones de euros (unos 22 millones de dólares) o hasta el 4% de su facturación global anual del año anterior, la cifra que sea más alta:
- Incumplir los principios básicos para el tratamiento de datos, incluidas las condiciones para el consentimiento.
- Vulnerar los derechos de los interesados
- Incumplir los requisitos internacionales de transferencia de datos
- No cumplen las obligaciones establecidas por la legislación específica de los Estados miembros.
- No cumpla una orden o limitación temporal del tratamiento de datos dictada por una autoridad de control competente
A continuación, puede ver otra captura de pantalla del artículo 83 en la que se describen estas multas más elevadas.
También se le puede ordenar que deje de tratar datos personales, o recibir otras instrucciones de la autoridad supervisora competente.
Además de estas sanciones, también se arriesga a enfrentarse al escrutinio público y a perder la confianza de sus consumidores. Hoy en día, los usuarios de Internet saben que las empresas que reciben multas en rgpd no protegían ni recopilaban adecuadamente su información personal.
Cómo Termly ayuda a su empresa a cumplir con la rgpd
Puede utilizar una combinación de productos de Termly para ayudar a su empresa a cumplir de forma fácil y asequible la normativa rgpd.
Generadores y plantillas de políticas
Una vez cumplimentado, nuestro Generador de Política de Privacidad o plantilla de política de privacidad puede ayudarle a cumplir todas las obligaciones empresariales relativas a los derechos de los consumidores en materia de protección de la intimidad recogidos en el capítulo 3, artículos 12 a 23, de la rgpd.
Generador de Política de Privacidad
Según este reglamento, es responsabilidad del responsable del tratamiento de datos tomar las medidas adecuadas para informar a los usuarios sobre sus prácticas de recopilación de datos. Nuestras herramientas le permiten crear una política de privacidad que cumpla estos requisitos. A continuación destacamos las secciones pertinentes del reglamento.
Con nuestro Generador de Política de Privacidad sólo tiene que responder a unas sencillas preguntas sobre su empresa y el sistema creará automáticamente el documento por usted.
Todo el proceso es rápido y hay una función de guardado por si quieres pausarlo y volver a terminarlo más tarde. Nuestro equipo de atención al cliente está a tu disposición por si tienes alguna duda.
Vea un ejemplo de la parte rgpd de nuestro Generador de Política de Privacidad en la captura de pantalla siguiente.
Plantilla de Política de Privacidad
Utilizar nuestra plantilla gratuita sigue siendo fácil, pero requiere más esfuerzo, ya que debe rellenar manualmente las secciones en blanco con datos sobre su empresa y asegurarse de que la información es exacta y completa. Esto requiere un poco más de conocimientos jurídicos.
Vea a continuación cómo es nuestro plantilla de política de privacidad compatible con rgpd.
Sea cual sea su elección, ambas herramientas le ayudarán a cumplir la normativa. Nuestro equipo jurídico y nuestros expertos en privacidad de datos trabajan en todos nuestros generadores y plantillas de políticas para garantizar que cumplen leyes de privacidad como rgpd, la CCPA modificada, etc.
Plataforma de Gestión del Consentimiento
Puede configurar fácilmente nuestra plataformagestión del consentimiento (CMP ) para cumplir todos los requisitos legales de consentimiento y las directrices recogidas en los artículos 6 y 7 de la rgpd.
Según el texto, obtener el consentimiento activo y explícito del usuario es una de las bases jurídicas para recopilar y utilizar información personal, como se destaca a continuación.
Puede utilizar nuestro banner de consentimiento conforme a rgpd para proporcionar a sus usuarios una política de privacidad y política de cookies -manteniéndolos adecuadamente informados- y para solicitar el consentimiento legal opt-in.
A continuación, puede ver una captura de pantalla de los ajustes relacionados con rgpd en nuestras herramientas CMP.
Dado que las cookies y otros rastreadores se consideran información personal con arreglo a esta normativa, nuestro escáner de cookies comprueba su sitio web, clasifica las cookies y genera un política de cookies conforme y preciso que se actualiza cada vez que se produce otra exploración.
Sus usuarios pueden actualizar sus preferencias de consentimiento fácilmente y en cualquier momento dentro de un centro de preferencias, y almacenaremos registros de sus elecciones de consentimiento de conformidad con el artículo 7 del Reglamento.
Formularios de solicitud de acceso del interesado (DSAR o SAR)
Proporcionamos formularios de solicitud de acceso del interesado, o formularios DSAR o SAR, para ayudarle a cumplir las obligaciones de rgpd en relación con los derechos de los usuarios a acceder a la información personal recopilada sobre ellos, tal como se indica en el artículo 15.
Para acceder al formulario DSAR, utilice nuestra plataforma gestión del consentimiento . O regístrese como miembro de Pro+ y acceda a él junto con el resto de nuestro completo conjunto de soluciones.
Resumen
Para que su sitio web o aplicación cumpla plenamente la normativa rgpd , necesitará un:
- Generador de Política de Privacidad
- política de cookies
- CLUF (para software)
- Banner de consentimiento
- gestión del consentimiento plataforma
- Formularios DSAR
- DPA
Puede crear estos documentos por su cuenta o simplificar el proceso consultando el conjunto de soluciones para sitios web de Termlyque cumplen la normativa rgpd.
Más sobre el autor
Escrito por James Ó Nuanáin, CIPP/E, CIPM, CIPT
James es un profesional de la privacidad de la información con más de siete años de experiencia ayudando a grandes organizaciones a cumplir sus obligaciones en virtud del RGPD y otras normativas locales sobre privacidad. Le apasiona la privacidad de los datos y la intersección entre el derecho y la tecnología. Más sobre el autor
