RGPD
RGPD

Reglamento General de Protección de Datos

La normativa que convirtió los banners de cookies en la ventana emergente que menos gusta a todo el mundo

El Reglamento General de Protección de Datos (RGPD) es la ley de privacidad más importante de la UE, que regula la forma en que se recogen, tratan y protegen los datos personales. Desde mayo de 2018, es el referente mundial en materia de protección de datos —y la razón por la que tu bandeja de entrada se llenó de correos electrónicos del tipo «Hemos actualizado nuestra política de privacidad».

Ámbito de aplicación

Cualquier organización que trate datos personales de personas físicas en la UE o el EEE, independientemente de dónde tenga su sede. Sí, eso te incluye a ti también, Silicon Valley.

Alcance geográfico

UE/EEE + cualquier organización de cualquier parte del mundo que ofrezca bienes o servicios a personas físicas en la UE o que supervise su comportamiento.

En vigor desde

25 de mayo de 2018

Objetivo

Para que las personas tengan control sobre sus datos personales y para simplificar el marco normativo de las actividades comerciales internacionales. Dato curioso: el reglamento tiene 88 páginas, contiene 99 artículos y ha generado aproximadamente 4200 millones de ventanas emergentes de consentimiento para el uso de cookies (estimación no oficial).

Ir a tu función:

Responsable del tratamiento

Tú determinas los fines y los medios del tratamiento de los datos personales. En pocas palabras: tú decides por qué y cómo se utilizan los datos personales. Si fuiste tú quien dijo «recopilemos direcciones de correo electrónico para nuestro boletín informativo», enhorabuena: eres el responsable del tratamiento.

Tus obligaciones

  • Establecer una base jurídica para cada actividad de tratamiento (art. 6): «porque podemos» no es una de ellas
  • Lleve un registro de las actividades de tratamiento (RoPA) en el que se documente qué datos trata y por qué (art. 30)
  • Realizar evaluaciones de impacto relativas a la protección de datos (EIPD) para los tratamientos de alto riesgo, como la elaboración de perfiles o la vigilancia a gran escala (art. 35)
  • Notifique las violaciones de datos personales a su autoridad de control en un plazo de 72 horas (art. 33), incluidos los fines de semana y los días festivos
  • Asegúrese de que los interesados puedan ejercer sus derechos: acceso, rectificación, supresión («derecho al olvido»), portabilidad y oposición (artículos 15 a 22)
  • Adoptar las medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos (art. 32); una nota adhesiva con la contraseña de la base de datos no cumple este requisito
  • Nombrar a un delegado de protección de datos (DPO) si es necesario (art. 37)
  • Recurra únicamente a encargados del tratamiento que ofrezcan garantías suficientes, y formalice este acuerdo en un acuerdo de tratamiento de datos (art. 28)

Artículos destacados

Art. 5 — PrincipiosArt. 6 — Base jurídicaArt. 13-14 — Obligaciones de informaciónArt. 28 — Acuerdos con los encargados del tratamientoArt. 30 — Registros de tratamientoArt. 32 — Medidas de seguridadArt. 33–34 — Notificación de infraccionesArt. 35 — EIPD
Consejo de experto

Empieza por tu RoPA. Si no sabes qué datos tratas, no podrás protegerlos. Piensa en ello como un mapa: no te moverías por una ciudad sin uno (a menos que te guste perderte).

Encargado del tratamiento de datos

Tú tratas datos personales por cuenta de un responsable del tratamiento. Piensa, por ejemplo, en un proveedor de alojamiento en la nube, un servicio de gestión de nóminas o una plataforma de marketing por correo electrónico. Tú no decides qué hacer con los datos, sino que simplemente sigues las instrucciones del responsable del tratamiento. Es como un asistente muy bien pagado con instrucciones estrictas.

Tus obligaciones

  • Trate los datos únicamente de acuerdo con las instrucciones documentadas del responsable del tratamiento (art. 28); no se tolera el uso arbitrario de los datos personales
  • Lleve su propio registro de actividades de tratamiento (art. 30.2)
  • Aplicar las medidas de seguridad adecuadas (art. 32)
  • Notifique al responsable del tratamiento sin demora injustificada si descubre una violación (art. 33.2) — «Estaba de vacaciones» no constituye una demora injustificada
  • Prestar asistencia al responsable del tratamiento en la realización de evaluaciones de impacto relativas a la protección de datos y en la tramitación de las solicitudes de los interesados, cuando así se le solicite (art. 28.3)
  • Solo se podrá recurrir a subencargados del tratamiento previa autorización del responsable del tratamiento (art. 28.2)
  • Eliminar o devolver todos los datos personales cuando finalice la relación de tratamiento (art. 28.3 g)

Artículos destacados

Art. 28 — Obligaciones del encargado del tratamientoArt. 29 — Tratamiento por cuenta de un terceroArt. 30.2 — Registros del encargado del tratamientoArt. 32 — SeguridadArt. 33.2 — Notificación de la violación de datos al responsable del tratamiento
Consejo de experto

Pon en orden tus acuerdos de tratamiento de datos antes de que tu principal cliente te los pida. Tener una plantilla preparada es, para un encargado del tratamiento, como llevar siempre un paraguas: te alegrarás de haberlo hecho.

