Las siglas RGPD hacen referencia al Reglamento General de Protección de Datos (Reglamento (UE) 2016/679), que, esencialmente, especifica cómo se deben tratar los datos personales según la ley (incluyendo cómo se recopilan, usan, protegen o cómo se interacciona con ellos en general).
Su objetivo es fortalecer la protección de datos para todas las personas cuya información personal se encuentre dentro de su ámbito de aplicación, devolviéndoles el control de sus datos personales.
En el marco del RGPD, se consideran datos personales a todos aquellos datos que se relacionen con una persona viva identificada o identificable. Esto incluye fragmentos de información que, cuando se recogen juntos, pueden conducir a la identificación de una persona.
Esto se aplica incluso a datos que han sido seudonimizados o encriptados, siempre que dicho cifrado/anonimizado sea reversible. En lo que se refiere al cumplimiento de las obligaciones de protección de datos establecidas por el reglamento, esto significa que las claves de descifrado deberán mantenerse separadas de los datos seudonimizados .
Por ejemplo, una empresa de internet puede recopilar información de sus usuarios a través de su sitio web y almacenarla en un servicio en la nube proporcionado por un tercero. En este caso, la empresa de internet sería el responsable del tratamiento y la organización que presta el servicio en la nube sería el encargado del tratamiento.
El RGPD se aplica cuando:
Este ámbito de aplicación alcanza a casi todas las empresas y, por lo tanto, significa que el RGPD te puede afectar independientemente de que tu organización tenga sede en la UE o no. De hecho, esta encuesta de PwC estableció que el RGPD es una de las principales prioridades de protección de datos para el 92% de las empresas estadounidenses encuestadas.
Un error muy común es pensar que el RGPD tan solo protege a los usuarios de la UE, sin embargo, la protección ofrecida por el RGPD también se extiende a los usuarios fuera de la UE si el responsable del tratamiento de los datos tiene su sede en la UE. . Por lo tanto, si eres un responsable del tratamiento de datos personales y tienes tu sede en la UE debes, por defecto, aplicar los estándares de protección del RGPD a TODOS tus usuarios.
💡 El RGPD entró en vigor el 25 de Mayo de 2018.
Las condiciones de aplicabilidad del RGPD se establecen desde un punto de vista material y territorial en los artículos 2 y 3 del Reglamento. Para determinar si una actividad de tratamiento de datos determinada está exenta de la aplicación de esta norma, tenemos que considerar ambos aspectos.
El RGPD se aplica al tratamiento de datos personales . Por lo tanto, el RGPD no se aplica a los datos empresariales, como la denominación social de una empresa y su dirección. Sin embargo, hay que tener cuidado en este sentido, porque en una empresa normalmente trabajan “personas físicas”, por lo que cualquier dato que se refiera a ellas se considerará “personal”, independientemente de si el tratamiento de dichos datos se produce en un contexto de Negocio a Consumidor (B2C) o de Negocio a Negocio (B2B).
Además, los datos personales no entrarían dentro del ámbito de aplicación del RGPD cuando:
Desde un punto de vista práctico, la única excepción relevante es la última: por ejemplo, si recopilas datos personales de tus amigos para tu propia lista de contactos, no estás sujeto al RGPD.
Además, y sin perjuicio de lo anterior, ya hemos mencionado en qué condiciones se aplica el RGPD desde un punto de vista territorial.
En consecuencia, para que una actividad de tratamiento no esté sujeta al RGPD, se deben dar acumulativamente las siguientes condiciones:
Veamos algunos ejemplos prácticos:
Según el RGPD, tan solo se pueden tratar datos personales si existe al menos una base jurídica para hacerlo.
Las bases jurídicas son:
Las organizaciones deben obtener el consentimiento verificable de los usuarios.
Con respecto al consentimiento de los menores, las organizaciones están obligadas a obtener el consentimiento verificable de un progenitor o tutor legal, a no ser que el servicio ofertado sea un servicio preventivo o de asesoramiento. Las organizaciones deben realizar esfuerzos razonables (empleando la tecnología disponible) para verificar que la persona que otorga el consentimiento realmente es el titular de la patria potestad o tutela sobre el niño.
