Guía esencial para el cumplimiento de GDPR para empresas (2023)

Esta guía profundizará en las particularidades de esta ley de protección de datos, explicando qué es el RGPD, sus principios fundacionales, su fecha de entrada en vigor, sus conceptos principales y las funciones involucradas. También proporcionaremos lo más valioso: una guía paso a paso sobre cómo las empresas pueden garantizar el cumplimiento del RGPD con esta ley.

Conceptos básicos del RGPD

Primero, desmitifiquemos este acrónimo y exploremos algunos detalles del concepto.

¿Qué es el RGPD?

El

Reglamento General de Protección de Datos (RGPD)

es una regulación de privacidad y seguridad en la ley de la Unión Europea que establece las pautas para recopilar, procesar, almacenar y transferir datos personales de personas que viven en el Espacio Económico Europeo.

Esta ley de protección de datos es considerada una de las más estrictas a nivel mundial. Aunque esta ley se aplica dentro de la Unión Europea, también obliga a las empresas de todo el mundo a cumplir. La aplicación de GDPR se activa cuando una empresa comienza a interactuar con los datos personales de los usuarios de la UE de una manera que infringe cualquiera de sus numerosas cláusulas.

Violaciones del RGPD y multas como resultado del incumplimiento

La complejidad y la naturaleza extensa de este documento de cien páginas, junto con las sanciones severas, hacen que el cumplimiento del Reglamento General de Protección de Datos sea un desafío importante. Incluso con la ayuda de herramientas de software especializadas, esta regulación ha demostrado ser una fuente de ingresos considerable para la UE, aportando al menos $ 4 mil millones de 1,653 incidentes de sanción.

BajoArte. 83, vulnerar los principios fundamentales de protección de datos personales estipulados en el RGPD puede dar lugar a sanciones severas de hasta$ 20 millones, o hasta4%de los ingresos anuales globales de la compañía. Esta última opción puede ser sustancialmente más alta en algunos casos, como lo demuestran las multas a Meta y Amazon.

Las infracciones relacionadas con las actividades de control, procesamiento, certificación y seguimiento pueden dar lugar a multas de hasta$ 10 milloneso hasta2%de los ingresos anuales de la empresa.

¿Cuándo se aplica el RGPD y cuándo no?

Ambosarte. 2yarte. 3definir el ámbito material y territorial del dispositivo RGPD.

GDPR cubre todas las empresas o cualquier otra entidad que proceseinformación personal(hablaremos de este concepto un poco más abajo) de ciudadanos o residentes en la Unión Europea o Espacio Económico Europeo, ofreciéndoles productos o servicios. No importa dónde se encuentre su negocio, a qué jurisdicción pertenezca o si estos productos o servicios son de pago.

Hay varios casos en los que el RGPD no es aplicable:

  • a cualquier actividad de procesamiento de datos realizada por individuos para fines personales o domésticos;

  • para procesar datos con fines de aplicación de la ley y cubiertos porDirectiva de aplicación de la ley(CONDUJO);

  • a las actividades de procesamiento de datos relacionadas con fines de seguridad nacional;

  • a organizaciones fuera de la UE que procesan datos personales de residentes fuera de la UE.

Datos personales como concepto clave del RGPD

Una parte integral de la ley GDPR que ya mencionamos anteriormente son los datos personales. Definamos este concepto y revisemos los principales tipos de datos personales bajo el Reglamento General de Protección de Datos. Puede encontrar esta y otras definiciones esenciales enArte. 4.

Definición de datos personales según GDPR

Los datos personales bajo GDPR son cualquier información relacionada con una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador.

En otras palabras, los datos personales son cualquier información que se puede atribuir a una persona identificable, incluida la dirección, el nombre, el correo electrónico, el número de teléfono, el número de identificación fiscal personal, las fotos, etc. Como puede ver, esto puede incluir una amplia gama de diferentes tipos de información. Repasémoslos en el siguiente bloque.

Categorías de datos personales

En general, todos los datos personales cubiertos por GDPR se pueden dividir en dos categorías: datos regulares y especiales (o sensible) datos.

