Iubenda logo
Genera tus documentos

Documentación

Tabla de contenidos

¿Qué es el RGPD? Una guía completa con todo lo que necesitas saber para cumplir la ley

Qué significa RGPD

Las siglas RGPD hacen referencia al Reglamento General de Protección de Datos (Reglamento (UE) 2016/679), que, esencialmente, especifica cómo se deben tratar los datos personales según la ley (incluyendo cómo se recopilan, usan, protegen o cómo se interacciona con ellos en general).

Su objetivo es fortalecer la protección de datos para todas las personas cuya información personal se encuentre dentro de su ámbito de aplicación, devolviéndoles el control de sus datos personales.

¿Qué se entiende exactamente por “datos personales”?

En el marco del RGPD, se consideran datos personales a todos aquellos datos que se relacionen con una persona viva identificada o identificable. Esto incluye fragmentos de información que, cuando se recogen juntos, pueden conducir a la identificación de una persona.

Esto se aplica incluso a datos que han sido seudonimizados o encriptados, siempre que dicho cifrado/anonimizado sea reversible. En lo que se refiere al cumplimiento de las obligaciones de protección de datos establecidas por el reglamento, esto significa que las claves de descifrado deberán mantenerse separadas de los datos seudonimizados .

Entre los ejemplos de datos personales cabe incluir (entre otros) datos básicos de identidad como nombres, datos genéticos, biométricos o relacionados con la salud, datos web como direcciones IP, direcciones de correo electrónico personales, opiniones políticas y datos relativos a la orientación sexual.

Entre los ejemplos de datos no personales se pueden incluir números de inscripción de empresas en el Registro Mercantil, direcciones de correo electrónico genéricas de la empresa como info@company.com y datos anonimizados.

Definiciones especiales utilizadas a continuación
  • El término “usuario” hace referencia a un individuo cuyos datos personales son tratados por un responsable o encargado del tratamiento (también conocido como interesado ).
  • El término “responsable del tratamiento” hace referencia a cualquier persona o entidad legal que determine los fines y medios del tratamiento de datos personales.
  • El término “encargado del tratamiento” hace referencia a cualquier persona o entidad legal que trate datos personales por cuenta del responsable del tratamiento.

Por ejemplo, una empresa de internet puede recopilar información de sus usuarios a través de su sitio web y almacenarla en un servicio en la nube proporcionado por un tercero. En este caso, la empresa de internet sería el responsable del tratamiento y la organización que presta el servicio en la nube sería el encargado del tratamiento.

Cuándo se aplica

El RGPD se aplica cuando:

  • la sede de una organización se encuentra en la UE (esto se aplica independientemente de que el tratamiento de los datos se lleve a cabo en la UE o no);
  • una organización establecida fuera de la UE ofrece bienes o servicios (de pago o gratuitos) a personas en la UE. Puede ser una agencia gubernamental, una empresa pública o privada, un individuo o una organización sin ánimo de lucro;o cuando
  • una organización establecida fuera de la UE que rastrea el comportamiento de personas que se encuentran en la UE, siempre que dicho comportamiento tenga lugar en la UE.

Este ámbito de aplicación alcanza a casi todas las empresas y, por lo tanto, significa que el RGPD te puede afectar independientemente de que tu organización tenga sede en la UE o no. De hecho, esta encuesta de PwC estableció que el RGPD es una de las principales prioridades de protección de datos para el 92% de las empresas estadounidenses encuestadas.

Un error muy común es pensar que el RGPD tan solo protege a los usuarios de la UE, sin embargo, la protección ofrecida por el RGPD también se extiende a los usuarios fuera de la UE si el responsable del tratamiento de los datos tiene su sede en la UE. . Por lo tanto, si eres un responsable del tratamiento de datos personales y tienes tu sede en la UE debes, por defecto, aplicar los estándares de protección del RGPD a TODOS tus usuarios.

El RGPD entró en vigor el 25 de Mayo de 2018. .

Cuándo no se aplica

Las condiciones de aplicabilidad del RGPD se establecen desde un punto de vista material y territorial en los artículos 2 y 3 del Reglamento. Para determinar si una actividad de tratamiento de datos determinada está exenta de la aplicación de esta norma, tenemos que considerar ambos aspectos.

Punto de vista material

El RGPD se aplica al tratamiento de datos personales . Por lo tanto, el RGPD no se aplica a los datos empresariales, como la denominación social de una empresa y su dirección. Sin embargo, hay que tener cuidado en este sentido, porque en una empresa normalmente trabajan “personas físicas”, por lo que cualquier dato que se refiera a ellas se considerará “personal”, independientemente de si el tratamiento de dichos datos se produce en un contexto de Negocio a Consumidor (B2C) o de Negocio a Negocio (B2B).

Además, los datos personales no entrarían dentro del ámbito de aplicación del RGPD cuando:

  • un Estado miembro realice el tratamiento de los datos en el marco de la política exterior y de seguridad común de la UE;
  • las autoridades competentes lleven a cabo el tratamiento de los datos con fines de prevención, investigación, detección o enjuiciamiento de delitos o ejecución de sanciones penales, incluida la protección frente a amenazas a la seguridad pública y su prevención;
  • el tratamiento de los datos sea realizado por instituciones, órganos y organismos de la UE;
  • una persona física, en el curso de una actividad puramente personal o doméstica, trate los datos .