En general, al obtener el consentimiento para el tratamiento de datos, las organizaciones no deben utilizar términos demasiado complicados o indescifrables. Esto incluye la jerga legal y/o los tecnicismos innecesarios. Esto significa que los términos y las políticas de privacidad deben presentarse de forma legible (puedes ver la nuestra aquí), utilizando un lenguaje y unas cláusulas comprensibles, de forma que los usuarios sean plenamente conscientes de aquello a lo que están consintiendo y de las consecuencias de dicho consentimiento.
El Reglamento prohíbe expresamente las casillas preseleccionadas
Las organizaciones deben ser transparentes en cuanto a los fines de su recogida de datos y el consentimiento debe ser “explícito y otorgado libremente”. Esto significa que el mecanismo para la obtención del consentimiento debe ser inequívoco e incluir una clara acción “afirmativa” (el Reglamento prohíbe específicamente las casillas preseleccionadas y otros mecanismos similares de “exclusión voluntaria”). El Reglamento también otorga el derecho específico a retirar el consentimiento, por lo tanto, retirarlo debe ser tan fácil como otorgarlo.
Como el consentimiento según el RGPD es un tema tan importante, es obligatorio que mantengas un registro claro y que seas capaz de demostrar que el usuario ha otorgado su consentimiento, ya que en caso de que surjan problemas, la carga de la prueba recae en el responsable del tratamiento, por lo que mantener un registro preciso es fundamental.
El registro debería incluir:
A continuación, puedes ver unos ejemplos de mantenimiento del registro conforme a la ley frente a otros no conformes:
| Registro no conforme | Registro conforme |
|---|---|
| Mantener simplemente una hoja de cálculo con los nombres de los clientes y si se prestó o no el consentimiento | Asegurarse de mantener una copia del formulario fechado y firmado por el cliente que muestre la acción realizada por el mismo para otorgar su consentimiento para el tratamiento de datos específico. |
| Mantener simplemente la fecha y hora del consentimiento vinculadas a una dirección IP, con un enlace web a tu formulario de recogida de datos y tu política de privacidad. | Mantener un registro completo que incluya la identificación del usuario y los datos proporcionados junto con una marca de tiempo. También debes mantener una copia de la versión del formulario de recogida de datos y de cualquier otro documento relevante que estuvieras utilizando en dicha fecha. |
Mantener un registro válido, si bien es obligatorio, puede ser todo un desafío técnico. Nuestra Consent Solution simplifica este proceso, permitiéndote ver, gestionar y exportar tu registro de consentimientos fácilmente. Puedes leer más sobre nuestra solución aquí .
Una nota sobre el consentimiento : no es la ÚNICA base jurídica que una organización puede elegir para tratar los datos de los usuarios, sino que es tan solo una de las múltiples “Bases Jurídicas” existentes. Por lo tanto, en algunos casos, las empresas pueden emplear otras bases jurídicas (dentro de lo previsto por el RGPD) para sus actividades de tratamiento de datos (sin embargo, para determinar si se aplica otra base jurídica a tus actividades de tratamiento de datos, es mejor consultarlo con un abogado ). Dicho esto, siempre habrá actividades de tratamiento de datos donde el consentimiento sea la única opción, o bien la mejor o más segura.
Otra ley de la UE que merece la pena mencionar en este punto es la Directiva ePrivacy (también conocida como la Ley de Cookies) ). Esta norma todavía está en vigor, ya que no ha sido derogada por el RGPD. En el futuro, la Directiva ePrivacy será reemplazada por el Reglamento ePrivacy, que trabajará junto con el RGPD . Se espera que este próximo Reglamento conserve los mismos valores que la Directiva.
La Ley de Cookies exige que los usuarios presten un consentimiento informado antes de que se puedan almacenar y rastrear cookies en sus dispositivos.
