Explicación del RGPD
¿Qué es el RGPD?
El Reglamento General de Protección de Datos (RGPD) es un marco legal diseñado para proteger la privacidad de las personas en la Unión Europea (UE) y brindarles un mayor control sobre cómo se recopilan, procesan y utilizan sus datos personales.
El RGPD se aplica al procesamiento de datos personales en cualquier parte del mundo por empresas establecidas dentro de la UE. También se aplica globalmente a cualquier empresa fuera de la UE que procese datos personales de personas mientras ofrece bienes/servicios dentro de la UE o supervisa el comportamiento de personas en la UE.
El RGPD se ha implementado en las leyes nacionales de toda la UE y el RU.
¿Cuáles son los requisitos clave del RGPD?
El RGPD es un paso positivo hacia la creación de una mayor confianza y transparencia entre organizaciones e individuos. Algunas de las áreas que cubre son:
- Los datos personales de personas dentro de la UE: esto incluye cualquier información relacionada con un individuo o ‘sujeto de datos’ que pueda usarse para identificar directa o indirectamente a esa persona. Esto incluye no sólo información como un nombre, dirección de correo electrónico o foto, sino también datos bancarios o de tarjeta de crédito; información médica; afiliaciones políticas, religiosas o de otro tipo; antecedentes penales; o la dirección IP de una computadora. No existe distinción según el RGPD entre datos personales recolectados en un contexto de empresa a consumidor o de empresa a empresa; sin embargo, existen otras leyes sobre cómo se pueden utilizar las comunicaciones electrónicas, que difieren cuando se trata directamente con los consumidores.
- Cómo se procesa la información personal: La información personal solo puede recolectarse y procesarse si existe una base legal para hacerlo. El consentimiento es una base que puede utilizarse con fines de marketing directo; sin embargo, no es la única base legal. Otros motivos para el procesamiento legal de datos personales según el artículo 6 del RGPD incluyen la ejecución de un contrato, el cumplimiento de una obligación legal o cuando existe un “interés legítimo” de la empresa o de un tercero que, en general, no infringe los derechos de privacidad del individuo.
- Los derechos de los individuos: Los individuos tienen derecho a solicitar: acceso a sus datos personales, corrección de errores en sus datos personales, eliminación de sus datos personales y/o exportación de sus datos personales. También pueden oponerse al procesamiento de sus datos personales o solicitar que se limiten las actividades de procesamiento.
- Violaciones de datos: existen obligaciones de informar ciertos tipos de violaciones de datos a la autoridad supervisora pertinente y a las personas afectadas (para el RU, la autoridad relevante es la Oficina del Comisionado de Información (ICO por sus siglas en inglés)).
- Seguridad de datos y sistemas: los datos personales deben protegerse utilizando medidas técnicas y organizacionales adecuadas para garantizar un nivel de seguridad adecuado a los riesgos de privacidad asociados con cualquier dato personal en particular a lo largo de su ciclo de vida.
- Transferencias al exterior: Los datos personales solo podrán transferirse fuera de Europa en circunstancias limitadas, entre ellas: i) a países no europeos que la Comisión Europea haya determinado que proporcionan un nivel adecuado de protección de datos;
(ii) cuando las partes de la transferencia utilicen cláusulas de protección de datos que hayan sido aprobadas por la Comisión Europea; (iii) cuando existan códigos de conducta o certificaciones aprobados; o (iv) cuando grupos empresariales hayan adoptado “Normas corporativas vinculantes” aprobadas por la Comisión Europea. - Transparencia: los avisos de privacidad y los contratos de usuario deben ser simples, claros y fáciles de entender. Al recolectar datos personales, debe quedar claro, entre otras cosas, para qué se utilizarán los datos, cómo y durante cuánto tiempo se conservarán, bajo qué base legal se procesarán y qué derechos están disponibles para el individuo. Una vez recolectados legalmente, los datos personales sólo deben utilizarse para los fines para los que fueron recolectados y estrictamente de acuerdo con la información proporcionada al individuo.