Desde un punto de vista práctico, la única excepción relevante es la última: por ejemplo, si recopilas datos personales de tus amigos para tu propia lista de contactos, no estás sujeto al RGPD.

Punto de vista territorial

Además, y sin perjuicio de lo anterior, ya hemos mencionado en qué condiciones se aplica el RGPD desde un punto de vista territorial.

En consecuencia, para que una actividad de tratamiento no esté sujeta al RGPD, se deben dar acumulativamente las siguientes condiciones:

  • el responsable (o encargado) del tratamiento no tiene su sede en la UE . Nota: Recuerda siempre que el responsable (o encargado) del tratamiento también podría ser una sucursal europea de una organización no perteneciente a la UE: en ese caso, incluso si la sucursal no tuviera personalidad jurídica, el RGPD se aplicaría de forma plena;
  • el tratamiento no tiene relación con la oferta de bienes o servicios a los interesados en la Unión o con el seguimiento de su comportamiento en la medida en que tenga lugar dentro de la Unión;
  • el responsable del tratamiento no tiene su sede en un lugar fuera de la UE, en el que se aplique la legislación de la UE debido al Derecho internacional público .

Veamos algunos ejemplos prácticos:

  1. La empresa “A” con sede en EE. UU. vende bienes a consumidores de la UE (→ se aplica el RGPD) y contrata a le empresa “B” con sede en EE. UU. para fines de análisis de mercado y estadísticos. ¿Está sujeta la empresa B al RGPD, pese a no tener su sede en la UE ni ofrecer bienes o servicios a consumidores de la UE? Probablemente sí, si el análisis de mercado y las actividades estadísticas requieren el “seguimiento del comportamiento” de clientes situados en la UE.
  2. ¿Deben cumplir con el RGPD los empleados del consulado italiano en Nueva York? Sí, porque el RGPD se les aplica en virtud del “Derecho internacional público”.
  3. Una empresa con sede en China sus productos a través de un sitio web exclusivamente redactado en chino, ¿debe cumplir con las normas del RGPD, simplemente porque es posible que algún chino residente en la UE pueda comprarle algo? En principio, podríamos decir que a no ser que pudiera demostrarse que la empresa está haciendo negocios relevantes con clientes de la UE, o que se está dirigiendo a ellos directamente (por ejemplo, informándoles de que son posibles “el envío a la UE” o “el pago desde una cuenta bancaria de la UE”, etc.).

Bases jurídicas para el tratamiento de datos personales

Según el RGPD, tan solo se pueden tratar datos personales si existe al menos una base jurídica para hacerlo.

Las bases jurídicas son:

  • El usuario ha dado su consentimiento para uno o varios fines específicos.
  • El tratamiento de los datos es necesario para la ejecución de un contrato en el que el usuario participe o para tomar las medidas (solicitadas por el usuario) previas a la celebración del contrato.
  • El tratamiento de los datos es necesario para cumplir una obligación legal a la que está sujeto el responsable del tratamiento.
  • El tratamiento de los datos es necesario para proteger los intereses vitales del usuario o de otra persona.
  • El tratamiento de los datos es necesario para llevar a cabo una tarea de interés público o según la autoridad oficial otorgada al responsable del tratamiento.
  • El tratamiento de los datos es necesario para la satisfacción de los intereses legítimos del responsable del tratamiento o de un tercero, excepto cuando sobre dichos intereses prevalezcan los intereses o los derechos y libertades del usuario, particularmente cuando este sea un menor.

Las organizaciones deben obtener el consentimiento verificable de los usuarios.

Con respecto al consentimiento de los menores, las organizaciones están obligadas a obtener el consentimiento verificable de un progenitor o tutor legal, a no ser que el servicio ofertado sea un servicio preventivo o de asesoramiento. Las organizaciones deben realizar esfuerzos razonables (empleando la tecnología disponible) para verificar que la persona que otorga el consentimiento realmente es el titular de la patria potestad o tutela sobre el niño.

En general, al obtener el consentimiento para el tratamiento de datos, las organizaciones no deben utilizar términos demasiado complicados o indescifrables. Esto incluye la jerga legal y/o los tecnicismos innecesarios. Esto significa que los términos y las políticas de privacidad deben presentarse de forma legible (puedes ver la nuestra aquí), utilizando un lenguaje y unas cláusulas comprensibles, de forma que los usuarios sean plenamente conscientes de aquello a lo que están consintiendo y de las consecuencias de dicho consentimiento.

El Reglamento prohíbe expresamente las casillas preseleccionadas

Las organizaciones deben ser transparentes en cuanto a los fines de su recogida de datos y el consentimiento debe ser “explícito y otorgado libremente”. Esto significa que el mecanismo para la obtención del consentimiento debe ser inequívoco e incluir una clara acción “afirmativa” (el Reglamento prohíbe específicamente las casillas preseleccionadas y otros mecanismos similares de “exclusión voluntaria”). El Reglamento también otorga el derecho específico a retirar el consentimiento, por lo tanto, retirarlo debe ser tan fácil como otorgarlo.

Como el consentimiento según el RGPD es un tema tan importante, es obligatorio que mantengas un registro claro y que seas capaz de demostrar que el usuario ha otorgado su consentimiento, ya que en caso de que surjan problemas, la carga de la prueba recae en el responsable del tratamiento, por lo que mantener un registro preciso es fundamental.