La Ley de Cookies requiere que los usuarios proporcionen su consentimiento informado antes de que se puedan almacenar y rastrear cookies en sus dispositivos. Puedes leer más sobre la Ley de Cookies aquí .
💡 Para saber más sobre las reglas de consentimiento de cookies de la UE que se aplican en cada país, consulta aquí nuestra guía RGPD y consentimiento de cookies: tabla de resumen .
Las organizaciones deben proporcionar a los usuarios información sobre las actividades de tratamiento de datos que realizan. Se debe proporcionar esta información en el momento en el que se obtienen los datos personales, normalmente a través de un aviso o política de privacidad. La información debe ser concisa, transparente, comprensible, fácilmente accesible, gratuita y debe estar escrita en un lenguaje claro y sencillo (especialmente si se dirige a un menor).
Si los datos se recopilan del usuario al que se refieren, entonces se le debe proporcionar la información de privacidad en el momento en el que se obtienen dichos datos. Sin embargo, si los datos personales se obtienen de una fuente distinta al usuario individual, se le deberá proporcionar a este último la información de privacidad dentro de un “período razonable” desde la obtención de los datos. Este período puede ser como máximo de un mes en general ; si utilizas los datos para comunicarte con el usuario, la divulgación debe hacerse , como tarde, cuando se produzca la primera comunicación.
Los usuarios tienen derecho a acceder a sus datos personales y a la información sobre cómo se tratan los mismos. Si el usuario lo solicita, los responsables del tratamiento deben proporcionarle un resumen de las categorías de datos que se están tratando, una copia de los datos y los detalles del tratamiento. Los detalles deben incluir la finalidad del tratamiento, cómo se adquirieron los datos y con quién se han compartido.
Además, la organización debe proporcionar a la persona solicitante una copia de sus datos personales de manera gratuita (se puede cobrar una tarifa razonable por copias adicionales). Se deben proporcionar los datos solicitados al individuo sin retraso injustificado y, a más tardar, en el plazo de un mes desde la recepción de la solicitud. El número exacto de días que la organización tiene para satisfacer una petición depende del mes en el que se realice dicha solicitud.
El derecho de acceso está íntimamente ligado al derecho a la portabilidad de los datos, pero se trata de dos derechos separados. Por ello, es importante que exista una clara distinción entre ambos derechos en tu política de privacidad.
Los usuarios tienen derecho a solicitar la rectificación de sus datos personales si son inexactos o están incompletos. Este derecho implica que la rectificación debe comunicarse a todos y cada uno de los terceros involucrados en el tratamiento de los datos en cuestión, a no ser que hacerlo sea imposible o desproporcionadamente difícil. Si el usuario lo solicita, la organización también debe informarle sobre estos terceros destinatarios.
El plazo de respuesta de las solicitudes puede prorrogarse en otros dos meses si son complejas o si se han recibido numerosas peticiones del mismo individuo. Se debe informar al titular de los datos dentro del mes siguiente a la recepción de la solicitud explicando por qué es necesaria la prórroga. Las solicitudes deben resolverse sin retrasos injustificados y, a más tardar, en el plazo de un mes desde la recepción de la petición.
En la mayoría de los casos, las organizaciones deben atender la solicitud de rectificación sin coste para el solicitante. Sin embargo, si se determina que la petición es “manifiestamente infundada o excesiva”, se podrá cobrar una “tasa razonable” para atender la solicitud o bien negarse a resolverla. En ambas situaciones, la decisión tendrá que estar legítimamente justificada. Si se rechaza una solicitud, se deberá informar de ello al titular de los datos (así como proporcionarle la justificación) sin retrasos innecesarios y en el plazo de un mes desde la recepción de la solicitud.
Según el RGPD, los usuarios tienen derecho a oponerse a ciertas actividades de tratamiento de sus datos personales realizadas por el responsable del tratamiento. En pocas palabras, el usuario puede oponerse al tratamiento de sus datos siempre que se base en los intereses legítimos del responsable del tratamiento, o en la ejecución de una misión en interés público o en el ejercicio de competencias oficiales, o bien para fines de investigación científica o histórica o fines estadísticos. El usuario tiene que justificar su oposición, a no ser que el tratamiento de sus datos se lleve a cabo con fines de marketing, en cuyo caso no se necesita ninguna razón para ejercer este derecho.
