Cumplimiento del RGPD: Información Imprescindible Para Las Empresas

Yulia Landbo

Yulia Landbo

Última actualización: 27 de nov. de 2023 6 lectura mínima

En la presente guía profundizaremos en los aspectos específicos de esta ley de protección de datos, explicando qué es el RGPD, sus principios fundacionales, su fecha de entrada en vigor, sus conceptos principales y los roles implicados. Además, ofreceremos información muy valiosa: una guía paso a paso sobre cómo las empresas pueden garantizar el cumplimiento de esta ley.

Conceptos básicos del RGPD

Empecemos aclarando este acrónimo y explorando algunos detalles del concepto.

Qué es el RGPD

El Reglamento general de protección de datos (RGPD) es una normativa de privacidad y seguridad de la legislación de la Unión Europea que establece las directrices para la recogida, el tratamiento, el almacenamiento y la transferencia de datos personales de las personas que viven en el Espacio Económico Europeo.

Este reglamento europeo de protección de datos se considera uno de las más estrictas del mundo. Aunque esta ley de protección de datos europea se aplica en la Unión Europea, también obliga a las empresas de todo el mundo a cumplirla. La aplicación del RGPD se pone en marcha en el momento en que una empresa comienza a interactuar con los datos personales de usuarios de la UE de una manera que incumple cualquiera de sus numerosas cláusulas.

Vulneraciones del RGPD y multas por incumplimiento


La complejidad y amplitud de este documento de cien páginas, combinadas con las severas sanciones, hacen que el cumplimiento del Reglamento General de Protección de Datos sea un reto importante. Incluso con la ayuda de herramientas de software especializadas, este Reglamento ha demostrado ser una fuente de ingresos considerable para la UE, con una contribución de al menos 4.000 millones de dólares procedentes de 1.653 incidentes sancionadores.

Según el art. 83, infringir los principios fundamentales de protección de datos personales estipulados en el RGPD puede acarrear graves sanciones de hasta 20 millones de dólares, o hasta el 4% de los ingresos anuales globales de la empresa. Esta última opción puede ser sustancialmente superior en algunos casos, como demuestran las multas impuestas a Meta y Amazon.

Las infracciones relacionadas con las actividades de control, tratamiento, certificación y supervisión pueden dar lugar a multas de hasta 10 millones de dólares o hasta el 2 % de los ingresos anuales de la empresa.

¿En qué casos se aplica el RGPD y en qué casos no?

Tanto el art. 2 como el art. 3 definen el ámbito material y territorial de aplicación del RGPD.

El RGPD afecta a todas las empresas o cualquier otra entidad que trate datos personales (hablaremos un poco de este concepto más adelante) de ciudadanos o residentes en la Unión Europea o el Espacio Económico Europeo, ofreciéndoles productos o servicios. No importa dónde esté ubicada su empresa, a qué jurisdicción pertenezca o si estos productos o servicios son de pago.

Existen algunos supuestos en los que el RGPD no es aplicable:

Los datos personales como concepto central del RGPD

Una parte fundamental de la ley del RGPD que ya hemos mencionado anteriormente son los datos personales. A continuación definiremos este concepto y repasaremos los principales tipos de datos personales según el Reglamento General de Protección de Datos. Puede encontrar esta y otras definiciones esenciales en el art. 4.

La definición de datos personales conforme al RGPD

Según el RGPD, los datos personales son cualquier información relativa a una persona física identificada o identificable; una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un identificador.

En otras palabras, los datos personales son cualquier información que pueda atribuirse a una persona identificable, incluida la dirección, el nombre, la dirección de correo electrónico, el número de teléfono, el número de identificación fiscal, fotos, etc. Como puede observar, los datos personales pueden abarcar una gran variedad de tipos de información. En el siguiente bloque, repasaremos las categorías en las que se dividen.

Categorías de datos personales

En general, todos los datos personales contemplados en el RGPD pueden dividirse en dos categorías: datos ordinarios y datos especiales (o sensibles).

Datos personales de carácter ordinario

Se considera que un dato personal es ordinario cuando puede atribuirse, directa o indirectamente, a una persona física identificable o ya identificada. Esta categoría de datos personales incluye:

Datos personales de carácter especial o sensible

Existen varios tipos de datos personales más sensibles que requieren una mayor protección. La regla general es tratar los datos solamente cuando se den condiciones especiales, como el consentimiento especial del interesado o la petición por parte de una autoridad legal. A continuación se indican las principales categorías de datos sensibles:

La información sobre condenas e infracciones penales también se considera datos personales con arreglo al Reglamento General de Protección de Datos. Esta información únicamente puede ser tratada por responsables públicos del tratamiento de datos en caso de que sea estrictamente necesario para tareas públicas o regulatorias. Los únicos supuestos que justifican la divulgación de estos datos son el consentimiento explícito del interesado y la salvaguardia de intereses privados o públicos que prevalezcan sobre el secreto y la intimidad.