El registro debería incluir:

  • quién prestó el consentimiento;
  • cuándo y cómo se obtuvo el consentimiento del usuario individual;
  • el formulario de obtención del consentimiento que se le presentó al usuario en el momento de la recogida;
  • qué condiciones y documentos legales eran aplicables en el momento en el que se obtuvo el consentimiento.

A continuación, puedes ver unos ejemplos de mantenimiento del registro conforme a la ley frente a otros no conformes:

Registro no conforme Registro conforme
Mantener simplemente una hoja de cálculo con los nombres de los clientes y si se prestó o no el consentimiento Asegurarse de mantener una copia del formulario fechado y firmado por el cliente que muestre la acción realizada por el mismo para otorgar su consentimiento para el tratamiento de datos específico.
Mantener simplemente la fecha y hora del consentimiento vinculadas a una dirección IP, con un enlace web a tu formulario de recogida de datos y tu política de privacidad. Mantener un registro completo que incluya la identificación del usuario y los datos proporcionados junto con una marca de tiempo. También debes mantener una copia de la versión del formulario de recogida de datos y de cualquier otro documento relevante que estuvieras utilizando en dicha fecha.

Mantener un registro válido, si bien es obligatorio, puede ser todo un desafío técnico. Nuestra Consent Solution simplifica este proceso, permitiéndote ver, gestionar y exportar tu registro de consentimientos fácilmente. Puedes leer más sobre nuestra solución aquí .

Una nota sobre el consentimiento : no es la ÚNICA base jurídica que una organización puede elegir para tratar los datos de los usuarios, sino que es tan solo una de las múltiples “Bases Jurídicas” existentes. Por lo tanto, en algunos casos, las empresas pueden emplear otras bases jurídicas (dentro de lo previsto por el RGPD) para sus actividades de tratamiento de datos (sin embargo, para determinar si se aplica otra base jurídica a tus actividades de tratamiento de datos, es mejor consultarlo con un abogado ). Dicho esto, siempre habrá actividades de tratamiento de datos donde el consentimiento sea la única opción, o bien la mejor o más segura.

Otra ley de la UE que merece la pena mencionar en este punto es la Directiva ePrivacy (también conocida como la Ley de Cookies) ). Esta norma todavía está en vigor, ya que no ha sido derogada por el RGPD. En el futuro, la Directiva ePrivacy será reemplazada por el Reglamento ePrivacy, que trabajará junto con el RGPD . Se espera que este próximo Reglamento conserve los mismos valores que la Directiva.

La Ley de Cookies exige que los usuarios presten un consentimiento informado antes de que se puedan almacenar y rastrear cookies en sus dispositivos.

La Ley de Cookies requiere que los usuarios proporcionen su consentimiento informado antes de que se puedan almacenar y rastrear cookies en sus dispositivos. Puedes leer más sobre la Ley de Cookies aquí .

💡 Para saber más sobre las reglas de consentimiento de cookies de la UE que se aplican en cada país, consulta aquí nuestra guía RGPD y consentimiento de cookies: tabla de resumen .

Derechos de los usuarios

El derecho a ser informado

Las organizaciones deben proporcionar a los usuarios información sobre las actividades de tratamiento de datos que realizan. Se debe proporcionar esta información en el momento en el que se obtienen los datos personales, normalmente a través de un aviso o política de privacidad. La información debe ser concisa, transparente, comprensible, fácilmente accesible, gratuita y debe estar escrita en un lenguaje claro y sencillo (especialmente si se dirige a un menor).

Si los datos se recopilan del usuario al que se refieren, entonces se le debe proporcionar la información de privacidad en el momento en el que se obtienen dichos datos. Sin embargo, si los datos personales se obtienen de una fuente distinta al usuario individual, se le deberá proporcionar a este último la información de privacidad dentro de un “período razonable” desde la obtención de los datos. Este período puede ser como máximo de un mes en general ; si utilizas los datos para comunicarte con el usuario, la divulgación debe hacerse , como tarde, cuando se produzca la primera comunicación.

El derecho de acceso

Los usuarios tienen derecho a acceder a sus datos personales y a la información sobre cómo se tratan los mismos. Si el usuario lo solicita, los responsables del tratamiento deben proporcionarle un resumen de las categorías de datos que se están tratando, una copia de los datos y los detalles del tratamiento. Los detalles deben incluir la finalidad del tratamiento, cómo se adquirieron los datos y con quién se han compartido.

Además, la organización debe proporcionar a la persona solicitante una copia de sus datos personales de manera gratuita (se puede cobrar una tarifa razonable por copias adicionales). Se deben proporcionar los datos solicitados al individuo sin retraso injustificado y, a más tardar, en el plazo de un mes desde la recepción de la solicitud. El número exacto de días que la organización tiene para satisfacer una petición depende del mes en el que se realice dicha solicitud.

El derecho de acceso está íntimamente ligado al derecho a la portabilidad de los datos, pero se trata de dos derechos separados. Por ello, es importante que exista una clara distinción entre ambos derechos en tu política de privacidad.

