El Reglamento General de Protección de Datos (RGPD) es la ley de privacidad y seguridad más estricta del mundo. Aunque fue redactado y aprobado por la Unión Europea (UE), impone obligaciones a las organizaciones en cualquier lugar, siempre que apunten o recopilen datos relacionados con personas en la UE. La regulación entró en vigor el 25 de mayo de 2018. El RGPD impone duras multas a quienes violen sus estándares de privacidad y seguridad, con sanciones que pueden alcanzar las decenas de millones de euros.
Historia del RGPD
El derecho a la intimidad forma parte del Convenio Europeo de Derechos Humanos de 1950 , que establece que “Toda persona tiene derecho al respeto de su vida privada y familiar, de su domicilio y de su correspondencia”. A partir de esta base, la Unión Europea ha buscado garantizar la protección de este derecho a través de la legislación.
A medida que avanzaba la tecnología y se inventaba Internet, la UE reconoció la necesidad de protecciones modernas. Así que en 1995 aprobó la Directiva Europea de Protección de Datos, que establece estándares mínimos de seguridad y privacidad de datos, sobre los cuales cada estado miembro basa su propia ley de implementación. En 1994, apareció el primer banner publicitario en línea. En 2000, la mayoría de las instituciones financieras ofrecían banca en línea. En 2006, Facebook se abrió al público. En 2011, un usuario de Google demandó a la empresa por escanear sus correos electrónicos. Dos meses después, la autoridad de protección de datos de Europa declaró que la UE necesitaba “un enfoque integral sobre la protección de datos personales” y comenzó a trabajar para actualizar la directiva de 1995.
El RGPD entró en vigor en 2016 después de ser aprobado por el Parlamento Europeo y, a partir del 25 de mayo de 2018, todas las organizaciones debían cumplir.
Alcance, sanciones y definiciones clave
En primer lugar, si procesa datos personales de ciudadanos o residentes de la UE, u ofrece bienes o servicios a dichas personas, el RGPD se le aplica incluso si no se encuentra en la UE .
En segundo lugar, las multas por violar el RGPD son muy altas . Hay dos niveles de sanciones, que alcanzan un máximo de 20 millones de euros o el 4 % de los ingresos globales (lo que sea mayor), además de que los interesados tienen derecho a solicitar una indemnización por daños y perjuicios.
El RGPD define una serie de términos legales en detalle. A continuación se presentan algunos de los más importantes a los que nos referimos en este artículo:
Datos personales : los datos personales son cualquier información relacionada con una persona que puede identificarse directa o indirectamente. Los nombres y direcciones de correo electrónico son obviamente datos personales. La información de ubicación, etnia, género, datos biométricos, creencias religiosas, cookies web y opiniones políticas también pueden ser datos personales. Los datos seudónimos también pueden incluirse en la definición si es relativamente fácil identificar a alguien a partir de ellos.
Procesamiento de datos : cualquier acción realizada sobre los datos, ya sea de forma automática o manual. Los ejemplos citados en el texto incluyen recopilar, registrar, organizar, estructurar, almacenar, usar, borrar… básicamente cualquier cosa.
Titular de los datos : la persona cuyos datos se procesan. Estos son sus clientes o visitantes del sitio.
Controlador de datos : la persona que decide por qué y cómo se procesarán los datos personales. Si es un propietario o un empleado de su organización que maneja datos, este es usted.
Procesador de datos : un tercero que procesa datos personales en nombre de un controlador de datos. El RGPD tiene reglas especiales para estas personas y organizaciones.
Principios de protección de datos
Si procesa datos, debe hacerlo de acuerdo con siete principios de protección y responsabilidad descritos en el Artículo 5.1-2 :
- Licitud, equidad y transparencia : el procesamiento debe ser lícito, justo y transparente para el interesado.
- Limitación del propósito : debe procesar los datos para los fines legítimos especificados explícitamente al interesado cuando los recopiló.
- Minimización de datos : debe recopilar y procesar solo la cantidad de datos que sea absolutamente necesaria para los fines especificados.
- Precisión : debe mantener los datos personales precisos y actualizados.
- Limitación de almacenamiento : solo puede almacenar datos de identificación personal durante el tiempo que sea necesario para el propósito especificado.
- Integridad y confidencialidad : el procesamiento debe realizarse de tal manera que garantice la seguridad, integridad y confidencialidad adecuadas (por ejemplo, mediante el uso de encriptación).
- Responsabilidad : el controlador de datos es responsable de poder demostrar el cumplimiento de GDPR con todos estos principios.
Responsabilidad
El RGPD dice que los controladores de datos deben poder demostrar que cumplen con el RGPD. Y esto no es algo que pueda hacer después del hecho: si cree que cumple con el RGPD pero no puede mostrar cómo, entonces no cumple con el RGPD. Entre las formas en que puede hacer esto:
- Designe responsabilidades de protección de datos a su equipo.
- Mantenga una documentación detallada de los datos que recopila, cómo se utilizan, dónde se almacenan, qué empleado es responsable de ellos, etc.
- Capacite a su personal e implemente medidas de seguridad técnicas y organizativas.
- Tener contratos de acuerdo de procesamiento de datos vigentes con terceros que usted contrate para procesar datos por usted.
- Designe un Oficial de Protección de Datos (aunque no todas las organizaciones necesitan uno)
Seguridad de datos
Debe manejar los datos de forma segura mediante la implementación de ” medidas técnicas y organizativas apropiadas “.
Las medidas técnicas van desde exigir a sus empleados que utilicen la autenticación de dos factores en las cuentas en las que se almacenan datos personales hasta la contratación de proveedores de la nube que utilicen el cifrado de extremo a extremo .