Roles principales dentro del RGPD

Hemos mencionado una entidad denominada "interesado" que no hemos explicado. Ahora es el momento de revisar este y otros roles principales dentro del RGPD con el fin de entenderlos y mantener el cumplimiento del RGPD.

Interesado

Como ya habrá adivinado, el interesado es simplemente una persona física identificable o ya identificada cuyos datos personales se recogen y tratan. Por persona física se entiende aquí un individuo vivo, no una persona jurídica (que es una empresa o cualquier otra organización).

Derechos del interesado

El interesado, que desempeña un papel central en el RGPD, cuenta con algunos derechos específicos. Estos derechos deben ser respetados por las organizaciones que recopilan, almacenan o procesan sus datos personales.

  1. Derecho de acceso. En el momento en que se procesa cualquier dato personal, su titular tiene derecho a ser informado del tratamiento, su lugar y finalidad, así como a recibir gratuitamente una copia de todos los datos tratados.

  2. Derecho de rectificación. Este derecho implica que los interesados tienen la capacidad de solicitar la corrección o la cumplimentación de sus datos personales en caso de que sean incorrectos o estén incompletos.

  3. Derecho de supresión. Los interesados tienen derecho a solicitar la supresión de sus datos personales en casos concretos.

  4. Derecho de limitación del tratamiento. Del mismo modo, los interesados también tienen derecho a restringir el tratamiento de sus datos personales en algunos casos

  5. Derecho a la portabilidad de los datos. Los interesados siempre podrán solicitar sus datos personales en un formato legible por ordenador, así como trasladar los datos a otro proveedor.

  6. Derecho de oposición. El tratamiento de datos personales con fines exclusivamente comerciales requiere inicialmente el consentimiento especial del interesado. Y viceversa, los interesados tienen derecho a negarse al tratamiento de sus datos personales con fines comerciales, en cualquier momento.

  7. Derecho a no ser objeto de decisiones individuales automatizadas, incluyendo la elaboración de perfiles. Los interesados pueden oponerse a que otros tomen decisiones relacionadas con ellos, basadas en el tratamiento automatizado de datos personales, incluida la elaboración de perfiles. Sin embargo, este derecho solo es válido cuando tales decisiones les afecten significativamente o produzcan efectos jurídicos.

Responsable del tratamiento

El siguiente actor fundamental es el responsable del tratamiento: una persona física o jurídica, incluidas las autoridades y organismos públicos, que determina los fines y medios del tratamiento de datos personales.

La principal responsabilidad de este puesto es la adopción de medidas eficaces para garantizar que el tratamiento se ajusta al RGPD y demostrárselo a los interesados. Las medidas seleccionadas deben basarse en diferentes parámetros de tratamiento, incluidos su alcance, naturaleza, objetivos, antecedentes y riesgos.

Los responsables pueden unir sus esfuerzos, lo que se denomina corresponsables del tratamiento. Estos responsables deben distribuir sus responsabilidades de forma transparente, estableciendo un acuerdo especial a tal efecto.

Encargado del tratamiento

Los responsables del tratamiento de datos recurren a menudo al arsenal de terceros interesados en lo que respecta al tratamiento de datos personales. En el Reglamento General de Protección de Datos, estos sujetos se denominan encargados del tratamiento.

El principal criterio de selección es que los encargados del tratamiento de datos estén en condiciones de establecer todo lo necesario para cumplir íntegramente los requisitos previstos en los reglamentos. Y la obligación del encargado del tratamiento es garantizarlo. Otro requisito importante es que el encargado no puede contratar a ningún otro encargado sin la autorización escrita del responsable del tratamiento. Si la autorización es general, el encargado también debe notificar al responsable del tratamiento cualquier cambio previsto respecto a la incorporación o sustitución de encargados del tratamiento.

Delegado de Protección de Datos (DPD)

Con frecuencia, el tratamiento de datos personales precisa de la figura adicional del delegado de protección de datos (DPD). Esta persona debe ser designada por el responsable o el encargado del tratamiento de los datos para ayudar a garantizar el cumplimiento del RGPD. Las situaciones en las que se requiere un DPD son tres:

  1. Cuando las autoridades públicas (excepto los tribunales) desempeñan el papel de responsable, encargado del tratamiento o ambos.

  2. Cuando el tratamiento guarde relación con el seguimiento a gran escala de interesados dentro de categorías especiales o de información delictiva.

  3. Cuando las actividades principales requieran un seguimiento habitual de los interesados a gran escala.

Hay algunos matices significativos en el uso del DPD que regula el RGPD. En primer lugar, varios responsables y encargados del tratamiento pueden designar un único DPD en caso de que el especialista pueda acceder a sus datos de forma remota. En segundo lugar, el delegado debe ser designado en función de sus competencias profesionales. En tercer lugar, puede ser tanto un empleado interno como un proveedor de servicios externo.


Para más información sobre los delegados de protección de datos, consulte el art. 37.

Otros conceptos importantes del RGPD

Como decíamos antes, el Reglamento General de Protección de Datos es complejo y exhaustivo, e incluye varios términos jurídicos que vamos a intentar desgranar aquí. Una vez definidas las funciones principales, continuemos con otros conceptos no menos importantes.