El derecho de rectificación

Los usuarios tienen derecho a solicitar la rectificación de sus datos personales si son inexactos o están incompletos. Este derecho implica que la rectificación debe comunicarse a todos y cada uno de los terceros involucrados en el tratamiento de los datos en cuestión, a no ser que hacerlo sea imposible o desproporcionadamente difícil. Si el usuario lo solicita, la organización también debe informarle sobre estos terceros destinatarios.

El plazo de respuesta de las solicitudes puede prorrogarse en otros dos meses si son complejas o si se han recibido numerosas peticiones del mismo individuo. Se debe informar al titular de los datos dentro del mes siguiente a la recepción de la solicitud explicando por qué es necesaria la prórroga. Las solicitudes deben resolverse sin retrasos injustificados y, a más tardar, en el plazo de un mes desde la recepción de la petición.

En la mayoría de los casos, las organizaciones deben atender la solicitud de rectificación sin coste para el solicitante. Sin embargo, si se determina que la petición es “manifiestamente infundada o excesiva”, se podrá cobrar una “tasa razonable” para atender la solicitud o bien negarse a resolverla. En ambas situaciones, la decisión tendrá que estar legítimamente justificada. Si se rechaza una solicitud, se deberá informar de ello al titular de los datos (así como proporcionarle la justificación) sin retrasos innecesarios y en el plazo de un mes desde la recepción de la solicitud.

El derecho de oposición

Según el RGPD, los usuarios tienen derecho a oponerse a ciertas actividades de tratamiento de sus datos personales realizadas por el responsable del tratamiento. En pocas palabras, el usuario puede oponerse al tratamiento de sus datos siempre que se base en los intereses legítimos del responsable del tratamiento, o en la ejecución de una misión en interés público o en el ejercicio de competencias oficiales, o bien para fines de investigación científica o histórica o fines estadísticos. El usuario tiene que justificar su oposición, a no ser que el tratamiento de sus datos se lleve a cabo con fines de marketing, en cuyo caso no se necesita ninguna razón para ejercer este derecho.

Si se recibe una objeción al tratamiento de los datos personales y no existen razones para rechazarla, se debe cesar dicha actividad de tratamiento. Si bien la actividad de tratamiento (incluido el almacenamiento) debe cesar para las actividades de tratamiento particulares a las que se haya opuesto el usuario, la eliminación de los datos puede no ser apropiada si esos datos se tratan con otros fines (incluyendo el cumplimiento de obligaciones legales o contractuales), ya que los datos se deberán conservar para esos fines.

Las solicitudes deben resolverse sin retrasos injustificados y, a más tardar, en el plazo de un mes desde la recepción de la petición. El plazo de respuesta de las solicitudes puede prorrogarse en otros dos meses si son complejas o si se han recibido numerosas peticiones del mismo individuo. Se debe informar al titular de los datos dentro del mes siguiente a la recepción de la solicitud explicando por qué es necesaria la prórroga.

En la mayoría de los casos, las organizaciones deben atender la objeción sin coste para el solicitante. Sin embargo, si se determina que la petición es “manifiestamente infundada o excesiva”, se podrá cobrar una “tasa razonable” para atender la solicitud o bien negarse a resolverla. En ambas situaciones, la decisión tendrá que estar legítimamente justificada. Si se rechaza una solicitud, se debe informar al titular de los datos (así como proporcionarle la justificación) sin retrasos innecesarios y en el plazo de un mes desde la recepción de la solicitud.

El derecho a la portabilidad de los datos

Los usuarios tienen derecho a obtener (en un formato electrónico legible) sus datos personales con el fin de transferirlos de un responsable del tratamiento a otro, sin que el encargado del tratamiento se lo impida. Tanto los datos ‘proporcionados’ como ‘observados’ se incluyen en esta regla. Este derecho solo se aplica a datos personales, y por lo tanto, no afecta a los datos realmente anónimos (datos que no se pueden vincular con el individuo).

Las solicitudes deben resolverse sin retrasos injustificados y, a más tardar, en el plazo de un mes desde la recepción de la petición. El plazo de respuesta de las solicitudes puede prorrogarse en otros dos meses si son complejas o si se han recibido numerosas peticiones del mismo individuo. Se debe informar al titular de los datos dentro del mes siguiente a la recepción de la solicitud explicando por qué es necesaria la prórroga.

En la mayoría de los casos, las organizaciones deben atender la solicitud sin coste para el solicitante. Sin embargo, si se determina que la petición es “manifiestamente infundada o excesiva”, se podrá cobrar una “tasa razonable” para atender la solicitud o bien negarse a resolverla. En ambas situaciones, la decisión tendrá que estar legítimamente justificada. Si se rechaza una solicitud, se debe informar al titular de los datos (así como proporcionarle la justificación) sin retrasos innecesarios y en el plazo de un mes desde la recepción de la solicitud.

El derecho de supresión

Los usuarios tienen derecho a solicitar que se eliminen sus datos personales y a que se cese toda difusión de los mismos cuando estos dejen de ser relevantes para su fin original, cuando los usuarios hayan retirado su consentimiento o cuando los datos se hayan tratado ilegalmente. Las solicitudes deben resolverse sin retrasos injustificados y, a más tardar, en el plazo de un mes desde la recepción de la petición.

El plazo de respuesta de las solicitudes puede prorrogarse en otros dos meses si son complejas o si se han recibido numerosas peticiones del mismo individuo. Se debe informar al titular de los datos dentro del mes siguiente a la recepción de la solicitud explicando por qué es necesaria la prórroga.

