Show me desktop version

RGPD UE: ¿Qué es y cómo funciona?

Introducción al Reglamento General de Protección de Datos de la UE (RGPD)

El Reglamento General de Protección de Datos busca ofrecer a los ciudadanos de la UE un enfoque uniforme y armónico de privacidad en la Unión Europea, persigue fortalecer los derechos de las personas en la protección de sus datos de acuerdo a lo establecido en el artículo 8 de la Carta de Derechos Fundamentales de la UE. Después de casi cuatro años de deliberaciones y debates, el RGPD fue finalmente aprobado por el Parlamento de la UE el 14 de abril del 2016.

A pesar de que el documento se hizo válido 20 días después de su fecha de aprobación, la fecha de entrada en vigor se estableció para el 25 de mayo del 2018. Puede parecer que hay suficiente tiempo para prepararse, pero lo cierto es que hay muchas cosas por hacer, debido a algunos cambios importantes.

Reglamento vs. directiva

Uno de los primeros cambios, y fundamental, del marco de trabajo anterior para la protección de datos (Directiva para la Protección de Datos UE – Directiva 95/46/UE) es que, después de varios debates, el Parlamento de la UE decidió que el nuevo marco de trabajo de privacidad se estableciera en forma de reglamento en vez de directiva.

¿Por qué un reglamento? La respuesta es sencilla – un reglamento es un acto legislativo vinculante directamente aplicable a todos los estados miembros de la UE, eliminando la necesidad de realizar actas legislativas locales. Sin embargo, a pesar de la necesidad de una legislación local, seguramente existirán diferencias en cómo el RGPD UE es interpretado y cumplido en los diferentes estados miembros.

Aparte de la necesidad de un marco común de privacidad, al promulgar el RGPD UE, la UE está enviando un fuerte mensaje de su compromiso en proteger los datos personales de los interesados de la UE (un interesado es un persona física relacionado con los datos personales), y no sólo de las compañías que operan en la UE.

El alcance adicional del RGPD

El alcance extraterritorial es una de las nuevas características que contribuirá significativamente al aumento del nivel de protección de los datos personales. ¿Qué quiere decir extraterritorial? Probablemente uno de los cambios más importantes, ya que el RGPD se aplicará de manera más amplia afectando entidades fuera de la UE. Por supuesto, algunas condiciones deben ser cumplidas para que sea aplicable la extraterritorialidad.

El RGPD UE se aplicará al tratamiento de datos personales de los interesados de la UE, sin importar si las actividades de tratamiento se llevan a cabo en la UE o no. El RGPD UE también será aplicable a entidades establecidas fuera de la UE si ofrecen bienes o servicios a las personas físicas de la Unión, o si hacen el seguimiento del comportamiento de las personas físicas de la Unión (por ejemplo, elaboración de perfiles, seguimiento de actividades individuales en internet, etc.).

La clave para entender cuándo se aplica el RGPD UE es entender el significado de “en la Unión”. El RGPD UE solo se aplicará a los datos personales relativos a personas dentro de la Unión, mientras que la nacionalidad o residencia habitual de esos individuos es irrelevante. Por ejemplo, una empresa con sede en la UE que esté procesando datos de personas japonesas ubicadas en Japón deberá cumplir con el RGPD UE. En consecuencia, las personas japonesas se beneficiarán de todos los derechos relativos al RGPD UE, incluso si estos derechos no existen en las leyes de su propio país.

Cuando los datos de los ciudadanos de la UE se procesan fuera de la UE por empresas que también están fuera de la UE, entonces esta situación no se considera “en la Unión”. Por ejemplo, el RGPD UE no será aplicable para una escuela que tenga su sede en los Estados Unidos solo porque exista la posibilidad de que uno o varios de sus estudiantes sean ciudadanos de la UE. En este caso, el tratamiento no tiene lugar “en la Unión” ni es el individuo “en la Unión”.

Una de las consecuencias del alcance extraterritorial es que las empresas no establecidas en la UE deben nombrar a un representante si procesan datos personales en la Unión. Dicho representante debe encontrarse dentro de un estado miembro en el cual se localicen los interesados. Sólo se permite una derogación limitada cuando el tratamiento sea ocasional, no involucre tratamiento a gran escala de datos personales sensibles, y cuando el propósito y resultado del tratamiento no pueda ocasionar riesgos a los individuos.