¿Qué significa el RGPD para las empresas?
El RGPD trata sobre ser claro, honesto, transparente y ético con los datos personales. Se aplica a las empresas que son controladores de datos (la persona / empresa que determina cómo se procesan los datos personales) o procesadores de datos (la persona / empresa que procesa datos personales bajo instrucciones del controlador de datos). Si usted es una organización de este tipo, debe asegurarse de proteger los datos que utiliza y la privacidad de aquellos de quienes los ha recolectado, como lo haría con cualquier otro activo.
Aquí hay cinco pasos simples que puede seguir para cumplir con el RGPD:
- Proteja sus sistemas: asegúrese de que los sistemas que recolectan, procesan y almacenan datos personales sean seguros. Debe considerar aspectos como la seguridad física (por ejemplo, cerraduras), la seguridad cibernética (por ejemplo, antivirus), la seguridad del sistema (por ejemplo, firewalls), la seguridad de los datos (por ejemplo, cifrado) y la seguridad del dispositivo (por ejemplo, autenticación).
- Documente sus flujos de datos: mapee sus flujos de datos e información para ayudarlo a realizar una evaluación adecuada de sus riesgos de privacidad. Compruebe cuáles de sus productos y servicios recopilan y procesan datos personales. Identifique qué información personal se recopila, por qué se recopila, cómo se usa, se comparte, se almacena, se protege, se retiene y se elimina. Identificar si los datos son datos personales sensibles y si usted es responsable o encargado del tratamiento de esos datos.
- Tenga una base legal para el procesamiento: determine la base legal para el procesamiento de datos personales y documéntela. Hay seis bases legales en las que se puede confiar:
- Consentimiento cuando existe elección y control genuinos. El consentimiento debe ser inequívoco, otorgado libremente, informado y otorgado mediante una acción afirmativa clara.
- Interés legítimo: puede aplicarse cuando la información personal se utiliza de la manera que el individuo razonablemente esperaría, hay un impacto mínimo y existe un interés legítimo que es necesario para que se lleve a cabo el procesamiento.
- Contrato: para cumplir con obligaciones contractuales o hubo una solicitud para hacer algo como proporcionar una cotización antes de celebrar un contrato.
- Obligación legal: cumplir con una ley u obligación estatutaria.
- Interés vital: proteger la vida de alguien.
- Tarea pública: para funciones públicas o tareas de interés público.
La Oficina del Comisionado de Información tiene una herramienta de orientación interactiva sobre bases legales que puede ayudarlo a determinar la base legal más adecuada para el procesamiento de datos personales.
- Revise sus avisos y divulgaciones: revise y actualice sus avisos de privacidad par asegurarse de que reflejen sus actividades de procesamiento de datos personales. Debe revelar en qué base legal confía para el procesamiento de datos personales. Si confía en el consentimiento, asegúrese de que sus solicitudes de consentimiento sean claras y no incluyan casillas de verificación previamente marcadas. Revisar y actualizar o determinar si se requieren otras declaraciones o divulgaciones con respecto a la recolección, el uso y el procesamiento de información personal.
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares: al aceptar el uso de estos Servicios, usted acepta explícitamente el uso de sus datos personales que serán procesados por Extu para la prestación de estos servicios, según lo exige la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (Ley Federal de Protección de Datos Personales en Posesión de los Particulares).
- Establezca políticas y procedimientos internos: establezca directrices y procesos formalizados para ayudarlo a manejar situaciones como quejas de privacidad, violaciones de datos y solicitudes de acceso a información personal.
También debe hablar con sus asesores legales sobre lo que debe hacer para cumplir con el RGPD.
Otros recursos del RGPD
Puede obtener más información útil sobre el RGPD en la Oficina del Comisionado de Información del Reino Unido (ICO por sus siglas en inglés): Guía del RGPD.
Este material se proporciona para su información general y no pretende brindar asesoramiento legal. Para comprender el impacto total del GDPR en cualquiera de sus actividades de procesamiento de datos, consulte con un profesional legal y/o de privacidad independiente.