Se puede rechazar el derecho de supresión:

  • cuando los datos personales se traten con fines de archivo en interés público (por ejemplo, investigación científica);
  • cuando los datos sean necesarios para la defensa legal;
  • para el cumplimiento de una obligación legal;
  • para el cumplimiento de una misión realizada en interés público;
  • en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
  • cuando los datos sean necesarios para el ejercicio del derecho de libertad de expresión;
  • cuando el tratamiento de los datos se realice por razones sanitarias y de interés público.

El derecho a limitar el tratamiento

Los usuarios tienen derecho a limitar el tratamiento de sus datos personales en los siguientes casos:

  • cuando hayan impugnado su exactitud;
  • cuando el usuario se haya opuesto al tratamiento de sus datos y la organización esté considerando si tiene un motivo legítimo que prevalezca sobre este derecho;
  • cuando el tratamiento de los datos sea ilícito pero el usuario solicite la limitación del tratamiento en lugar de su supresión;
  • cuando los datos ya no sean necesarios pero el usuario los necesite para formular, ejercitar o defender una reclamación.

Se debe comunicar la limitación a todos y cada uno de los terceros destinatarios involucrados en el tratamiento de los datos en cuestión, a no ser que hacerlo sea imposible o desproporcionadamente difícil. Si el usuario lo solicita, la organización también debe informarle sobre estos terceros destinatarios.

Las solicitudes deben resolverse sin retrasos injustificados y, a más tardar, en el plazo de un mes desde la recepción de la petición. El plazo de respuesta de las solicitudes puede prorrogarse en otros dos meses si son complejas o si se han recibido numerosas peticiones del mismo individuo. Se debe informar al titular de los datos dentro del mes siguiente a la recepción de la solicitud explicando por qué es necesaria la prórroga.

En la mayoría de los casos, las organizaciones deben atender la solicitud de rectificación sin coste para el solicitante. Sin embargo, si se determina que la petición es “manifiestamente infundada o excesiva”, se podrá cobrar una “tasa razonable” para atender la solicitud o bien negarse a resolverla. En ambas situaciones, la decisión tendrá que estar legítimamente justificada. Si se rechaza una solicitud, se debe informar al titular de los datos (así como proporcionarle la justificación) sin retrasos innecesarios y en el plazo de un mes desde la recepción de la solicitud.

Derechos relacionados con la toma de decisiones automatizadas y la elaboración de perfiles

Los usuarios tienen derecho a no ser objeto de una decisión cuando esta se base en el tratamiento automatizado o la elaboración de perfiles y produzca efectos jurídicos en el usuario o le afecte significativamente de forma similar.

Las organizaciones tan solo pueden llevar a cabo una toma de decisiones automatizadas si es necesaria para la ejecución de un contrato, está autorizada por una ley estatal de la UE aplicable al responsable del tratamiento, no tiene efectos jurídicos en el usuario o le afecta significativamente de forma similar, o se basa en el consentimiento explícito de la persona. Tan solo se pueden tomar decisiones automatizadas basadas en categorías especiales de datos con el consentimiento explícito del usuario o por razones de interés público sustanciales.

Transferencias de datos transfronterizas

El RGPD permite la transferencia de datos de residentes en la UE fuera del Espacio Económico Europeo (EEE) solo si se cumplen una serie de condiciones. Bajo estas condiciones, el país o la región al que se transfieran los datos debe tener un nivel “adecuado” de protección de datos según los estándares de la UE. Incluso cuando no se considere adecuado, las transferencias de datos se permitirán si se utilizan cláusulas contractuales tipo o normas corporativas vinculantes.

El RGPD permite la transferencia de datos de residentes en la UE fuera del Espacio Económico Europeo (EEE) solo si se cumplen una serie de condiciones

En cuanto a la transferencia de datos a EE. UU., se requiere el consentimiento informado del usuario (en este caso, el consentimiento se debe prestarse sobre la base de información suficientemente precisa, incluyendo información sobre la falta de protección en el tercer país).

Privacidad desde el diseño y por defecto

La protección de datos debería incluirse desde el inicio en el diseño y desarrollo de los procesos empresariales y de infraestructura. Esto significa que la configuración de privacidad debe diseñarse para garantizar a los usuarios un nivel “alto” de protección por defecto y que deben adoptarse las medidas necesarias para que el ciclo de vida del tratamiento de los datos se ajuste a los requisitos del RGPD.

Notificación de violación

El responsable del tratamiento debe informar a la autoridad de control en el plazo de 72 horas desde que tuvo conocimiento de la violación. Si un encargado realiza el tratamiento de los datos por cuenta del responsable del tratamiento, el encargado deberá informar al responsable tan pronto como tenga conocimiento de la violación. Según esta regla, también se debe informar a los usuarios (dentro del mismo plazo) a no ser que los datos filtrados estuvieran protegidos mediante cifrado (por lo que los datos serían ilegibles para el intruso) o, en general, que sea muy improbable que la violación pueda resultar en un riesgo a los derechos y libertades del individuo. En cualquier caso, el responsable del tratamiento debe mantener un registro de las violaciones que se hayan producido a fin de demostrar ante la autoridad supervisora que cumple estas disposiciones.

