Esta web utiliza cookies. Conoce aquí nuestra política de cookies.
Cerrar

Reglamento General de Protección de Datos (RGPD)

El 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD) reemplazó todas las leyes nacionales de los Estados miembros de la Unión Europea (UE). Concretamente, en España sustituyó a la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD).

El nuevo Reglamento refuerza y amplía los derechos de los residentes en la UE, dándoles mayor control sobre ellos. En cuanto a las empresas, el RGPD también cambia el modo en que las organizaciones recogen y tratan la información personal.


Es la hora de cumplir y mantener el Reglamento europeo

El cumplimiento del RGPD no implica tener en cuenta solo algunos aspectos generales de privacidad, sino adaptar las políticas y procedimientos a los seis principios generales del Reglamento a tu empresa. Esto supone poner en marcha todo lo necesario para cumplir con el RGPD en su totalidad, siempre de manera responsable y transparente.

Además, en esta nueva era de la cultura de la privacidad de la información, los empleados tienen que ser parte activa de sus derechos como individuos y sus responsabilidades como trabajadores.

Con un buen proyecto de adaptación y mantenimiento RGPD, no solo estarás cumpliendo con la normativa europea, sino que ganarás en reputación empresarial. Tus clientes y asociados confiarán en ti y evitarás las multas derivadas del incumplimiento del Reglamento.


Recursos gratuitos sobre el RGPD

Productos y servicios sobre el RGPD


Cómo el RGPD beneficiará a tu negocio

  • Los clientes creerán en ti y en tu organización 
  • Mejorará tu imagen corporativa y reputación empresarial 
  • Mejorará la gobernanza de los datos personales 
  • Aumentará la seguridad de la información en tu compañía 
  • Destacarás frente a tus competidores 
 

Conoce más sobre los datos personales

El RGPD debe ser aplicado siempre que un individuo pueda ser identificado de forma directa o indirecta a través de cualquier formato. El Reglamento es más estricto si hablamos de datos de categoría sensible (los datos genéticos y biométricos forman parte de ella). 

Datos personales

  • Correo electrónico
  • Fotografía 
  • Dirección IP
  • Localidad / Ubicación 
  • Comportamiento online (cookies)
  • Datos de perfil 
  • Datos analíticos 

Datos pertenecientes a la categoría sensible / especial

  • Religión
  • Preferencias políticas  
  • Afiliación sindical
  • Orientación sexual
  • Datos médicos
  • Datos biométricos
  • Datos genéticos 

Un amplio alcance

El RGPD afecta a todas las compañías, independientemente de si son un negocio empresarial, organización benéfica o autoridades, que traten datos de residentes europeos, sin importar si su sede está fuera o dentro de la Unión Europea.

Los proveedores (procesadores de datos) que traten información personal en nombre de una organización tienen que cumplir con los requisitos del RGPD y sus obligaciones determinadas. Un ejemplo de esto puede ser el proveedor de servicios en nube que tengas contratado para guardar tus datos empresariales.

 

Principios relativos a la protección de datos

La información personal tiene que tratarse de acuerdo con los seis principios de protección de datos:

  • Se tratarán de manera legal, justa y transparente.
  • Se recogerán solo para fines específicos. 
  • Se guardarán solo el tiempo necesario para llevar a cabo esa finalidad.
  • Se recogerán aquellos que sean adecuados, relevantes e indispensables.   
  • Deberán estar actualizados y ser precisos. 
  • Se garantizará su seguridad, integridad y confidencialidad. 

 

Responsabilidad y gobernanza

El RGPD no solo hay que ponerlo en marcha, sino también mantenerlo y demostrar su cumplimiento de la siguiente manera:

  • Establecer una estructura corporativa, acorde con el RGPD, los roles y responsabilidades definidas.
  • Mantener copias detalladas de las operaciones de tratamiento de datos.
  • Tener toda la documentación relativa a la protección de datos, incluidas políticas y procedimientos, actualizada y preparada.
  • Evaluaciones de Impacto de Protección de Datos (EIPD) para operaciones de alto riesgo. Descubre más >>
  • Implementar medidas apropiadas para medir la seguridad de los datos personales.
  • Formación y concienciación de los empleados. 
  • Nombrar un Delegado de Protección de Datos (DPD) cuando sea necesario.

