Reglamento General de Protección de Datos (RGPD)

El 25 de mayo de 2018, el Reglamento General de Protección de Datos (RGPD) reemplazó todas las leyes nacionales de los Estados miembros de la Unión Europea (UE). Concretamente, en España sustituyó a la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD).

El nuevo Reglamento refuerza y amplía los derechos de los residentes en la UE, dándoles mayor control sobre ellos. En cuanto a las empresas, el RGPD también cambia el modo en que las organizaciones recogen y tratan la información personal.


Es la hora de cumplir y mantener el Reglamento europeo

El cumplimiento del RGPD no implica tener en cuenta solo algunos aspectos generales de privacidad, sino adaptar las políticas y procedimientos a los seis principios generales del Reglamento a tu empresa. Esto supone poner en marcha todo lo necesario para cumplir con el RGPD en su totalidad, siempre de manera responsable y transparente.

Además, en esta nueva era de la cultura de la privacidad de la información, los empleados tienen que ser parte activa de sus derechos como individuos y sus responsabilidades como trabajadores.

Con un buen proyecto de adaptación y mantenimiento RGPD, no solo estarás cumpliendo con la normativa europea, sino que ganarás en reputación empresarial. Tus clientes y asociados confiarán en ti y evitarás las multas derivadas del incumplimiento del Reglamento.

Cómo el RGPD beneficiará a tu negocioLos clientes creerán en ti y en tu organización 

  • Los clientes creerán en ti y en tu organización 
  • Mejorará tu imagen corporativa y reputación empresarial 
  • Mejorará la gobernanza de los datos personales 
  • Aumentará la seguridad de la información en tu compañía 
  • Destacarás frente a tus competidores
     

Un amplio alcance

El RGPD afecta a todas las compañías, independientemente de si son un negocio empresarial, organización benéfica o autoridades, que traten datos de residentes europeos, sin importar si su sede está fuera o dentro de la Unión Europea.

Los proveedores (procesadores de datos) que traten información personal en nombre de una organización tienen que cumplir con los requisitos del RGPD y sus obligaciones determinadas. Un ejemplo de esto puede ser el proveedor de servicios en nube que tengas contratado para guardar tus datos empresariales.

  • Se tratarán de manera legal, justa y transparente.
  • Se recogerán solo para fines específicos.
  • Se guardarán solo el tiempo necesario para llevar a cabo esa finalidad.
  • Se recogerán aquellos que sean adecuados, relevantes e indispensables.
  • Deberán estar actualizados y ser precisos.
  • Se garantizará su seguridad, integridad y confidencialidad.

  • Establecer una estructura corporativa, acorde con el RGPD, los roles y responsabilidades definidas.
  • Mantener copias detalladas de las operaciones de tratamiento de datos.
  • Tener toda la documentación relativa a la protección de datos, incluidas políticas y procedimientos, actualizada y preparada.
  • Evaluaciones de Impacto de Protección de Datos (EIPD) para operaciones de alto riesgo. Descubre más >>
  • Implementar medidas apropiadas para medir la seguridad de los datos personales.
  • Formación y concienciación de los empleados.
  • Nombrar un Delegado de Protección de Datos (DPD) cuando sea necesario.

  • Salvaguardar la información personal desde el diseño debe ser considerado desde la fase inicial de cualquier proyecto.
  • Las Evaluaciones de Impacto de Protección de Datos (EIPD) son una parte esencial de la protección de datos por diseño.
  • Si se contempla recoger datos de forma predeterminada, hay que recopilar solo aquellos que sean necesarios para un cumplir un propósito específico.

  • Consentimiento directo del interesado
  • Obligaciones contractuales
  • Intereses vitales
  • Intereses legítimos
  • Intereses públicos o actuar bajo autoridad oficial
  • Obligaciones de la ley y cumplimiento legal

  • Una solicitud de consentimiento debe ser inteligible y en un lenguaje que no deje lugar a dudas.
  • El silencio, las casillas pre-marcadas y la inactividad ya no son válidas.
  • El consentimiento se puede retirar en cualquier momento.
  • El consentimiento para menores de 13 años en servicios relativos a sociedad de la información solo es válido con la autorización de padres o tutores.
  • Las organizaciones tienen que ser capaces de demostrar el consentimiento.

  • El derecho de acceso mediante solicitudes de acceso.
  • El derecho a corregir los datos que no sean correctos.
  • El derecho a eliminar la información personal cuando sea posible.
  • El derecho de oposición.
  • El derecho de portabilidad de datos de un proveedor a otro o al mismo interesado.

  • Los avisos de privacidad se deben proporcionar de forma concisa, transparente y de fácil acceso, utilizando un lenguaje claro y sencillo.

  • Cuando la UE designe un país como proveedor para garantizar un nivel adecuado de protección de datos.
  • A través de contratos o reglas corporativas vinculantes.
  • Al cumplir con un mecanismo de certificación aprobado, por ejemplo, el escudo de privacidad UE - EE. UU.

  • Las violaciones o infracciones de datos deben ser informadas a la autoridad de protección de datos correspondiente (la Agencia Española de Protección de Datos, AEPD, en el caso español) dentro de las 72 horas posteriores al descubrimiento.
  • Si existe un alto riesgo para los derechos y libertades de los interesados, debe reportarse a los afectados.

  • Autoridades públicas.
  • Organizaciones y actividades que impliquen un alto riesgo de tratamiento.
  • Organizaciones que traten con categorías especiales de datos.

Las principales tareas del DPO son, entre otras:

  • Informar y asesorar a la organización acerca de sus obligaciones.
  • Monitorear el cumplimiento del RGPD, incluyendo la concienciación, la formación del personal y auditorías.
  • Cooperar con las autoridades de protección de datos.

Resuelve tus dudas RGPD y empieza su cumplimiento hoy >>


Conoce más sobre los datos personales

El RGPD debe ser aplicado siempre que un individuo pueda ser identificado de forma directa o indirecta a través de cualquier formato. El Reglamento es más estricto si hablamos de datos de categoría sensible (los datos genéticos y biométricos forman parte de ella). 

Datos personales

  • Correo electrónico
  • Fotografía 
  • Dirección IP
  • Localidad / Ubicación 
  • Comportamiento online (cookies)
  • Datos de perfil 
  • Datos analíticos 

Datos pertenecientes a la categoría sensible / especial

  • Religión
  • Preferencias políticas  
  • Afiliación sindical
  • Orientación sexual
  • Datos médicos
  • Datos biométricos
  • Datos genéticos 

Cómo podemos ayudarte

IT Governance es un referente internacional en materia de protección de datos, seguridad de la información, RGPD, ISO 27001 y PCI DSS. Te ofrecemos todos los cursos, publicaciones y herramientas que necesites para el éxito de tus proyectos empresariales, así como consultoría en Europa, Reino Unido, EE. UU, Asia-Pacífico y Sudáfrica.

Echa un vistazo a nuestras soluciones >>

Recursos gratuitos sobre el RGPD

Productos y servicios sobre el RGPD


Habla con un experto

Ponte en contacto con nosotros para realizar cualquier consulta sobre el RGPD o sobre nuestros productos y servicios que pueden ayudarte a cumplir con él.

 
arriba
Risk Assessment
Workshop
- 22 Oct