Delegados de Protección de Datos

El Delegado de Protección de Datos (DPD) es una persona con un conocimiento experto de las leyes de protección de datos cuyo papel consiste en ayudar al responsable o al encargado del tratamiento a vigilar la conformidad interna con el RGPD y supervisar la estrategia de protección de datos y su aplicación. El DPD también debe ser competente en la gestión de procesos informáticos, la seguridad de los datos y otras cuestiones críticas relacionadas con el tratamiento de datos personales y sensibles.

El RGPD exige que se designe a un DPD específicamente en los siguientes casos:

  • Cuando se produzca un seguimiento a gran escala, regular y sistemático de los usuarios;
  • Cuando el tratamiento lo lleve a cabo una autoridad pública (excepto juzgados o autoridades judiciales independientes);
  • Cuando la organización realice operaciones complejas con los datos de los usuarios (en particular con datos sensibles de los usuarios).

El nombramiento de un DPD no depende, por lo tanto, del número de empleados, sino de la naturaleza de las actividades de tratamiento de datos. Si tu organización no se encuentra en una de estas categorías, no es obligatorio que nombres un DPD.

Mantener un registro de las actividades de tratamiento de datos

El RGPD exige que tanto los responsables como los encargados del tratamiento mantengan actualizado un registro “completo y exhaustivo” de las actividades de tratamiento de datos particulares que lleven a cabo.

El registro completo y exhaustivo de las actividades de tratamiento se exige expresamente en aquellos casos en los que dichas actividades:

  • no son ocasionales, o
  • pueden entrañar un riesgo para los derechos y libertades de los usuarios; o
  • implican el manejo de “categorías especiales de datos”; o
  • se llevan a cabo por una organización que tiene más de 250 empleados.

En la práctica, esto incluye a casi todos los responsables y encargados del tratamiento de datos.

El registro de las actividades de tratamiento de datos debe realizarse por escrito. Si bien se aceptan tanto los formularios en papel como los electrónicos, es una buena práctica utilizar un método electrónico de registro para facilitar las modificaciones.

El registro del responsable del tratamiento debe incluir:

  • El nombre y los datos de contacto del responsable del tratamiento y, en su caso, del representante del responsable y el DPD;
  • Los fines de las actividades de tratamiento de datos;
  • La descripción de las distintas categorías de usuarios y datos;
  • Las categorías de los destinatarios de los datos, incluidos los destinatarios de terceros países (que no sean miembros de la UE) u organizaciones internacionales;
  • Las transferencias de datos personales a un tercer país y la identificación de dicho país u organización internacional, incluyendo la documentación de las garantías adecuadas (cuando corresponda);
  • Plazos previstos para la supresión de las distintas categorías de datos (cuando sea posible);
  • Una descripción general de las medidas de seguridad técnicas y organizativas (cuando sea posible).

El registro del encargado del tratamiento debe incluir:

  • El nombre y los datos de contacto del responsable del tratamiento y del encargado del tratamiento que actúa en su nombre y, en su caso, del representante del responsable o del encargado y el DPD;
  • Las categorías de tratamiento de datos llevadas a cabo en nombre de cada responsable del tratamiento;
  • Las transferencias de datos personales a un tercer país y la identificación de dicho país u organización internacional, incluyendo la documentación de las garantías adecuadas (cuando corresponda);
  • Plazos previstos para la supresión de las distintas categorías de datos (cuando sea posible);
  • Una descripción general de las medidas de seguridad técnicas y organizativas (cuando sea posible).
Advertencia

Incluso si tus actividades de tratamiento de datos no se encuentran dentro de las situaciones mencionadas anteriormente, tu deber de informar a los usuarios (artículos 13 y 14) te impone la obligación de mantener un registro básico con los datos que recopilas, sus fines, todas las partes implicadas en el tratamiento de los mismos y el plazo de conservación de los datos, lo que es obligatorio para todos.

De hecho, es posible que te resulte bastante útil realizar auditorías periódicas de información sobre los datos que posee tu organización, ya que pueden ayudarte no solo a cumplir fácilmente con tus obligaciones de mantenimiento de un registro, sino también a facilitar la revisión y optimización de tus procedimientos de tratamiento de datos.

Nuestra Solución Internal Privacy Management también resulta muy útil en este aspecto, ya que simplifica mucho el proceso técnico de creación y mantenimiento de tu Registro de las Actividades de Tratamiento de Datos. Puedes leer más sobre cómo puede ayudarte aquí o consultar directamente la guía de configuración y el vídeo aquí (en inglés).

Evaluación de Impacto Relativa a la Protección de Datos (EIPD)

La evaluación de impacto relativa a la protección de datos (EIPD) es un procedimiento utilizado para ayudar a las organizaciones a cumplir de forma efectiva con el RGPD y garantizar que la organización ponga en práctica los principios de responsabilidad proactiva, privacidad desde el diseño y privacidad por defecto. El procedimiento de EIPD debe quedar registrado por escrito. Si bien la publicación de la EIPD no es un requisito legal general del RGPD, se recomienda que los responsables del tratamiento de datos personales consideren publicar sus EIPD total o parcialmente como un gesto de transparencia y responsabilidad proactiva, especialmente en aquellos casos en que estén involucradas miembros del público (por ejemplo, cuando una autoridad pública lleva a cabo la EIPD).