Datos Personales Regulares

Cuando un dato personal puede ser atribuido, directa o indirectamente, a una persona física que puede ser identificada o ya identificada, este dato personal se considera regular. Esta categoría de datos personales consiste en:

(Video) Guía práctica RGPD (GDPR) - Parte 7

Datos personales especiales o confidenciales

Hay varios tipos de datos personales más sensibles que requieren una mejor protección. La regla general es procesar los datos solo cuando se dan condiciones especiales, como el consentimiento especial del sujeto o la solicitud de una autoridad legal. A continuación se presentan las principales categorías de datos confidenciales:

  • información sobre el origen racial o étnico;

  • creencias o afiliaciones políticas personales;

  • creencias religiosas y filosóficas;

  • afiliaciones a sindicatos;

  • datos genéticos y biométricos;

  • cualquier registro de salud;

  • datos sobre actividad y orientación sexual.

Información penal sobre condenas e infraccionestambién se consideran datos personales según el Reglamento General de Protección de Datos. Esta información puede ser procesada por los controladores de datos públicos solo en caso de su estricta necesidad para tareas públicas o regulatorias. Las únicas razones para la divulgación de estos datos son el consentimiento explícito del titular de los datos y la salvaguardia de los intereses públicos o privados que priman sobre el secreto y la privacidad.

Comprender los roles clave de GDPR

Ya mencionamos una entidad llamada "Sujeto de datos" y la dejamos sin explicación. Ahora es el momento de revisar este y otros roles clave dentro de GDPR para comprenderlos y cumplir con GDPR.

Sujetos de datos

Como ya habrás adivinado, elsujeto de datoses simpleuna persona física identificable o ya identificada y cuyos datos personales se recopilan y procesan.Una persona física aquí significa un individuo vivo, no una persona jurídica (que es una empresa o cualquier otra organización).

Derechos de los sujetos de datos

Al ser un papel integral en GDPR, el sujeto de datos tiene algunos derechos específicos. Estos derechos deben ser respetados por las organizaciones que recopilan, almacenan o procesan sus datos personales.

  1. Derecho de acceso.Una vez que cualquier dato personal está siendo procesado, su sujeto tiene laderecho a tomar concienciadel hecho del tratamiento, su lugar y finalidad, así como a recibir gratuitamente una copia de todos los datos tratados.

  2. Derecho de rectificación.Este derecho significa que los interesados ​​soncapaz de pedir correcciones o finalizaciónde sus datos personales en caso de que sean incorrectos o incompletos.

  3. Derecho al olvido.Los interesados ​​tienen derecho a solicitar la eliminación de sus datos personalesen ciertas circunstancias.

  4. Derecho a la limitación del tratamiento.Asimismo, los interesados ​​también tienen derecho a limitar el tratamiento de sus datos personalesen algunos casos.

    (Video) Claves y retos del cumplimiento del GDPR para las empresas

  5. Derecho a la portabilidad de los datos.Los interesados ​​son siemprepermitido solicitarsus datos personales en un formato legible por máquina, así como transferir los datos a otro proveedor.

  6. Derecho de oposición.El procesamiento de datos personales únicamente con fines de marketing requiere inicialmente un consentimiento especial del interesado. Y viceversa, los interesados ​​tienen laderecho a oponerseal tratamiento de sus datos personales con fines de marketing, en cualquier momento.

  7. Derecho relacionado con la toma de decisiones automatizada, incluida la elaboración de perfiles.Los interesados ​​pueden evitar que otros tomen decisiones relacionadas con ellos, en base al procesamiento automatizado de datos personales, incluida la elaboración de perfiles. Sin embargo,este derechosólo es cierto cuando dichas decisiones les afectan significativamente o producen efectos jurídicos.

Controlador de datos

El siguiente papel esencial es elcontrolador de datos- apersona física o jurídica,incluidas las autoridades y organismos públicos,determinar los fines y medios del procesamiento de datos personales.

La principal responsabilidad de este rol es tomar medidas efectivas para garantizar que el procesamiento cumpla con GDPR y demostrarlo a los interesados. Las medidas seleccionadas deben basarse en diferentes parámetros de procesamiento, incluidos su alcance, naturaleza, objetivos, antecedentes y riesgos.

