Punit BhatiaEl Reglamento General de Protección de Datos de la Unión Europea (RGPD) es un conjunto de reglas sobre cómo las empresas deben de tratar los datos personales de los interesados. El RGPD establece las responsabilidades de las organizaciones para garantizar la privacidad y la protección de los datos personales, proporciona a los interesados varios derechos, y asigna poderes a los reguladores para solicitar demostraciones de responsabilidad proactiva o incluso impone multas en los casos en los que una organización no cumpla con los requisitos del RGPD. Comprender los requisitos del RGPD puede ser a veces una tarea desalentadora, por ello, comprenda los requisitos clave a través de este resumen del RGPD fácil de seguir.
1) Tratamiento legal, leal y transparente
A las empresas que tratan datos personales se les pide que lo hagan de una forma legal, leal y transparente. Pero, ¿qué significa esto? Vamos a entenderlo:
- Legal significa que todo tratamiento debe estar basado en un fin legítimo.
- Leal significa que las empresas asumen la responsabilidad y no tratan los datos para ningún fin que no sea legítimo.
- Transparente significa que las empresas deben informar a los interesados sobre las actividades de tratamiento de sus datos personales.
2) Limitación del fin, datos y almacenamiento
Se espera que las empresas limiten el tratamiento, recojan sólo los datos que sean necesarios, y no conserven datos personales una vez que se complete el fin del tratamiento. Esto efectivamente traería consigo los siguientes requisitos:
- prohibir el tratamiento de datos personales fuera del fin legítimo para el cual los datos personales fueron recogidos.
- exigir que no se soliciten otros datos personales, más que los que sean necesarios
- solicitar que los datos personales se eliminen una vez se haya cumplido el fin legítimo para el cual fueron recogidos
3) Derechos de los interesados
A los interesados se les ha asignado el derecho de solicitar a la empresa qué información tiene sobre ellos, y qué hace la empresa con esta información. Además, un interesado tiene el derecho de solicitar corrección, oponerse al tratamiento, presentar una queja, o incluso solicitar la eliminación o transferencia de sus datos personales.
Vea también: 8 derechos del interesado según el RGPD.
4) Consentimiento
A medida que la empresa tenga la intención de tratar datos personales más allá del fin legítimo para el cual se habían recogido, se debe de solicitar al interesado un consentimiento claro y explícito. Una vez recogido, este consentimiento se debe documentar, y el interesado puede retirar su consentimiento en cualquier momento.
Además, para el tratamiento de datos de los niños, el RGPD requiere el consentimiento explícito de los padres (o tutores) si el niño es menor de 16 años
Vea también: ¿Es necesario el consentimiento? Seis bases jurídicas para tratamiento de datos de acuerdo al RGPD.
5) Violación de seguridad de datos personales
Las organizaciones deben de mantener un Registro de Violación de Seguridad de Datos Personales y, en función de la gravedad, el regulador y el interesado deben ser informados de dentro de las 72 horas tras la identificación de la violación de seguridad.
6) Privacidad en diseño
Las empresas deben incorporar mecanismos organizativos y técnicos para proteger los datos personales en el diseño de nuevos sistemas y procesos; es decir, los aspectos de privacidad y de protección deben estar garantizados por defecto.
Vea también: How cybersecurity solutions can help with GDPR compliance.
7) Evaluación de Impacto de Protección de Datos
Para estimar el impacto de los cambios o nuevas acciones, se debe realizar una Evaluación de Impacto de Protección de Datos al iniciar un nuevo proyecto, cambio o producto. La Evaluación de Impacto de Protección de Datos es un procedimiento que debe llevarse a cabo cuando se introduce un cambio significativo en el tratamiento de datos personales. Este cambio podría ser un proceso nuevo o un cambio en un proceso existente que altera la manera en que se tratan los datos personales.
Vea también: 5 fases de la Evaluación de Impacto de la Protección de Datos RGPD UE.
8) Transferencia de datos
El responsable de datos personales tiene la responsabilidad proactiva de garantizar que los datos personales sean recogidos y los requisitos del RGPD respetados, incluso si el tratamiento se hace por un tercero. Esto significa que los responsables tienen la obligación de garantizar la protección y privacidad de los datos personales que son transferidos fuera de la empresa, a un tercero / u otra entidad dentro de la misma empresa.
Vea también: Implementing three main accountability principles under EU GDPR.
9) Delegado de Protección de Datos
Cuando hay un tratamiento significativo de datos personales en una organización, la organización debe asignar un Delegado de Protección de Datos. Cuando se asigne, el delegado de Protección de Datos tiene la responsabilidad de asesorar a la empresa sobre el cumplimiento de los requisitos del RGPD de la UE.
Vea también: El rol del DPD a la luz del Reglamento General de Protección de Datos.
10) Concienciación y formación
Las organizaciones deben de concienciar a sus empleados sobre los requisitos clave del RGPD, y realizar formaciones regularmente para garantizar que los empleados son conscientes de sus responsabilidades con respecto a la protección de datos personales y la identificación de violaciones de seguridad de datos personales lo antes posible.
Conclusión: los principios del RGPD son clave para entender el RGPD
Para concluir, hay un número significativo de requisitos relacionados con el RGPD de la UE. Es importante entender estos requisitos, así como sus implicaciones para su empresa, e implementarlos dentro del contexto de su organización. Dicha implementación requiere un gran esfuerzo, el mismo que el de llevar a cabo un proyecto.
Siga nuestro Paquete de Documentos del RGPD e implemente el RGPD de la UE usted mismo.
Para saber cómo cumplir con este reglamento de manera óptima, puede descargar gratis este Diagrama de implementación del RGPD de la UE.