Una EIPD efectiva es muy útil a la hora de cumplir con el requisito de “privacidad desde el diseño” y ayuda a las organizaciones a detectar y solucionar problemas en una fase temprana del proceso, mitigando así tanto el riesgo para los datos de los usuarios como el riesgo de multas, sanciones y daños reputacionales de la organización. La EIPD tan solo es obligatoria en aquellos casos en los que la actividad de tratamiento de datos implique un alto riesgo para los usuarios (esto se aplica particularmente cuando se introducen nuevas tecnologías de tratamiento).

Sin embargo, si no estás seguro de si tu actividad de tratamiento se considera de “alto riesgo”, se recomienda realizar una EIPD de todas formas, ya que es una herramienta útil para garantizar el cumplimiento de la ley.

Las actividades de tratamiento consideradas de “alto riesgo” incluyen:

  • Tratamiento a gran escala de datos sensibles;
  • Observación sistemática de una zona de acceso público (por ejemplo, un CCTV);
  • Situaciones en las que existen amplias evaluaciones automatizadas de datos personales que tienen como objetivo influir en decisiones que pueden afectar a la vida del usuario de forma significativa.

Las EIPD también pueden ser necesarias en otras circunstancias (que dependen de una evaluación caso por caso) incluyendo, entre otros, el tratamiento de datos relacionados con personas vulnerables (por ejemplo, niños o ancianos), las transferencias de datos transfronterizas fuera de la UE y los datos utilizados en la elaboración de perfiles (por ejemplo, calificaciones de crédito). Puedes leer más sobre los criterios aquí [PDF].

La EIPD debe incluir:

  • Descripciones completas de los datos que se tratan;
  • El fin de la actividad de tratamiento de datos (y, cuando sea posible, información sobre el interés legítimo del responsable del tratamiento);
  • Una evaluación del alcance y la necesidad de la actividad de tratamiento de datos con respecto a su finalidad;
  • Una evaluación del riesgo planteado a los usuarios;
  • Las medidas establecidas para abordar dicho riesgo.

Consecuencias del incumplimiento

Las consecuencias jurídicas derivadas del incumplimiento pueden incluir multas de hasta 20 millones de euros o del 4% del volumen de negocio mundial anual (lo que sea mayor). Igualmente preocupantes son el resto de sanciones potenciales que se pueden imponer a aquellas organizaciones que incumplan la ley. Estas sanciones pueden incluir apercibimientos oficiales (cuando se trate de la primera infracción cometida), auditorías periódicas de protección de datos e indemnizaciones por daños y perjuicios.

Las consecuencias legales derivadas del incumplimiento pueden incluir multas de hasta 20 millones de euros o del 4% de la facturación mundial anual

El RGPD otorga a los usuarios un derecho expreso a presentar una reclamación ante una autoridad de control si consideran que alguna de las actividades de tratamiento de sus datos personales se ha llevado a cabo en violación de las disposiciones del RGPD. Por ejemplo, si se presenta un informe a la autoridad competente sobre una infracción legal, dicha autoridad puede decidir realizar una auditoría de las operaciones de tratamiento de datos de la organización. Si se descubre que alguna actividad de tratamiento se ha llevado a cabo de forma ilícita, no solo se impone una multa, sino que se le puede prohibir a la organización volver a utilizar tanto los datos de la consulta como todos aquellos datos obtenidos a través de mecanismos similares. Esto significa que si el uso indebido estaba relacionado con la recogida de direcciones de correo electrónico, la organización corre el riesgo de que se le prohíba utilizar toda la lista de correos electrónicos asociada.

El RGPD también otorga a los usuarios el derecho a recibir una compensación por los daños y perjuicios causados por el incumplimiento de las normas por parte de una organización, lo que expone a los infractores a posibles litigios.

Cómo te puede ayudar iubenda

En términos de conformidad legal, uno de los primeros pasos lógicos es asegurarte de que tus documentos cumplen con la normativa. En iubenda, adoptamos un enfoque integral para el cumplimiento de la legislación de protección de datos. Creamos soluciones teniendo en cuenta las normativas más estrictas, dándote todas las opciones posibles para que personalices tus documentos según tus necesidades. De esta forma, te ayudaremos a cumplir con tus obligaciones legales, reduciendo el riesgo de litigios y protegiendo a tus clientes, lo que genera confianza y credibilidad.

Estos son los elementos básicos que necesitas para lograr una conformidad legal plena:

Política de privacidad

Este documento jurídico debe indicar la forma en que tu sitio web o app recoge, trata, almacena, comparte y protege los datos de los usuarios, así como los fines para hacerlo y los derechos de los usuarios en relación con sus datos personales.

Con nuestro Generador de Políticas de Privacidad y de Cookies puedes crear una política de privacidad atractiva, precisa y redactada por abogados e integrarla a la perfección con tu sitio web o tu app. Puedes añadir cualquiera de nuestras cláusulas ya creadas con tan solo pulsar un botón o redactar fácilmente tu propia cláusula personalizada mediante nuestro formulario integrado.

La política de privacidad también incluye la opción de añadir una política de cookies (es necesaria si tu sitio web o app utiliza cookies). Las políticas pueden personalizarse según tus necesidades y un equipo jurídico internacional las mantiene al día de forma remota.