 

Protección de datos por diseño y por  defecto

Existen ciertos requisitos y prácticas para proteger la información de los datos personales desde el principio del proyecto:

  • Salvaguardar la información personal desde el diseño debe ser considerado desde la fase inicial de cualquier proyecto. 
  • Las Evaluaciones de Impacto de Protección de Datos (EIPD) son una parte esencial de la protección de datos por diseño.
  • Si se contempla recoger datos de forma predeterminada, hay que recopilar solo aquellos que sean necesarios para un cumplir un propósito específico. 

 

Bases legales de tratamiento

Para realizar el tratamiento de datos personales se debe identificar y documentar al menos una de las siguientes bases legales:

  • Consentimiento directo del interesado
  • Obligaciones contractuales 
  • Intereses vitales 
  • Intereses legítimos
  • Intereses públicos o actuar bajo autoridad oficial
  • Obligaciones de la ley y cumplimiento legal

 

Consentimiento válido

Los requisitos para conseguir el consentimiento del interesado son:

  • Una solicitud de consentimiento debe ser inteligible y en un lenguaje que no deje lugar a dudas. 
  • El silencio, las casillas pre-marcadas y la inactividad ya no son válidas. 
  • El consentimiento se puede retirar en cualquier momento.
  • El consentimiento para menores de 13 años en servicios relativos a sociedad de la información solo es válido con la autorización de padres o tutores.
  • Las organizaciones tienen que ser capaces de demostrar el consentimiento.

 

Derechos de privacidad de la información

El RGPD ha aumentado los derechos individuales de los interesados en importantes áreas:

  • El derecho de acceso mediante solicitudes de acceso.
  • El derecho a corregir los datos que no sean correctos.
  • El derecho a eliminar la información personal cuando sea posible.
  • El derecho de oposición. 
  • El derecho de portabilidad de datos de un proveedor a otro o al mismo interesado. 

 

Aviso de privacidad y transparencia

Las organizaciones deben ser claras y transparentes en cuando a cómo se tratarán los datos personales, con qué finalidad y quién será el responsable del tratamiento.

  • Los avisos de privacidad se deben proporcionar de forma concisa, transparente y de fácil acceso, utilizando un lenguaje claro y sencillo.

 

Transferencia de datos fuera de la Unión Europea

La transferencia de datos personales fuera de la Unión Europea solo está permitida:

  • Cuando la UE designe un país como proveedor para garantizar un nivel adecuado de protección de datos.
  • A través de contratos o reglas corporativas vinculantes.
  • Al cumplir con un mecanismo de certificación aprobado, por ejemplo, el escudo de privacidad UE - EE. UU. 

 

Seguridad IT e informe de violaciones de da tos

El tratamiento de los datos personales deben realizarlo solo las personas autorizadas para ello. Además, deben protegerse para que no se pierdan, destruyan o sufran algún daño accidental.

  • Las violaciones o infracciones de datos deben ser informadas a la autoridad de protección de datos correspondiente (la Agencia Española de Protección de Datos, AEPD, en el caso español) dentro de las 72 horas posteriores al descubrimiento.
  • Si existe un alto riesgo para los derechos y libertades de los interesados, debe reportarse a los afectados. 

 

Delegado de Protección de Datos (DPD)

Será obligatorio nombrar un DPD cuando se trate de:

  • Autoridades públicas.
  • Organizaciones y actividades que impliquen un alto riesgo de tratamiento.
  • Organizaciones que traten con categorías especiales de datos. 

Las principales tareas del DPO son, entre otras:

  • Informar y asesorar a la organización acerca de sus obligaciones.
  • Monitorear el cumplimiento del RGPD, incluyendo la concienciación, la formación del personal y auditorías.
  • Cooperar con las autoridades de protección de datos.  
 

Resuelve tus dudas RGPD y empieza su cumplimiento hoy >>


Cómo podemos ayudarte

IT Governance es un referente internacional en materia de protección de datos, seguridad de la información, RGPD, ISO 27001 y PCI DSS. Te ofrecemos todos los cursos, publicaciones y herramientas que necesites para el éxito de tus proyectos empresariales, así como consultoría en Europa, Reino Unido, EE. UU, Asia-Pacífico y Sudáfrica.

Echa un vistazo a nuestras soluciones >>


No olvides conocer nuestros recursos RGPD gratuitos


Habla con un experto

Ponte en contacto con nosotros para realizar cualquier consulta sobre el RGPD o sobre nuestros productos y servicios que pueden ayudarte a cumplir con él.