Transferencia de datos personales a través de las fronteras

Al transferir datos, el RGPD impone restricciones estrictas a las transferencias a localizaciones fuera de la Unión Europea. Esto se hace para asegurar la protección de datos personales a un nivel adecuado. Las transferencias de datos fuera de las fronteras de la UE se pueden llevar a cabo si existe:

  • una decisión de adecuación tomada por la UE (la UE ha determinado que cierto país tiene leyes de protección de datos equivalentes a las de la UE)
  • protecciones apropiadas (por ejemplo, contratos que incluyen cláusulas modelo de la UE para la transferencia de datos personales)
  • derogaciones específicas (por ejemplo, consentimiento claro e informado por el interesado)

Las transferencias de datos representan un área complicada del RGPD, especialmente porque el asunto del consentimiento es abordado por la UE, y el consentimiento es ampliamente usado para justificar transferencias a través de las fronteras de datos personales. Como tal, organizaciones que históricamente se han protegido a través de los consentimientos de sus usuarios pueden encontrarse teniendo que reprocesar su marco de trabajo para la transferencia de datos o afrontar altas sanciones.

Mantener seguros a los datos personales

El RGPD UE requiere que las compañías aseguren mantener seguros los datos personales, al igual que lo establece la directiva vigente. A pesar que esta obligación es expresada en términos generales, señala algunas indicaciones relacionadas con las medidas que deben proteger los datos personales, tales como:

  • encripción y pseudonimización
  • asegurar y mantener la confidencialidad, integridad, disponibilidad, y resiliencia de sus sistemas de TI
  • capacidad de recuperar la disponibilidad y tener acceso a los datos personales de manera oportuna
  • asistir y evaluar regularmente la efectividad de las medidas de seguridad establecidas para proteger los datos

Las medidas señaladas anteriormente son sólo ejemplos – no son obligatorias – y solo deben ser aplicadas “cuando proceda”. Por lo cual, es responsabilidad de la compañía demostrar que las medidas de seguridad son apropiadas.

Una buena práctica en términos de medidas de seguridad podría ser la norma ISO 27001, para que compañías puedan utilizarla como punto de inicio al construir sus medidas de seguridad para la protección de datos.

Responsables vs. encargados

El RGPD UE también impone nuevas sanciones a los encargados del tratamiento. Este es un gran avance desde las leyes anteriores de protección de datos, donde todas las obligaciones se centraban alrededor del responsable del tratamiento. Entre otras cosas, los encargados del tratamiento ahora deben mantener registros de sus actividades de tratamiento. Igual que antes, el encargado del tratamiento es una entidad (como una persona legal, autoridad pública, agencia u otro ente) que procesa datos personales a nombre del responsable.

Nuevos derechos para interesados

Como actualización importante, el RGPD UE introduce nuevos derechos para los interesados. Estos son:

  • derechos al acceso, rectificación, y portabilidad
  • derecho a objetar
  • derechos al borrado y restricción de tratamiento

El cambio de más alto perfil es el ampliamente debatido “derecho al olvido” (que ahora se llama “derecho de supresión”). Este derecho al borrado puede iniciarse en ciertas situaciones específicas, incluyendo cuando el interesado retira su consentimiento o si ya no existe justificación alguna para el tratamiento de sus datos personales. El responsable del tratamiento debe responder “sin dilación indebida” al recibir estas solicitudes y debe informar a todas las entidades con las cuales ha compartido los datos. Es claro que para todos los derechos de los interesados, existe un requerimiento estricto para los responsables del tratamiento en inventariar y ubicar los datos personales resguardados para ser capaces de responder los requerimientos de acceso (en cualquiera de sus formas) del interesado “sin dilaciones indebidas”.

Tener o no tener un DPD

En el RGPD también existe una obligación para algunas organizaciones para designar un delegado de protección de datos, bajo situaciones específicas:

  • donde el responsable o encargado del tratamiento es una autoridad pública
  • donde las actividades principales del responsable o encargado del tratamiento es “hacer el seguimientode manera regular y sistemática de los interesados a gran escala”
  • donde el responsable o encargado de tratamiento realiza tratamiento a gran escala de categorías especiales de datos personales (tales como etnicidad, origen racial, opiniones políticas, creencias religiosas, etc.)

Violaciones de datos & seguridad

Además de la introducción de nuevos derechos para los interesados, el RGPD UE introduce nuevas reglas para las violaciones de datos. Si se compara con la directiva anterior, el RGPD establece obligaciones tanto para responsables como para los encargados de tratamiento. El RGPD también ofrece orientación y ejemplos para facilitar a las organizaciones la mitigación de riesgos. Entre ellos se encuentran:

  • pseudonimización en los datos personales (procesar datos personales en una manera que no pueda ser atribuida a un interesado específico sin usar información adicional)
  • la capacilidad de restaurar la disponibilidad de (y de acceder) los datos personales en el debido plazo después de ocurrir incidentes físicos o técnicos
  • la capacidad de asegurar confidencialidad, integridad y resiliencia, de los sistemas de tratamiento
  • añadir procesos para asegurar la prueba y evaluación de las medidas técnicas y organizacionales para asegurar la seguridad de los datos personales procesados

Multas y más

La mala gestión de las violaciones de datos será penalizado por el nivel más alto de sanciones establecidas en el RGPD.