Para obtener más información sobre las políticas de privacidad, haz clic aquí.

Cookie Solution

Como el uso de cookies puede implicar tanto el tratamiento de datos de los usuarios como la instalación de archivos en sus dispositivos, estas herramientas son una gran fuente de preocupación en lo que respecta a los derechos de privacidad de datos de los usuarios. Por esta razón, es esencial que tu sitio web o app cumpla con la Directiva ePrivacy de la UE (Ley de Cookies). Para responder a esta necesidad, hemos creado una Cookie Solution completa, que simplifica la conformidad con las disposiciones de la Ley de Cookies europea. Es una solución de consentimiento de cookies y política de cookies fácil de utilizar (incluyendo la gestión del banner), rápida y que no requiere grandes inversiones.

Para obtener más información sobre nuestra Cookie Solution, haz clic aquí.

Muchas autoridades de protección de datos de la UE han reforzado sus requisitos y han alineado sus reglas sobre cookies y rastreadores con los requisitos del RGPD. Más específicamente, se requiere que registres y almacenes pruebas de las preferencias de tus usuarios.

Los Registros de Preferencias de Cookies ahora están disponibles en nuestra Cookie Solution. Clic aquí para obtener más información acerca de cómo activar los registros de preferencias de cookies dentro de tu Cookie Solution.

Internal Privacy Management

Cumplir las normas del RGPD en la práctica puede suponer todo un desafío técnico. Esto es especialmente cierto en cuanto a la gestión de la privacidad interna. Para cumplir con la ley, debes ser capaz de realizar un seguimiento y describir:

  • qué datos recopilas;
  • para qué fines se recopilan;
  • las bases jurídicas del tratamiento;
  • la política de conservación de datos para cada actividad de tratamiento;
  • las partes implicadas (tanto dentro como fuera de tu organización);
  • las medidas de seguridad;
  • las transferencias de datos fuera de la UE, si las hubiera; y
  • otros detalles que puedan aplicarse a toda la empresa, incluyendo los datos de los empleados.

Nuestra solución te ayuda a registrar y gestionar fácilmente todas las actividades de tratamiento de datos dentro de tu organización, para que puedas cumplir de forma sencilla con los requisitos del RGPD y con tus obligaciones legales. Te permite crear un registro de tus actividades de tratamiento de datos: añade actividades de tratamiento de entre nuestras más de 1.600 opciones preconfiguradas, divídelas por áreas (subdivisiones en las que las actividades de tratamiento son las mismas), asigna encargados del tratamiento y otros cargos y documenta las bases jurídicas y otros registros exigidos por el RGPD.

Importante: aunque tus actividades de tratamiento de datos no se incluyan en ninguna de las situaciones mencionadas anteriormente, tu deber de informar a los usuarios (artículos 13 y 14) te impone la obligación de mantener un registro básico con los datos que recopilas, sus fines, todas las partes implicadas en el tratamiento de los mismos y el plazo de conservación de los datos, lo que es obligatorio para todos

Además, aunque el RGPD es una razón muy común para esmerarse en la gestión de la privacidad interna, nuestra herramienta no está diseñada exclusivamente para su aplicación bajo el RGPD. También se puede utilizar para la gestión de la privacidad interna en general, incluso por empresas que no tienen ningún usuario o cliente en la UE.

Para descubrir todas las funciones de nuestra herramienta de Internal Privacy Management, haz clic aquí o consulta nuestra guía aquí.

Gestionar y registrar detalladamente el consentimiento

Para cumplir con la legislación en materia de privacidad, especialmente con el RGPD, las empresas deben almacenar una prueba del consentimiento para poder demostrar que este fue efectivamente obtenido. Este registro debe mostrar:

  • cuándo se prestó el consentimiento;
  • quién prestó el consentimiento;
  • cuáles fueron las preferencias del usuario en el momento de la obtención;
  • qué aviso legal o de privacidad se le presentó en el momento de la obtención del consentimiento;
  • qué formulario de obtención del consentimiento se le presentó en el momento de la recogida.

Nuestra Consent Solution simplifica este proceso, ayudándote a almacenar fácilmente la prueba del consentimiento y a gestionar el consentimiento y las preferencias de privacidad de cada uno de tus usuarios. Te permite rastrear todos los aspectos del consentimiento (incluyendo el aviso legal o de privacidad y el formulario de consentimiento presentado al usuario en el momento de la obtención del consentimiento), así como las preferencias expresadas por el usuario.

Para utilizarla, simplemente activa la Consent Solution y obtén la clave API. Después, instala la solución a través de la API HTTP o el widget JS. Eso es todo, ahora podrás recuperar los consentimientos en cualquier momento y mantenerlos actualizados.

Para descubrir todas las funciones de nuestra Consent Solution , haz clic aquí o consulta nuestra guía aquí .

Adapta tu sitio web al RGPD en cuestión de minutos

Genera tus documentos

Nota: ten en cuenta que, de vez en cuando, las leyes se modifican y actualizan. Por ello, es importante que te asegures de que tus políticas cumplen con los requisitos más recientes. Por esta razón, utilizamos una función de integración y NO un simple copiar y pegar . Con este método, puedes estar seguro de que tu política está actualizada, ya que nuestro equipo jurídico la mantiene al día de forma remota.

Más información