Los controladores pueden unir sus esfuerzos, lo que se denomina controladores conjuntos. Dichos controladores deberán distribuir sus responsabilidades de manera transparente, estableciendo un régimen especial para tal efecto.

Procesador de datos

Los controladores de datos a menudo confían en el arsenal de los sujetos de datos de terceros en términos de procesamiento de datos personales. Dentro del Reglamento General de Protección de Datos, estos sujetos se denominanprocesadores de datos.

El principal criterio de selección es que los procesadores de datos deben poder configurar todo para cumplir con los requisitos reglamentarios en su totalidad. Y el deber del responsable del tratamiento es velar por ello. Otro requisito importante es que el procesador no puede contratar a ningún otro procesador sin el permiso por escrito emitido por el controlador de datos. Si el permiso es general, el procesador también debe notificar al controlador sobre cualquier cambio previsto en términos de agregar o reemplazar cualquier procesador de datos.

Delegado de Protección de Datos (DPO)

Muy a menudo, el procesamiento de datos personales requiere un papel adicional del oficial de protección de datos (RPD). Esta es una persona que debe ser designada por el controlador o procesador de datos para ayudar a garantizar el cumplimiento de GDPR. Hay tres situaciones en las que se requiere DPO:

  1. Cuando las autoridades públicas (excepto los tribunales) desempeñar el papel de controlador, procesador o ambos.

  2. Cuando el tratamiento esté vinculado a un seguimiento a gran escala de interesados ​​dentro de categorías especiales o información delictiva.

  3. Cuando las actividades principales requieren un seguimiento regular de los interesados ​​a gran escala.

Hay algunos matices significativos en el uso de DPO regulado por GDPR. En primer lugar, varios controladores de datos y procesadores de datos pueden designar un único DPO en caso de que el especialista pueda acceder a sus datos de forma remota. En segundo lugar, el oficial debe ser designado en base a sus habilidades profesionales. En tercer lugar, pueden ser empleados del estado o proveedores de servicios externos.

Puede encontrar más detalles importantes relacionados con los delegados de protección de datos en elArte. 37.

Otros conceptos importantes del RGPD explicados

Como dijimos antes, el Reglamento General de Protección de Datos es complejo y completo, por lo que tiene varios términos legales que debemos descifrar aquí. Ya definidos los roles principales, sigamos con el resto de conceptos no menos importantes.

Procesamiento de datos

Bajo GDPR, procesar datos significa una operación específica o un conjunto de operaciones, realizadas en datos personales. GDPR define la lista de tales operaciones, incluyendo

  • recopilación de datos;

  • registro de datos;

  • organización de datos;

  • estructuración de datos;

  • almacenamiento de datos;

  • adaptación o alteración de datos;

  • recuperación de datos;

    (Video) 3 claves para estar al día en GDPR con Guillermo Barral

  • consulta de datos;

  • uso de datos;

  • divulgación de datos por transmisión, difusión o puesta a disposición de otro modo;

  • alineación o combinación de datos;

  • restricción, borrado o destrucción de datos.

Protección de Datos

En pocas palabras, la protección de datos significa un conjunto de medidas para mantener los datos a salvo de cualquier acceso no autorizado. La idea es seguir los siete principios principales de protección de datos y responsabilidad descritos en el siguiente bloque.

Siete principios de protección de datos del RGPD

Los principios de protección de datos mencionados anteriormente y descritos enArte. 5forman parte integrante de la filosofía en la que se basa el reglamento. Estos principios deben ser seguidos estrictamente por quienes procesan datos personales.

  1. Legalidad, Equidad y Transparencia.Los datos personales deben ser tratados de manera lícita, leal y transparente, en relación con el interesado.

  2. Limitación de propósito.Los datos personales deben recopilarse únicamente para fines previamente especificados, explícitos y legítimos.

  3. Minimización de datos.Además de ser relevantes y adecuados, los datos a los que te refieres deben ser en una cantidad no mayor a la necesaria.

  4. Exactitud.Debe asegurarse de que los datos personales sean exactos y estén actualizados, rectificando inmediatamente todos los datos desactualizados o eliminándolos si no puede subsanarlos.

  5. Limitación de almacenamiento.No almacene los datos personales recopilados por más tiempo del que necesita bajo su propósito general.