Tratamiento de datos

En virtud del RGPD, por tratamiento de datos se entiende una operación o conjunto de operaciones específicas efectuadas en relación con datos personales. El RGPD enumera una serie de operaciones, entre las que se incluyen las siguientes:

Protección de datos

En pocas palabras, la protección de datos se define como un conjunto de medidas para mantener los datos a salvo de cualquier acceso no autorizado. La idea es seguir los siete principios fundamentales de protección de datos y responsabilidad que se describen en el siguiente bloque.

Siete principios de protección de datos del RGPD

Los principios de la protección de datos mencionados anteriormente y expuestos en el art. 5 son parte esencial de la filosofía en la que se basa el reglamento, y los encargados del tratamiento de datos personales deben cumplirlos estrictamente.

  1. Legalidad, equidad y transparencia. Los datos personales deben tratarse de forma lícita, justa y transparente en relación con el sujeto de los datos.

  2. Limitación de la finalidad. Los datos personales solo deben recopilarse con fines previamente especificados, explícitos y legítimos. 

  3. Minimización de datos. Los datos a los que se refiere, además de ser pertinentes y adecuados, no deben exceder la cantidad necesaria.

  4. Exactitud. Es necesario asegurarse de que los datos personales son correctos y están actualizados, procediendo de inmediato a rectificar todos los datos obsoletos o a suprimirlos si no es posible rectificarlos. 

  5. Limitación de almacenamiento. La información personal recopilada no debe almacenarse más tiempo del necesario para su finalidad general.

  6. Integridad y confidencialidad. Los datos recogidos no podrán ser identificados, sustraídos, extraviados, destruidos, dañados o tratados ilícitamente por terceros.

  7. Responsabilidad. El responsable del tratamiento de datos debe poder demostrar que respeta todos los principios anteriormente enunciados.

Información biométrica

La identificación de una persona física también es posible mediante el análisis de algunos rasgos de comportamiento, físicos o fisiológicos de esta persona. Puede tratarse, por ejemplo, de huellas dactilares, imágenes faciales o escáneres del iris. En el marco del Reglamento General de Protección de Datos, estos rasgos reciben el nombre de datos biométricos.

Como sucede con los demás tipos de datos personales sensibles, la información biométrica también precisa medidas de protección adicionales. En general, esto supone la prohibición de tratar los datos biométricos con el único fin de identificar al sujeto de los datos. No obstante, existe una serie de excepciones, desde el consentimiento explícito del interesado hasta el interés público justificado. Encontrará una lista completa en el art. 9.

Transferencias internacionales de datos

El RGPD considera transferencias internacionales de datos todas aquellas transferencias de datos personales hacia o desde un país que no pertenece al Espacio Económico Europeo (EEE).

El requisito general para todas las transferencias internacionales es que solo pueden efectuarse si se cumple plenamente el RGPD. Esto significa que el nivel de protección debe mantenerse en el nivel exigido y que deben satisfacerse algunas condiciones:

Seguridad desde el diseño

El RGPD insta a las organizaciones que trabajan con datos personales a adoptar medidas adecuadas para protegerlos desde las primeras fases del ciclo de vida de desarrollo del producto o servicio.

En otras palabras, estas medidas de privacidad deben incorporarse a sus especificaciones de diseño, procesos operativos y entorno de trabajo. Estas medidas de privacidad deben proteger de forma eficaz los datos personales de los usuarios mediante la limitación de su recopilación, accesibilidad y tiempo de conservación, así como garantizar la exactitud de los datos.

Evaluación de impacto de la protección de datos

Las sanciones por incumplimiento del RGPD son cuantiosas, por lo que resulta crucial analizar, detectar y mitigar los riesgos en materia de protección de datos. El proceso sistemático de gestión de riesgos de incumplimiento del RGPD se denomina evaluación del impacto en la protección de datos (EIPD).

El art. 35 describe los tres casos en los que es necesaria una EIPD:

Conviene llevar a cabo el EIPD incluso antes de empezar a procesar los datos y, a continuación, revisarlo y actualizarlo periódicamente.


Mantenimiento de registros de las actividades de tratamiento

Uno de los principales deberes de los responsables del tratamiento de datos es mantener un registro de sus actividades de tratamiento. Todos y cada uno de los registros deben contener los siguientes datos:

Encontrará una lista completa de los requisitos para el mantenimiento de registros en el art. 30.

¿Cómo pueden las empresas mantener la conformidad con el RGPD?

Ahora es su turno para elaborar su propia lista de comprobación del cumplimiento del RGPD en su organización. Puede utilizar esta como referencia y modificarla en función de sus necesidades.

 ___________________________________________________________________________

Este artículo ha sido elaborado únicamente con fines informativos y no pretende ser un asesoramiento jurídico. Para obtener asesoramiento jurídico, contacte con su asesor de confianza. Como alternativa, Whistleblower Software puede ponerle en contacto con un experto jurídico local.

Reserve una demo

5/5 estrellas en G2