Si se recibe una objeción al tratamiento de los datos personales y no existen razones para rechazarla, se debe cesar dicha actividad de tratamiento. Si bien la actividad de tratamiento (incluido el almacenamiento) debe cesar para las actividades de tratamiento particulares a las que se haya opuesto el usuario, la eliminación de los datos puede no ser apropiada si esos datos se tratan con otros fines (incluyendo el cumplimiento de obligaciones legales o contractuales), ya que los datos se deberán conservar para esos fines.
Las solicitudes deben resolverse sin retrasos injustificados y, a más tardar, en el plazo de un mes desde la recepción de la petición. El plazo de respuesta de las solicitudes puede prorrogarse en otros dos meses si son complejas o si se han recibido numerosas peticiones del mismo individuo. Se debe informar al titular de los datos dentro del mes siguiente a la recepción de la solicitud explicando por qué es necesaria la prórroga.
En la mayoría de los casos, las organizaciones deben atender la objeción sin coste para el solicitante. Sin embargo, si se determina que la petición es “manifiestamente infundada o excesiva”, se podrá cobrar una “tasa razonable” para atender la solicitud o bien negarse a resolverla. En ambas situaciones, la decisión tendrá que estar legítimamente justificada. Si se rechaza una solicitud, se debe informar al titular de los datos (así como proporcionarle la justificación) sin retrasos innecesarios y en el plazo de un mes desde la recepción de la solicitud.
Los usuarios tienen derecho a obtener (en un formato electrónico legible) sus datos personales con el fin de transferirlos de un responsable del tratamiento a otro, sin que el encargado del tratamiento se lo impida. Tanto los datos ‘proporcionados’ como ‘observados’ se incluyen en esta regla. Este derecho solo se aplica a datos personales, y por lo tanto, no afecta a los datos realmente anónimos (datos que no se pueden vincular con el individuo).
Las solicitudes deben resolverse sin retrasos injustificados y, a más tardar, en el plazo de un mes desde la recepción de la petición. El plazo de respuesta de las solicitudes puede prorrogarse en otros dos meses si son complejas o si se han recibido numerosas peticiones del mismo individuo. Se debe informar al titular de los datos dentro del mes siguiente a la recepción de la solicitud explicando por qué es necesaria la prórroga.
En la mayoría de los casos, las organizaciones deben atender la solicitud sin coste para el solicitante. Sin embargo, si se determina que la petición es “manifiestamente infundada o excesiva”, se podrá cobrar una “tasa razonable” para atender la solicitud o bien negarse a resolverla. En ambas situaciones, la decisión tendrá que estar legítimamente justificada. Si se rechaza una solicitud, se debe informar al titular de los datos (así como proporcionarle la justificación) sin retrasos innecesarios y en el plazo de un mes desde la recepción de la solicitud.
Los usuarios tienen derecho a solicitar que se eliminen sus datos personales y a que se cese toda difusión de los mismos cuando estos dejen de ser relevantes para su fin original, cuando los usuarios hayan retirado su consentimiento o cuando los datos se hayan tratado ilegalmente. Las solicitudes deben resolverse sin retrasos injustificados y, a más tardar, en el plazo de un mes desde la recepción de la petición.
El plazo de respuesta de las solicitudes puede prorrogarse en otros dos meses si son complejas o si se han recibido numerosas peticiones del mismo individuo. Se debe informar al titular de los datos dentro del mes siguiente a la recepción de la solicitud explicando por qué es necesaria la prórroga.
Se puede rechazar el derecho de supresión:
Los usuarios tienen derecho a limitar el tratamiento de sus datos personales en los siguientes casos:
Se debe comunicar la limitación a todos y cada uno de los terceros destinatarios involucrados en el tratamiento de los datos en cuestión, a no ser que hacerlo sea imposible o desproporcionadamente difícil. Si el usuario lo solicita, la organización también debe informarle sobre estos terceros destinatarios.