  6. Integridad y Confidencialidad.Debe asegurarse de que los datos recopilados no puedan ser identificados, robados, perdidos, destruidos, dañados o procesados ​​ilegalmente por terceros.

  7. Responsabilidad.La persona que controla los datos debe poder demostrar su adhesión a todos los principios anteriores.

Información biométrica

La identificación de una persona física también es posible mediante el análisis de algunas características de comportamiento, físicas o fisiológicas de esta persona. Por ejemplo, podrían ser huellas dactilares, imágenes de rostros o escaneos de iris. Según el Reglamento General de Protección de Datos, estas características se denominan datos biométricos.

Como los demás tipos de datos personales sensibles, la biometría requiere medidas de protección adicionales. Generalmente, esto significa una prohibición de procesar los datos biométricos para un solo propósito de identificación del titular de los datos. Hay, sin embargo, una serie de excepciones, de tener el consentimiento explícito del sujeto de datos a un interés público sustancial. Puede encontrar una lista completa en elArte. 9.

Transferencias Internacionales de Datos

GDPR considera transferencias internacionales de datos todas las transferencias de datos personales hacia o desde un país fuera del Espacio Económico Europeo (EEE).

El requisito general para todas las transferencias internacionales es que solo se pueden realizar en pleno cumplimiento del RGPD. Esto significa que el nivel de protección debe mantenerse en el nivel requerido y deben cumplirse algunas condiciones:

  • los representantes de la UE deben decidir que el tercer país, territorio u organización internacional garantiza un nivel adecuado de protección de datos;

  • si no hay una decisión, un controlador o procesador puede procesar datos mediante transferencias internacionales después de proporcionar algunas medidas de protección y garantizar que existan recursos legales efectivos y derechos exigibles del sujeto;

  • en ausencia de una decisión sobre la idoneidad y las medidas de protección, los casos de uso de transferencia internacional se limitan al consentimiento explícito del interesado, la ejecución de un contrato, razones de interés público, el establecimiento de reclamaciones legales, la protección de intereses vitales o la disponibilidad de un registro público.

Protección por diseño

GDPR alienta a las organizaciones que operan con datos personales a pensar en las medidas adecuadas para la protección de datos personales desde la etapa más temprana del ciclo de vida de desarrollo del producto o servicio.

En otras palabras, estas medidas de privacidad deben incorporarse en sus especificaciones de diseño, procesos comerciales y entorno de trabajo. Estas medidas de privacidad deben proteger de manera efectiva los datos personales de los usuarios limitando su recopilación, accesibilidad y tiempo de retención, además de garantizar la precisión de los datos.

(Video) Curso práctico sobre el nuevo Reglamento General de Protección de Datos.

Evaluación de impacto de la protección de datos

Dado que las multas por infringir el cumplimiento del RGPD son enormes, es crucial analizar, detectar y mitigar los riesgos de protección de datos. El proceso sistemático de gestión de riesgos de incumplimiento de GDPR se denomina evaluación de impacto de protección de datos (DPIA).

Arte. 35

describe tres casos en los que se requiere DPIA:

  • en caso de un proceso automatizado y constante de evaluación de aspectos personales de personas físicas, cuyo resultado afecte a la persona física ya sea legalmente o de manera similar de manera significativa;

  • dentro del tratamiento de categorías especiales de datos personales (Arte. 9(1),10) mucho;

  • al realizar un seguimiento sistemático de datos de acceso público a gran escala.

Debe realizar la DPIA incluso antes de comenzar a procesar los datos y luego revisarla y actualizarla regularmente.

Mantenimiento de registros de actividades de procesamiento

Uno de los deberes cruciales de los controladores de datos es mantener un registro de sus actividades de procesamiento. Cada registro individual debe contener los siguientes datos:

  • nombre e información de contacto del controlador;

  • propósito del procesamiento;

  • descripciones de las categorías de datos personales y de sujetos de datos;

  • descripciones de las categorías de los destinatarios de los datos;

  • transferencias a terceros países/organizaciones internacionales, con las salvaguardias aplicables (donde sea posible);

  • plazos para el almacenamiento de diferentes categorías de datos personales (donde sea posible).