Las medidas organizacionales son cosas como capacitaciones del personal , agregar una política de privacidad de datos a su manual del empleado o limitar el acceso a los datos personales solo a aquellos empleados de su organización que los necesiten.
Si tiene una violación de datos, tiene 72 horas para informar a los interesados o enfrentar sanciones. (Se puede renunciar a este requisito de notificación si utiliza medidas de seguridad tecnológicas, como el cifrado, para hacer que los datos sean inútiles para un atacante).
Protección de datos desde el diseño y por defecto
De ahora en adelante, todo lo que haga en su organización debe, “por diseño y por defecto”, considerar la protección de datos. En términos prácticos, esto significa que debe considerar los principios de protección de datos en el diseño de cualquier producto o actividad nueva. El RGPD cubre este principio en el artículo 25 .
Supongamos, por ejemplo, que está lanzando una nueva aplicación para su empresa. Debe pensar en qué datos personales podría recopilar la aplicación de los usuarios, luego considerar formas de minimizar la cantidad de datos y cómo los protegerá con la última tecnología.
Cuándo se le permite procesar datos
El artículo 6 enumera los casos en los que es legal procesar datos personales. Ni siquiera piense en tocar los datos personales de alguien, no los recopile, no los almacene, no los venda a los anunciantes, a menos que pueda justificarlo con uno de los siguientes:
- El interesado le dio su consentimiento específico e inequívoco para procesar los datos. (por ejemplo, han optado por su lista de correo electrónico de marketing).
- El procesamiento es necesario para ejecutar o prepararse para celebrar un contrato en el que el interesado es parte. (por ejemplo, debe realizar una verificación de antecedentes antes de arrendar una propiedad a un posible inquilino).
- Necesitas procesarlo para cumplir con una obligación legal tuya. (por ejemplo, recibe una orden del tribunal de su jurisdicción).
- Necesita procesar los datos para salvar la vida de alguien . (por ejemplo, bueno, probablemente sabrá cuándo se aplica este).
- El procesamiento es necesario para realizar una tarea de interés público o para llevar a cabo alguna función oficial. (por ejemplo, usted es una empresa privada de recolección de basura).
- Tiene un interés legítimo para procesar los datos personales de alguien. Esta es la base legal más flexible, aunque los “derechos y libertades fundamentales del interesado” siempre prevalecen sobre sus intereses, especialmente si se trata de datos de un niño.
Una vez que haya determinado la base legal para el procesamiento de sus datos, debe documentar esta base y notificar al interesado (¡transparencia!). Y si luego decide cambiar su justificación, debe tener una buena razón, documentar esta razón y notificar al interesado.
Consentir
Hay nuevas reglas estrictas sobre lo que constituye el consentimiento de un sujeto de datos para procesar su información.
- El consentimiento debe ser “dado libremente, específico, informado e inequívoco”.
- Las solicitudes de consentimiento deben ser “claramente distinguibles de los demás asuntos” y presentadas en “lenguaje claro y sencillo”.
- Los interesados pueden retirar el consentimiento otorgado previamente cuando lo deseen, y usted debe respetar su decisión. No puede simplemente cambiar la base legal del procesamiento a una de las otras justificaciones.
- Los niños menores de 13 años solo pueden dar su consentimiento con el permiso de sus padres.
- Es necesario conservar la prueba documental del consentimiento.
Delegados de protección de datos
Contrariamente a la creencia popular, no todos los controladores o procesadores de datos necesitan designar un Oficial de Protección de Datos (DPO) . Hay tres condiciones bajo las cuales debe designar un DPD:
- Usted es una autoridad pública distinta de un tribunal que actúa en calidad de juez.
- Sus actividades principales requieren que supervise a las personas de manera sistemática y regular a gran escala. (por ejemplo, eres Google).
- Sus actividades principales son el procesamiento a gran escala de categorías especiales de datos enumerados en el artículo 9 del RGPD o datos relacionados con condenas penales y delitos mencionados en el artículo 10 . (por ejemplo, usted es un consultorio médico).
También puede optar por designar un DPO incluso si no está obligado a hacerlo. Hay beneficios de tener a alguien en este rol. Sus tareas básicas implican comprender el RGPD y cómo se aplica a la organización, asesorar a las personas de la organización sobre sus responsabilidades, realizar capacitaciones sobre protección de datos, realizar auditorías y monitorear el cumplimiento del RGPD, y actuar como enlace con los reguladores.
Derechos de privacidad de las personas
Usted es un controlador de datos y/o un procesador de datos. Pero como persona que usa Internet, también es un sujeto de datos. El RGPD reconoce una letanía de nuevos derechos de privacidad para los interesados, cuyo objetivo es dar a las personas más control sobre los datos que prestan a las organizaciones. Como organización, es importante comprender estos derechos para asegurarse de que cumple con el RGPD.
A continuación se muestra un resumen de los derechos de privacidad de los interesados:
- El derecho a ser informado
- El derecho de acceso
- El derecho a la rectificación
- El derecho a borrar
- El derecho a restringir el procesamiento
- El derecho a la portabilidad de los datos
- El derecho a objetar
- Derechos en relación con la toma de decisiones automatizada y elaboración de perfiles.
Contar con un equipo de expertos que pongan orden es de vital importancia. En Evolvers diseñamos las bases contractuales para la adecuada contratación y comercialización de servicios o productos de forma digital, así como su contratación y comercialización por terceros.
Ponte en contacto con nosotros si necesitas asesoramiento legal sobre protección de datos.