Las solicitudes deben resolverse sin retrasos injustificados y, a más tardar, en el plazo de un mes desde la recepción de la petición. El plazo de respuesta de las solicitudes puede prorrogarse en otros dos meses si son complejas o si se han recibido numerosas peticiones del mismo individuo. Se debe informar al titular de los datos dentro del mes siguiente a la recepción de la solicitud explicando por qué es necesaria la prórroga.
En la mayoría de los casos, las organizaciones deben atender la solicitud de rectificación sin coste para el solicitante. Sin embargo, si se determina que la petición es “manifiestamente infundada o excesiva”, se podrá cobrar una “tasa razonable” para atender la solicitud o bien negarse a resolverla. En ambas situaciones, la decisión tendrá que estar legítimamente justificada. Si se rechaza una solicitud, se debe informar al titular de los datos (así como proporcionarle la justificación) sin retrasos innecesarios y en el plazo de un mes desde la recepción de la solicitud.
Los usuarios tienen derecho a no ser objeto de una decisión cuando esta se base en el tratamiento automatizado o la elaboración de perfiles y produzca efectos jurídicos en el usuario o le afecte significativamente de forma similar.
Las organizaciones tan solo pueden llevar a cabo una toma de decisiones automatizadas si es necesaria para la ejecución de un contrato, está autorizada por una ley estatal de la UE aplicable al responsable del tratamiento, no tiene efectos jurídicos en el usuario o le afecta significativamente de forma similar, o se basa en el consentimiento explícito de la persona. Tan solo se pueden tomar decisiones automatizadas basadas en categorías especiales de datos con el consentimiento explícito del usuario o por razones de interés público sustanciales.
El RGPD permite la transferencia de datos de residentes en la UE fuera del Espacio Económico Europeo (EEE) solo si se cumplen una serie de condiciones. Bajo estas condiciones, el país o la región al que se transfieran los datos debe tener un nivel “adecuado” de protección de datos según los estándares de la UE. Incluso cuando no se considere adecuado, las transferencias de datos se permitirán si se utilizan cláusulas contractuales tipo o normas corporativas vinculantes.
El RGPD permite la transferencia de datos de residentes en la UE fuera del Espacio Económico Europeo (EEE) solo si se cumplen una serie de condiciones
En cuanto a la transferencia de datos a EE. UU., se requiere el consentimiento informado del usuario (en este caso, el consentimiento se debe prestarse sobre la base de información suficientemente precisa, incluyendo información sobre la falta de protección en el tercer país).
La protección de datos debería incluirse desde el inicio en el diseño y desarrollo de los procesos empresariales y de infraestructura. Esto significa que la configuración de privacidad debe diseñarse para garantizar a los usuarios un nivel “alto” de protección por defecto y que deben adoptarse las medidas necesarias para que el ciclo de vida del tratamiento de los datos se ajuste a los requisitos del RGPD.
El responsable del tratamiento debe informar a la autoridad de control en el plazo de 72 horas desde que tuvo conocimiento de la violación. Si un encargado realiza el tratamiento de los datos por cuenta del responsable del tratamiento, el encargado deberá informar al responsable tan pronto como tenga conocimiento de la violación. Según esta regla, también se debe informar a los usuarios (dentro del mismo plazo) a no ser que los datos filtrados estuvieran protegidos mediante cifrado (por lo que los datos serían ilegibles para el intruso) o, en general, que sea muy improbable que la violación pueda resultar en un riesgo a los derechos y libertades del individuo. En cualquier caso, el responsable del tratamiento debe mantener un registro de las violaciones que se hayan producido a fin de demostrar ante la autoridad supervisora que cumple estas disposiciones.