Puede encontrar una lista completa de requisitos para el mantenimiento de registros enArte. 30.

Cómo las empresas pueden cumplir con el RGPD

Ahora es el momento de crear su propia lista de verificación de cumplimiento de GDPR exitosa dentro de su organización. Puede usar este como base y modificarlo según sus necesidades en el camino.

  • Designar un delegado de protección de datos (DPO)

  • Asegúrese de que todas las personas afectadas dentro de su empresa sean conscientes de la importancia del RGPD y de los requisitos

  • Audita todos tus datos e identifica cuáles están protegidos por el RGPD

  • Revise sus políticas de privacidad y hágalas compatibles con el RGPD

  • Establecer los procesos para la cobertura de los derechos de las personas y las solicitudes de los interesados

  • Identifique la base legal, documéntelo y agréguelo a su póliza

  • Revise cómo busca, obtiene y registra el consentimiento

    (Video) El cumplimiento del RGPD, simplificado con Pridatect | Factorial HR

  • Revise cómo maneja los datos de los niños

  • Establecer protección de datos por diseño y protocolos de evaluación de impacto en la privacidad

  • Cree o actualice sus protocolos para detectar, informar e investigar violaciones de datos

FAQs

¿Qué se necesita para el cumplimiento del RGPD? ›

El cumplimiento de GDPR implica implementar procesos y procedimientos para proteger los datos personales de los ciudadanos de la UE , como garantizar que los datos se recopilen y almacenen de forma segura, informar a las personas sobre cómo se utilizan sus datos y permitirles ver, modificar o eliminar sus datos.

Get More Info
¿Qué significa el cumplimiento de GDPR para las empresas? ›

El ímpetu detrás del RGPD fue dar a los particulares más control sobre cómo se recopilan y procesan sus datos personales. Por lo tanto, si bien la protección de los datos que recopila es esencial para el cumplimiento del RGPD, capacitar a sus clientes para que tomen decisiones informadas sobre quién procesa sus datos y cómo es igual de importante .

Read More
¿Qué es la lista de verificación de cumplimiento de GDPR? ›

En su lista, debe incluir: los fines del procesamiento, qué tipo de datos procesa, quién tiene acceso a ellos en su organización, terceros (y dónde se encuentran) que tienen acceso, qué está haciendo para proteger los datos (por ejemplo, encriptación) y cuándo planea borrarlos (si es posible).

Discover More Details
¿Qué empresas deben cumplir con el RGPD? ›

El RGPD se aplica a cualquier entidad (cualquier persona, empresa u organización) que recopile o procese datos personales de cualquier persona en la Unión Europea. Por ejemplo, cualquier empresa que reciba compras de clientes de la UE debe cumplir con el RGPD.

Tell Me More
¿Quién es responsable de demostrar el cumplimiento del RGPD? ›

Según el RGPD, una empresa/organización es responsable de cumplir con todos los principios de protección de datos y también es responsable de demostrar el cumplimiento. El RGPD proporciona a las empresas/organizaciones un conjunto de herramientas para ayudar a demostrar la responsabilidad, algunas de las cuales deben implementarse obligatoriamente.

Discover More
¿Cómo se dice GDPR en español? ›

Reglamento general de protección de datos.

View More
¿Qué es el cumplimiento de GDPR en palabras simples? ›

¿Qué significa cumplir con el RGPD? En esencia, el cumplimiento de GDPR significa que una organización que se encuentra dentro del alcance del Reglamento general de protección de datos (GDPR) cumple con los requisitos para el manejo adecuado de datos personales como se define en la ley .

Read The Full Story
¿Dónde se aplica el GDPR? ›

El RGPD se aplica en los casos siguientes: su empresa o entidad trata datos personales como parte de las actividades de una de sus sucursales establecidas en la Unión Europea (UE), independientemente del lugar donde sean tratados los datos, o.

Tell Me More
¿Qué incluye el checklist de cumplimiento? ›

Una Checklist para la auditoría de cumplimiento es una lista de requisitos, normas, leyes y acuerdos, además de procesos y sus resultados, para ser observados, comprobados y verificados durante la evaluación, por el auditor interno o externo.