Otra manera para que el Parlamento Europeo afirme su compromiso con la privacidad es a través de las nuevas multas, que son significativamente más altas que las establecidas en la directiva anterior. Las multas pueden ser tan altas como el 4% del volumen global del negocio en la compañía que incumpla. La lógica detrás de estas grandes multas anti-monopolios es simple: las multas altas por no cumplimiento producen niveles más altos de cumplimiento. Será bastante difícil para las compañías aceptar un cierto nivel de riesgo al manejar datos personales, porque las multas aumentaron considerablemente y podrían arruinar a las empresas.

Las sanciones bajo el RGPD pueden caer bajo dos categorías en términos de montos de la multa:

  1. Hasta un 2% del volumen global anual del negocio o €10m, el que sea más alto, por incumplimiento en casos en los cuales hay:
    • fallos en informar de una violación de datos
    • fallos en cumplir con la privacidad en los principios de diseño establecidos en el artículo 25 del RGPD
    • fallos en designar a un representante (donde el ente se encuentra fuera de la UE)
    • fallos en obtener consentimiento al procesar datos de niños
    • fallos en establecer cláusulas adecuadas para la protección de datos en los contratos con los encargados
    • fallos en designar un delegado de protección de datos
    • fallos en mantener registros escritos
  2. Hasta un 4% del volumen global anual del negocio o 20M€, el que sea más alto, por ofensas más graves, tales como:
    • fallos en cumplir los principios de tratamiento de datos legales de acuerdo a lo establecido en el RGPD
    • fallos en cumplir las disposiciones relacionadas con la transferencia de datos personales fuera de la UE
    • fallos en el cumplimiento de los derechos de los interesados

A los nuevos costes de las multas se le suman los poderes adicionales de las autoridades supervisoras de la protección de datos, tales como emitir advertencias por no cumplimiento, llevar a cabo auditorías, solicitar correcciones específicas en un período de tiempo concreto, ordenar el borrado de datos, y suspender la transferencia de datos a terceros países.

El impacto del RGPD pudiese ser ligeramente diferente para organizaciones que operan en jurisdicciones tales como Alemania, Francia, o los Países Bajos donde la legislación acerca de protección de datos es estricta históricamente, y en algunos casos, son más estrictos que la directiva vigente. El cumplimiento del RGPD se puede alcanzar más fácilmente por las compañías que operan en esos países, ya que las autoridades supervisoras en esos países ya han trabajado diligentemente para proteger los derechos y libertades individuales.

Sin embargo, en otras jurisdicciones donde las autoridades de protección de datos “se han dormido” debido a la falta de poderes administrativos y multas insignificantes, las organizaciones han ignorado los riesgos de los derechos y libertades de personas físicas, sabiendo que las autoridades de control no tenían ni los recursos ni la fuerza para imponer las multas a los infractores. Los encargados del tratamiento, en particular, se verán afectados por esas jurisdicciones porque, hasta ahora, nunca fueron el objetivo de las investigaciones de las autoridades de protección de datos.

¿Un paso hacia adelante . . . ?

De manera general, el RGPD es indudablemente un necesario paso hacia adelante en términos de llevar el marco de trabajo legal de protección de datos al siglo 21, y en combinación con la promulgación de la directiva de ePrivacidad, no había existido un cambio más radical en la ley de protección de datos, quizás desde que Louis Brandeis argumentó que la privacidad era un derecho, y no un privilegio.

En otras palabras, si su organización no ha empezado a actualizar su marco de trabajo para la protección de datos aún, ahora es buen momento para empezar.

Haga click acá para descargar un Diagrama de implementación RGPD UE gratuitamente para conocer cómo encajan estos tres principios en todo el proyecto.

jonas-anderson-rounded

Jonas Anderson
Experto Líder en RGPD UE

¿Tiene preguntas sobre algún paso?

Hable gratis con nuestros consultores

AGENDAR UNA CONSULTA GRATUITA

Herramienta de Evaluación de la Preparación de RGPD UE

(en Inglés)

Nuestra herramienta gratuita de evaluación de la preparación puede ayudarle a ver qué proporción de RGPD UE ha implementado hasta el momento, ya sea que esté empezando o llegando al final de su viaje.

VEA CÓMO FUNCIONA

NUESTROS CLIENTES

NUESTROS SOCIOS

  • Advisera es un Proveedor TPECS Certificado Global Ejemplar para IS, QM, EM y las Unidades de Competencia AU.
  • ITIL® es una marca registrada de AXELOS Limited. Usada bajo licencia de AXELOS Limited. Todos los derechos reservados.
  • DNV GL Business Assurance es uno de los principales proveedores de certificaciones de sistemas de gestión acreditadas.