El Delegado de Protección de Datos (DPD) es una persona con un conocimiento experto de las leyes de protección de datos cuyo papel consiste en ayudar al responsable o al encargado del tratamiento a vigilar la conformidad interna con el RGPD y supervisar la estrategia de protección de datos y su aplicación. El DPD también debe ser competente en la gestión de procesos informáticos, la seguridad de los datos y otras cuestiones críticas relacionadas con el tratamiento de datos personales y sensibles.
El RGPD exige que se designe a un DPD específicamente en los siguientes casos:
El nombramiento de un DPD no depende, por lo tanto, del número de empleados, sino de la naturaleza de las actividades de tratamiento de datos. Si tu organización no se encuentra en una de estas categorías, no es obligatorio que nombres un DPD.
El RGPD exige que tanto los responsables como los encargados del tratamiento mantengan actualizado un registro “completo y exhaustivo” de las actividades de tratamiento de datos particulares que lleven a cabo.
El registro completo y exhaustivo de las actividades de tratamiento se exige expresamente en aquellos casos en los que dichas actividades:
En la práctica, esto incluye a casi todos los responsables y encargados del tratamiento de datos.
El registro de las actividades de tratamiento de datos debe realizarse por escrito. Si bien se aceptan tanto los formularios en papel como los electrónicos, es una buena práctica utilizar un método electrónico de registro para facilitar las modificaciones.
El registro del responsable del tratamiento debe incluir:
El registro del encargado del tratamiento debe incluir:
Incluso si tus actividades de tratamiento de datos no se encuentran dentro de las situaciones mencionadas anteriormente, tu deber de informar a los usuarios (artículos 13 y 14) te impone la obligación de mantener un registro básico con los datos que recopilas, sus fines, todas las partes implicadas en el tratamiento de los mismos y el plazo de conservación de los datos, lo que es obligatorio para todos.
De hecho, es posible que te resulte bastante útil realizar auditorías periódicas de información sobre los datos que posee tu organización, ya que pueden ayudarte no solo a cumplir fácilmente con tus obligaciones de mantenimiento de un registro, sino también a facilitar la revisión y optimización de tus procedimientos de tratamiento de datos.
Nuestro Registro de las actividades de tratamiento también resulta muy útil en este aspecto, ya que simplifica mucho el proceso técnico de creación y mantenimiento de tu Registro de las Actividades de Tratamiento de Datos. Puedes leer más sobre cómo puede ayudarte aquí o consultar directamente la guía de configuración y el vídeo aquí (en inglés).
La evaluación de impacto relativa a la protección de datos (EIPD) es un procedimiento utilizado para ayudar a las organizaciones a cumplir de forma efectiva con el RGPD y garantizar que la organización ponga en práctica los principios de responsabilidad proactiva, privacidad desde el diseño y privacidad por defecto. El procedimiento de EIPD debe quedar registrado por escrito. Si bien la publicación de la EIPD no es un requisito legal general del RGPD, se recomienda que los responsables del tratamiento de datos personales consideren publicar sus EIPD total o parcialmente como un gesto de transparencia y responsabilidad proactiva, especialmente en aquellos casos en que estén involucradas miembros del público (por ejemplo, cuando una autoridad pública lleva a cabo la EIPD).
Una EIPD efectiva es muy útil a la hora de cumplir con el requisito de “privacidad desde el diseño” y ayuda a las organizaciones a detectar y solucionar problemas en una fase temprana del proceso, mitigando así tanto el riesgo para los datos de los usuarios como el riesgo de multas, sanciones y daños reputacionales de la organización. La EIPD tan solo es obligatoria en aquellos casos en los que la actividad de tratamiento de datos implique un alto riesgo para los usuarios (esto se aplica particularmente cuando se introducen nuevas tecnologías de tratamiento).
Sin embargo, si no estás seguro de si tu actividad de tratamiento se considera de “alto riesgo”, se recomienda realizar una EIPD de todas formas, ya que es una herramienta útil para garantizar el cumplimiento de la ley.