View Details
¿Qué tipo de infracciones se recogen en la RGPD? ›

Los tipos de infracciones que establece son los siguientes:
  • Los principios básicos para el tratamiento.
  • Los derechos de los interesados.
  • Las obligaciones de la autoridad de control.
  • Las obligaciones en virtud del derecho de los estados miembros.
  • Incumplimiento de una resolución o de una limitación temporal o definitiva.
Jan 25, 2018

Continue Reading

¿Qué contiene una lista de verificacion? ›

Una lista de verificación efectiva debe establecer claramente lo que debe verificarse, cuál es el criterio de cumplimiento o no conformidad y la frecuencia del control o verificación. También es importante tener una sección de observaciones para proporcionar información adicional.

Read On
¿Se aplica GDPR en Estados Unidos? ›

Debido a su efectividad y capacidades, GDPR se extiende para administrar datos sin importar si es Europa, EE. UU. o cualquier parte del mundo .

Tell Me More
¿Estados Unidos cumple con GDPR? ›

Sí, el RGPD puede aplicarse a empresas en los EE. UU. o cualquier empresa fuera de la Unión Europea . Según el artículo 3 del RGPD, el ámbito territorial del RGPD se aplica a las empresas independientemente de si el procesamiento se lleva a cabo en el Espacio Económico Europeo (EEE).

Tell Me More
¿Qué tipo de datos no están protegidos por el RGPD? ›

Quedan prohibidos el tratamiento de datos personales que revelen el origen étnico o racial, las opiniones políticas, las convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos ...

See Details
¿Cómo puedo demostrar que mi organización cumple con el RGPD? ›

Acredita el cumplimiento del RGPD y LOPD. En ocasiones puede ser necesario acreditar que nuestra empresa o negocio cumple con el RGPD y la LOPD, pero ¿cómo podemos hacerlo? La respuesta está en el certificado RGPD o certificado de protección de datos.

View More
¿Cuándo se aplica el RGPD? ›

El Reglamento General de Protección de Datos (RGPD) entró en vigor en mayo de 2016. No obstante, se aplica desde el 25 de mayo de 2018, por lo que los responsables y encargados de tratamiento deben adecuar el tratamiento de datos personales que realizan a lo previsto en el mismo.

See Details
¿Las personas tienen que cumplir con el RGPD? ›

Sí, el RGPD se aplica a las personas .

View Details
¿Qué es un procedimiento RGPD? ›

GDPR es una regulación que requiere que las empresas protejan los datos personales y la privacidad de los ciudadanos de la UE para las transacciones que ocurren dentro de los estados miembros de la UE . Y el incumplimiento podría costar muy caro a las empresas.

Learn More

Videos

1. GDPR: 10 estrategias de MARKETING para obtener el CONSENTIMIENTO
(Easypromos TV)
2. Día Europeo de la Protección de Datos: Retos del GDPR | UNIR OPENCLASS
(UNIR | La Universidad en Internet)
3. Llega GDPR: ¿está tu empresa preparada para la nueva ley de datos personales?
(Prodware Spain)
4. Conoce el GDPR - Cómo impacta tu negocio y cómo te puedes beneficiar de esta política
(ProChile)
5. 5 Recomendaciones que autónomos cumplan la Protección de Datos: Resumen sanciones relevantes en 2021
(Confederación de Empresarios de Andalucía - CEA)
6. ✅ RGPD/GDPR: COMO CUMPLIR CON LA LEY EN WORDPRESS - TODO LO QUE DEBES HACER 🥇⚖
(Yo Androide)
Top Articles
Latest Posts
Article information

Author: Ray Christiansen

Last Updated: 07/08/2023

Views: 5523

Rating: 4.9 / 5 (69 voted)

Reviews: 84% of readers found this page helpful

Author information

Name: Ray Christiansen

Birthday: 1998-05-04

Address: Apt. 814 34339 Sauer Islands, Hirtheville, GA 02446-8771

Phone: +337636892828

Job: Lead Hospitality Designer

Hobby: Urban exploration, Tai chi, Lockpicking, Fashion, Gunsmithing, Pottery, Geocaching

Introduction: My name is Ray Christiansen, I am a fair, good, cute, gentle, vast, glamorous, excited person who loves writing and wants to share my knowledge and understanding with you.