El GDPR (Reglamento general de protección de datos) es un reglamento de la UE (Unión Europea) que mejora significativamente la protección de los datos personales de los ciudadanos de la UE y aumenta las obligaciones de las organizaciones que recopilan o procesan datos personales. El reglamento se basa en muchos de los requisitos de la Directiva de 1995 en materia de privacidad y seguridad de los datos, pero incluye varias disposiciones nuevas para reforzar los derechos de los interesados y añadir sanciones más severas por las infracciones. El reglamento entró en vigor el 25 de mayo de 2018.

​

El RGPD se aplica a empresas que a) comercializan sus productos entre personas de la UE o b) supervisan el comportamiento de las personas en la UE. En otras palabras, incluso si reside fuera de la UE pero controla o procesa los datos de ciudadanos de la UE, se le aplicará el RGPD.

​

​

Consentimiento

El RGPD intensifica el estándar de divulgación al obtener el consentimiento, ya que debe ser "otorgado libremente, específico, informado e inequívoco", y los controladores deben utilizar un lenguaje legal "claro y sencillo" que sea "claramente distinguible de otros asuntos". Los controladores también deberán proporcionar evidencia de que sus procesos son conformes y seguidos en cada caso.

Básicamente, no se puede obligar a su cliente a dar su consentimiento o ignorar que está dando su consentimiento para el procesamiento de sus datos personales. También deben saber exactamente a qué están dando su consentimiento y se les debe informar con antelación de su derecho a retirar ese consentimiento. Obtener el consentimiento requiere una indicación positiva de acuerdo; no puede inferirse del silencio, de casillas previamente marcadas o de la inactividad. Esto significa que informar al usuario durante la suscripción es cada vez más importante.

 

 

Nuevos derechos para los individuos

El reglamento también incorpora dos nuevos derechos para los interesados: un "derecho al olvido" que requiere que los controladores alerten a los destinatarios posteriores sobre las solicitudes de eliminación y un "derecho a la portabilidad de los datos" que permite a los interesados exigir una copia de sus datos en un formato común. Estos dos derechos facilitan a los usuarios solicitar que se elimine cualquier información almacenada o que la información recopilada se comparta con ellos.

 

 

Solicitudes de acceso

Los interesados siempre tuvieron derecho a solicitar acceso a sus datos. Pero el RGPD mejora estos derechos. En la mayoría de los casos, no podrá cobrar por procesar una solicitud de acceso, a menos que pueda demostrar que el costo será excesivo. El plazo para procesar una solicitud de acceso también se reducirá a un período de un mes (pero esto puede ampliarse dos meses más en algunas circunstancias. En ciertos casos, las organizaciones pueden negarse a conceder una solicitud de acceso, por ejemplo cuando la solicitud se considera manifiestamente infundadas o excesivas. Sin embargo, las organizaciones deberán contar con políticas y procedimientos de rechazo claros y demostrar por qué la solicitud cumple con estos criterios.

​

​

Privacidad por diseño y DPIA

Existen varios principios nuevos para las entidades que manejan datos personales, incluido el requisito de incorporar la privacidad de los datos "desde el diseño" al desarrollar nuevos sistemas y la obligación de realizar una Evaluación de Impacto en la Privacidad de los Datos (DPIA) cuando se procesan utilizando "nuevas tecnologías" o en caminos arriesgados. Una EIPD es un proceso que consiste en considerar sistemáticamente el impacto potencial que un proyecto o iniciativa podría tener en la privacidad de las personas, de modo que se puedan identificar posibles problemas de privacidad antes de que surjan, dando tiempo a la organización para idear una manera de mitigarlos antes de que surjan. El proyecto está en marcha.

 

​

Oficial de Privacidad de Datos

En cuanto a la seguridad, el RGPD exige que muchas empresas tengan un responsable de privacidad de datos (DPO) para ayudar a supervisar sus esfuerzos de cumplimiento. Las organizaciones que requieren DPO incluyen autoridades públicas, organizaciones cuyas actividades implican el seguimiento regular y sistemático de los interesados a gran escala, u organizaciones que procesan datos personales sensibles a gran escala.  

 

​

Contratos y Documentación de privacidad

Dado que el RGPD tiene que ver con la transparencia y la equidad, los Controladores y Procesadores deben revisar sus Avisos de Privacidad, Declaraciones de Privacidad y cualquier política de datos interna para asegurarse de que cumplan con los requisitos del RGPD. Si un Controlador contrata a proveedores externos para procesar los datos personales bajo su control, debe asegurarse de que sus contratos con esos Procesadores estén actualizados para incluir las nuevas disposiciones obligatorias sobre Procesadores establecidas en el Artículo 28 del Reglamento. De manera similar, los Procesadores deben considerar qué cambios deberán realizar en los contratos de sus clientes para cumplir con el RGPD.

​

​

Ventanilla única

Un elemento particular del RGPD debería servir para facilitar la vida de estos responsables de protección de datos: la nueva disposición de "ventanilla única" del RGPD, según la cual las organizaciones con oficinas en varios países de la UE tendrán una "autoridad supervisora líder" para actuar como un punto central de cumplimiento para que no tengan que luchar con instrucciones inconsistentes de múltiples autoridades supervisoras.

 

 

Informar infracciones

El RGPD contiene el requisito de que los controladores deben notificar a la autoridad supervisora de su país sobre una violación de datos personales dentro de las 72 horas posteriores a su conocimiento, a menos que los datos hayan sido anonimizados o cifrados. En la práctica, esto significará que la mayoría de las violaciones de datos deberán informarse al Comisionado de Protección de Datos.  Las infracciones que puedan causar daño a un individuo, como el robo de identidad o la violación de la confidencialidad, también deben informarse a las personas involucradas.

​

​

Alcance

El RGPD se aplica a empresas fuera de la UE que comercializan sus productos a personas en la UE o que monitorean el comportamiento de las personas en la UE. En otras palabras, incluso si reside fuera de la UE pero controla o procesa los datos de ciudadanos de la UE, es probable que el RGPD se aplique a usted.

 

Responsabilidad

Este concepto requiere que los Controladores y Procesadores puedan demostrar su cumplimiento del RGPD ante su autoridad supervisora local. Los procesos deben registrarse, implementarse y revisarse periódicamente. El personal debe estar capacitado y se deben tomar medidas técnicas y organizativas apropiadas para garantizar y demostrar el cumplimiento.