Las actividades de tratamiento consideradas de “alto riesgo” incluyen:
Las EIPD también pueden ser necesarias en otras circunstancias (que dependen de una evaluación caso por caso) incluyendo, entre otros, el tratamiento de datos relacionados con personas vulnerables (por ejemplo, niños o ancianos), las transferencias de datos transfronterizas fuera de la UE y los datos utilizados en la elaboración de perfiles (por ejemplo, calificaciones de crédito). Puedes leer más sobre los criterios aquí [PDF].
La EIPD debe incluir:
Las consecuencias jurídicas derivadas del incumplimiento pueden incluir multas de hasta 20 millones de euros o del 4% del volumen de negocio mundial anual (lo que sea mayor). Igualmente preocupantes son el resto de sanciones potenciales que se pueden imponer a aquellas organizaciones que incumplan la ley. Estas sanciones pueden incluir apercibimientos oficiales (cuando se trate de la primera infracción cometida), auditorías periódicas de protección de datos e indemnizaciones por daños y perjuicios.
Las consecuencias legales derivadas del incumplimiento pueden incluir multas de hasta 20 millones de euros o del 4% de la facturación mundial anual
El RGPD otorga a los usuarios un derecho expreso a presentar una reclamación ante una autoridad de control si consideran que alguna de las actividades de tratamiento de sus datos personales se ha llevado a cabo en violación de las disposiciones del RGPD.
Por ejemplo, si se presenta un informe a la autoridad competente sobre una infracción legal, dicha autoridad puede decidir realizar una auditoría de las operaciones de tratamiento de datos de la organización. Si se descubre que alguna actividad de tratamiento se ha llevado a cabo de forma ilícita, no solo se impone una multa, sino que se le puede prohibir a la organización volver a utilizar tanto los datos de la consulta como todos aquellos datos obtenidos a través de mecanismos similares. Esto significa que si el uso indebido estaba relacionado con la recogida de direcciones de correo electrónico, la organización corre el riesgo de que se le prohíba utilizar toda la lista de correos electrónicos asociada.
El RGPD también otorga a los usuarios el derecho a recibir una compensación por los daños y perjuicios causados por el incumplimiento de las normas por parte de una organización, lo que expone a los infractores a posibles litigios.
En términos de conformidad legal, uno de los primeros pasos lógicos es asegurarte de que tus documentos cumplen con la normativa.
En iubenda, adoptamos un enfoque integral para el cumplimiento de la legislación de protección de datos. Creamos soluciones teniendo en cuenta las normativas más estrictas, dándote todas las opciones posibles para que personalices tus documentos según tus necesidades.
De esta forma, te ayudaremos a cumplir con tus obligaciones legales, reduciendo el riesgo de litigios y protegiendo a tus clientes, lo que genera confianza y credibilidad.
💡 Estos son los elementos básicos que necesitas para lograr una conformidad legal plena:
Este documento jurídico debe indicar la forma en que tu sitio web o app recoge, trata, almacena, comparte y protege los datos de los usuarios, así como los fines para hacerlo y los derechos de los usuarios en relación con sus datos personales.
Con nuestro Generador de Políticas de Privacidad y de Cookies puedes crear una política de privacidad atractiva, precisa y redactada por abogados e integrarla a la perfección con tu sitio web o tu app. Puedes añadir cualquiera de nuestras cláusulas ya creadas con tan solo pulsar un botón o redactar fácilmente tu propia cláusula personalizada mediante nuestro formulario integrado.
La política de privacidad también incluye la opción de añadir una política de cookies (es necesaria si tu sitio web o app utiliza cookies). Las políticas pueden personalizarse según tus necesidades y un equipo jurídico internacional las mantiene al día de forma remota.
💡 Para obtener más información sobre las políticas de privacidad, haz clic aquí
Como el uso de cookies puede implicar tanto el tratamiento de datos de los usuarios como la instalación de archivos en sus dispositivos, estas herramientas son una gran fuente de preocupación en lo que respecta a los derechos de privacidad de datos de los usuarios. Por esta razón, es esencial que tu sitio web o app cumpla con la Directiva ePrivacy de la UE (Ley de Cookies). Para responder a esta necesidad, hemos creado Privacy Controls and Cookie Solution, que simplifica la conformidad con las disposiciones de la Ley de Cookies europea. Es una solución de consentimiento de cookies y política de cookies fácil de utilizar (incluyendo la gestión del banner), rápida y que no requiere grandes inversiones.