Delegado de Protección de Datos (DPO)

Eres el experto independiente en protección de datos de la organización. Asesoras, supervisas el cumplimiento normativo y actúas como punto de contacto con la autoridad de control. Dependes directamente de la alta dirección y nadie puede dictarte tus conclusiones. En esencia, eres el auditor de la protección de datos: no eres precisamente el más popular en las fiestas, pero todo el mundo te llama cuando las cosas van mal.

Tus obligaciones

  • Informar y asesorar al responsable del tratamiento o al encargado del tratamiento sobre sus obligaciones en virtud del RGPD (art. 39.1 a)
  • Supervisar el cumplimiento del RGPD y de las políticas internas de protección de datos (art. 39.1 b)
  • Asesorar sobre las evaluaciones de impacto relativas a la protección de datos y supervisar su ejecución (art. 39.1 c))
  • Actuar como punto de contacto para la autoridad de control (art. 39.1, letras d) y e))
  • Garantiza tu independencia: no debes recibir instrucciones sobre cómo realizar tus tareas (art. 38.3)
  • Mantener un conocimiento especializado de la legislación y las prácticas en materia de protección de datos (art. 37.5)
  • Estar a disposición de los interesados que deseen plantear sus inquietudes (art. 38.4)

Artículos destacados

Art. 37 — Designación del delegado de protección de datosArt. 38 — Funciones del delegado de protección de datosArt. 39 — Funciones del delegado de protección de datos
Consejo de experto

Deja constancia de tus recomendaciones, sobre todo cuando la dirección decida no seguirlas. Tu yo futuro te lo agradecerá cuando la autoridad supervisora llame a tu puerta.

El interesado

Eres un ser humano de carne y hueso cuyos datos personales están siendo tratados. Eso es todo: no hace falta ninguna certificación. Si una organización tiene tu nombre, tu correo electrónico, tu dirección IP o incluso tus preferencias de cookies, eres un interesado. Lo que significa que tienes derechos. Bastantes, de hecho.

Tus obligaciones

  • Tienes derecho a acceder a tus datos personales y a obtener una copia (art. 15): pídelo amablemente, pero no es obligatorio
  • Puede solicitar la rectificación de datos inexactos (art. 16): su nombre no es «Estimado cliente»
  • Puedes solicitar la supresión de tus datos: el famoso «derecho al olvido» (art. 17)
  • En determinadas situaciones, puede solicitar la limitación del tratamiento (art. 18)
  • Tienes derecho a la portabilidad de los datos: puedes recuperar tus datos y trasladarlos a otro lugar (art. 20)
  • Puede oponerse al tratamiento de sus datos, incluidos la elaboración de perfiles y el marketing directo (art. 21); sí, puede darse de baja
  • Tiene derecho a no ser objeto de decisiones exclusivamente automatizadas, incluida la elaboración de perfiles (art. 22)
  • Puede presentar una reclamación ante una autoridad de control si se vulneran sus derechos (art. 77)

Artículos destacados

Art. 15 — Derecho de accesoArt. 16 — RectificaciónArt. 17 — SupresiónArt. 20 — Portabilidad de los datosArt. 21 — Derecho de oposiciónArt. 22 — Toma de decisiones automatizadaArt. 77 — Reclamación ante la autoridad competente
Consejo de experto

Cuando ejerzas tus derechos, sé específico sobre lo que quieres. Una solicitud clara y por escrito (por correo electrónico está bien) da resultados más rápidos que un vago «quiero todos mis datos». Consejo de experto: menciona el RGPD en el asunto del correo; suele acelerar el proceso.

Cómo puede ayudarte Euregas

Herramientas disponibles

  • Registro de actividades de tratamiento (RoPA): documenta todas las actividades de tratamiento con plantillas integradas
  • Evaluación de impacto relativa a la protección de datos (DPIA) con matriz de riesgos: evalúa y puntúa los riesgos en siete dimensiones
  • Gestión de incidentes: realiza un seguimiento de las infracciones con recordatorios automáticos de 72 horas
  • Derechos de los interesados: gestión integral de las solicitudes de acceso, supresión y portabilidad
  • Gestión del consentimiento: seguimiento de la obtención y la revocación del consentimiento, y registros de auditoría
  • Mapeo de datos: visualiza los flujos de datos entre sistemas y terceros
  • Acuerdos de tratamiento de datos: gestionar las relaciones con los encargados del tratamiento y los subencargados del tratamiento
  • Evaluación de la base jurídica: documentar y revisar la base jurídica de cada actividad de tratamiento
  • Evaluación del impacto de las transferencias (TIA): evaluar las transferencias internacionales de datos

Funciones asistidas por IA

  • Asistente de consulta (gdpr_readiness): evaluación guiada en cinco pasos con análisis mediante IA en cada paso y referencias bibliográficas
  • Veredicto de cumplimiento generado por IA: conforme / conforme con condiciones / no conforme
  • Búsqueda semántica en los artículos del RGPD, las directrices del CEPD y la jurisprudencia
Nota

Todas las herramientas del RGPD (RoPA, DPIA, gestión de incidentes, etc.) son flujos de trabajo manuales con plantillas estructuradas. La asistencia mediante IA está disponible a través del asistente de consulta; no está integrada directamente en las herramientas individuales.

Todos los ejemplos son ficticios y tienen únicamente fines ilustrativos.