RGPD

El objetivo del RGPD es proteger a todos los ciudadanos de la UE de las infracciones contra la privacidad de datos en un mundo cada vez más basado en datos, que ha cambiado mucho de cuando se estableció la directiva de 1995. Aunque los principios de la privacidad de los datos siguen siendo fieles a la directiva anterior, se han propuesto muchos cambios a las políticas regulatorias. Detallamos seguidamente los puntos clave del RGPD, así como información sobre como impactará en los negocios:

Mayor alcance territorial (aplicabilidad extraterritorial)
Podría decirse que el mayor cambio en el panorama regulatorio de la privacidad de los datos proviene de la jurisdicción ampliada del RGPD, ya que se aplica a todas las empresas que procesan datos personales de personas que residen en la Unión Europea, independientemente de la ubicación de la empresa. El RGPD hace que su aplicabilidad sea muy clara: se aplicará al procesamiento de datos personales por parte de controladores y procesadores en la UE, independientemente de si el procesamiento se lleva a cabo en la UE o no. El RGPD también se aplicará al procesamiento de datos personales de personas en la UE por un controlador o procesador no establecido en la UE, donde las actividades se relacionen con: ofrecer bienes o servicios a ciudadanos de la UE (independientemente de si se requiere o no pago) y el control del comportamiento que tiene lugar dentro de la UE. Las empresas ajenas a la UE que procesan los datos de ciudadanos de la UE deberán nombrar un representante en la UE.

Consentimiento
Las condiciones para el consentimiento se han fortalecido, y las empresas ya no podrán usar términos y condiciones ilegibles largos llenos de jerga legal, ya que la solicitud de consentimiento debe darse en una forma inteligible y de fácil acceso, con el propósito del procesamiento de datos adjunto a ese consentimiento. El consentimiento debe ser claro y diferenciable de otros asuntos y proporcionado en una forma inteligible y de fácil acceso, usando un lenguaje claro y sencillo. Debe ser tan fácil retirar el consentimiento como darlo.

Derechos de los sujetos de datos

  • Notificación de incidentes. Bajo el RGPD, la notificación de incumplimiento será obligatoria en todos los estados miembros donde un data breach «genere un riesgo para los derechos y libertades de las personas». Esto debe hacerse dentro de las 72 horas de haberse detectado el incidente por primera vez. Los procesadores de datos también deberán notificar a sus clientes, los controladores, «sin demora indebida» después de conocer por primera vez una violación de datos.
  • Derecho de acceso. Parte de los derechos ampliados de los interesados ​​esbozados por el RGPD es el derecho de los mismos ​​a obtener de la confirmación del controlador de datos si sus datos personales se están procesando, dónde y con qué propósito. Además, el controlador deberá proporcionar una copia de los datos personales, sin cargo, en un formato electrónico.
  • Derecho al olvido. También conocido como borrado de datos, el derecho de olvido le da derecho a que el responsable del tratamiento borre sus datos personales, deje de difundir los datos y, potencialmente, haga que terceros detengan el procesamiento de los datos. Las condiciones para borrado, como se describe en el artículo 17, incluyen que los datos ya no son relevantes para los propósitos originales para el procesamiento, o que los sujetos de datos retiren el consentimiento.
  • Portabilidad de datos. El RGPD introduce la portabilidad de datos: el derecho de un sujeto de datos de recibir los datos personales que le conciernen, que previamente ha proporcionado en un ‘formato de uso común y legible por máquina’ y tiene derecho a transmitir esos datos a otro controlador.
  • Privacidad en el diseño. La privacidad en el diseño como concepto ha existido desde hace años, pero solo se está convirtiendo en parte de un requisito legal con el RGPD. En esencia, la privacidad por diseño requiere la inclusión de protección de datos desde el inicio del diseño de los sistemas, en lugar de una adición. Más concretamente: «El responsable del tratamiento deberá aplicar las medidas técnicas y organizativas adecuadas … de manera efectiva … para cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados». El artículo 23 exige que los controladores retengan y procesen solo los datos absolutamente necesarios para el cumplimiento de sus funciones (minimización de datos), y que limiten el acceso a los datos personales a quienes necesitan representar el procesamiento.

Preguntas frecuentes

  • ¿Cuándo entra en vigencia el RGPD? El RGPD fue aprobado y aprobado por el Parlamento de la UE en abril de 2016. El reglamento entrará en vigencia después de un período de transición de dos años y, a diferencia de una Directiva, no requiere que ningún gobierno apruebe ninguna legislación habilitante; lo que quiere decir que entrará en vigor en mayo de 2018.
  • ¿A quién afecta el RGPD? El RGPD no solo se aplica a organizaciones ubicadas dentro de la UE, sino que también se aplicará a organizaciones ubicadas fuera de la UE si ofrecen bienes o servicios a, o controlan el comportamiento de, los sujetos de datos de la UE. Se aplica a todas las empresas que procesan y mantienen los datos personales de los interesados ​​que residen en la Unión Europea, independientemente de la ubicación de la empresa.
  • ¿Qué constituye información personal? Cualquier información relacionada con una persona física o ‘sujeto de datos’, que puede usarse para identificar directa o indirectamente a la persona. Puede ser cualquier cosa, desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en sitios web de redes sociales, información médica o una dirección IP de una computadora.
  • ¿Cuál es la diferencia entre un procesador de datos y un controlador de datos? Un controlador es la entidad que determina los propósitos, condiciones y medios del procesamiento de datos personales, mientras que el procesador es una entidad que procesa datos personales en nombre del controlador.
  • ¿Los procesadores de datos necesitan un consentimiento del sujeto de datos «explícito» o «no ambiguo», y cuál es la diferencia? Las condiciones para el consentimiento se han fortalecido, ya que las empresas ya no podrán utilizar largos textos ilegibles y condiciones llenas de jerga legal, ya que la solicitud de consentimiento debe darse en una forma inteligible y de fácil acceso, con el propósito del procesamiento de datos adjunto a ese consentimiento, lo que significa que debe ser inequívoco. El consentimiento debe ser claro y distinguible de otros asuntos y proporcionado en una forma inteligible y de fácil acceso, usando un lenguaje claro y sencillo. Debe ser tan fácil retirar el consentimiento como lo es otorgarlo. Se requiere el consentimiento explícito solo para procesar datos personales confidenciales, en este contexto, nada menos que «aceptar» será suficiente. Sin embargo, para datos no confidenciales, el consentimiento «inequívoco» será suficiente.
  • ¿Qué pasa con los sujetos de datos menores de 16 años? Se requerirá el consentimiento de los padres para procesar los datos personales de los niños menores de 16 años para los servicios en línea; los estados miembros pueden legislar permitiendo una edad más baja de consentimiento, pero nunca será inferior a los 13 años.
  • ¿Cómo afecta el RGPD a las políticas relacionadas con las incidentes de datos? Las regulaciones propuestas que rodean los incidentes de datos se relacionan principalmente con las políticas de notificación de las empresas que han sido violadas. Las infracciones de datos que puedan representar un riesgo para las personas deben notificarse a la DPA dentro de las 72 horas y a las personas afectadas sin demora indebida.