💡 Para obtener más información sobre Privacy Controls and Cookie Solution, haz clic aquí
Muchas autoridades de protección de datos de la UE han reforzado sus requisitos y han alineado sus reglas sobre cookies y rastreadores con los requisitos del RGPD. Más específicamente, se requiere que registres y almacenes pruebas de las preferencias de tus usuarios.
Los Registros de Preferencias de Cookies ahora están disponibles en Privacy Controls and Cookie Solution.
Clic aquí para obtener más información acerca de cómo activar los registros de preferencias de cookies dentro de Privacy Controls and Cookie Solution.
Cumplir las normas del RGPD en la práctica puede suponer todo un desafío técnico. Esto es especialmente cierto en cuanto a la gestión de la privacidad interna. Para cumplir con la ley, debes ser capaz de realizar un seguimiento y describir:
Nuestra solución te ayuda a registrar y gestionar fácilmente todas las actividades de tratamiento de datos dentro de tu organización, para que puedas cumplir de forma sencilla con los requisitos del RGPD y con tus obligaciones legales. Te permite crear un registro de tus actividades de tratamiento de datos: añade actividades de tratamiento de entre nuestras más de 1.700 opciones preconfiguradas, divídelas por áreas (subdivisiones en las que las actividades de tratamiento son las mismas), asigna encargados del tratamiento y otros cargos y documenta las bases jurídicas y otros registros exigidos por el RGPD.
Importante: aunque tus actividades de tratamiento de datos no se incluyan en ninguna de las situaciones mencionadas anteriormente, tu deber de informar a los usuarios (artículos 13 y 14) te impone la obligación de mantener un registro básico con los datos que recopilas, sus fines, todas las partes implicadas en el tratamiento de los mismos y el plazo de conservación de los datos, lo que es obligatorio para todos
Además, aunque el RGPD es una razón muy común para esmerarse en la gestión de la privacidad interna, nuestra herramienta no está diseñada exclusivamente para su aplicación bajo el RGPD. También se puede utilizar para la gestión de la privacidad interna en general, incluso por empresas que no tienen ningún usuario o cliente en la UE.
💡 Para descubrir todas las funciones de nuestra herramienta Registro de las actividades de tratamiento, haz clic aquí o consulta nuestra guía aquí
Para cumplir con la legislación en materia de privacidad, especialmente con el RGPD, las empresas deben almacenar una prueba del consentimiento para poder demostrar que este fue efectivamente obtenido. Este registro debe mostrar:
Nuestra Consent Solution simplifica este proceso, ayudándote a almacenar fácilmente la prueba del consentimiento y a gestionar el consentimiento y las preferencias de privacidad de cada uno de tus usuarios. Te permite rastrear todos los aspectos del consentimiento (incluyendo el aviso legal o de privacidad y el formulario de consentimiento presentado al usuario en el momento de la obtención del consentimiento), así como las preferencias expresadas por el usuario.
Para utilizarla, simplemente activa la Consent Solution y obtén la clave API. Después, instala la solución a través de la API HTTP o el widget JS. Eso es todo, ahora podrás recuperar los consentimientos en cualquier momento y mantenerlos actualizados.
💡 Para descubrir todas las funciones de nuestra Consent Solution , haz clic aquí o consulta nuestra guía aquí.
Nota: ten en cuenta que, de vez en cuando, las leyes se modifican y actualizan. Por ello, es importante que te asegures de que tus políticas cumplen con los requisitos más recientes. Por esta razón, utilizamos una función de integración y NO un simple copiar y pegar . Con este método, puedes estar seguro de que tu política está actualizada, ya que nuestro equipo jurídico la mantiene al día de forma remota.
