El GDPR (Reglamento General de Protección de Datos – RGPD), publicado en el Diario Oficial de la Unión Europea el 4 de mayo de 2016, pretende crear un marco legal de protección de datos armonizado en toda la Unión Europea, con el objetivo de devolver el control a los ciudadanos sobre sus datos personales, imponiendo a su vez reglas estrictas sobre quienes alojen y «traten» estos datos, en cualquier lugar del mundo. El reglamento también presenta reglas referentes a la libre circulación de datos personales dentro y fuera de la Unión Europea. El Reglamento entró en vigor 20 días después de su publicación y será de aplicación inmediata a partir del 25 de mayo de 2018, para cualquier organización que opere en el mercado de la UE o trate datos personales de ciudadanos de la UE.

De acuerdo con el GDPR:

  • El tratamiento consiste en cualquier operación o conjunto de operaciones que se realizan sobre datos personales, de forma automatizada o manual. El GDPR incluye ejemplos de esto en su definición.
  • Los datos personales se definen como cualquier dato que identifique directa o indirectamente o haga identificable a una persona, como nombres, números de identificación, datos de ubicación e identificadores online, tanto si los datos pertenecen a los clientes, a los empleados u a otros, siempre y cuando sean personas naturales.

Con estas directrices tan generales resulta difícil, si no imposible, identificar organizaciones que no se vean afectadas de algún modo. Además, su ámbito se extiende globalmente debido a la naturaleza extraterritorial del GDPR. Por ejemplo, una organización que no pertenece a la UE, pero ofrece bienes o servicios a, o supervisa el comportamiento de, ciudadanos de la UE se regirá por el GDPR, independientemente de si genera rendimiento económico.

 

Cumplir con la normativa no solo le evitará tener que hacer frente a posibles sanciones, también mejorará su posición con respecto a la competencia al reforzar la confianza que sus clientes depositan en usted.

 

Principales obligaciones del GDPR
 

  1. Derechos de los ciudadanos de la UE
    El GDPR mejora los derechos de los ciudadanos de la UE. Por ejemplo, codifica y clarifica la capacidad de las personas de solicitar acceso a y eliminar su información. Asimismo, las organizaciones tienen que facilitar el acceso a los datos personales, con información clara y comprensible sobre el tratamiento. De esta manera, los interesados pueden saber cómo se utiliza su información.
     
  2. Seguridad de los datos personales
    Un gran cambio para muchas organizaciones: estarán obligadas a notificar las infracciones de datos a los organismos normativos en un plazo de 72 horas, y en escenarios de alto riesgo, notificar también a las personas cuyos datos podrían haberse comprometido. Todos los datos deben contar con medidas técnicas y funcionales para garantizar el nivel de seguridad adecuado al riesgo que comporta. Las organizaciones tienen la obligación de aplicar medidas de seguridad: incluso si no han sufrido una infracción de datos, podrían infringir el reglamento si no siguen medidas proactivas.
     
  3. Legalidad y consentimiento
    El tratamiento de datos personales se considerará legal únicamente si se cumple uno de los seis factores del GDPR (por ejemplo, si es necesario para la ejecución de un contrato o si se requiere por algún otro motivo de cumplimiento normativo o retención legal). El consentimiento es también uno de estos factores, pero en el GDPR, este será más difícil de demostrar. El consentimiento conlleva estrictos requisitos, incluyendo el hecho de que puede retirarse en cualquier momento (en tal caso, una organización necesitaría basarse en uno de los otros factores para retener los datos legalmente).
     
  4. Responsabilidad de cumplimiento
    Los reguladores ejercerán sus competencias para acceder a los datos e instalaciones, y las organizaciones deberán ser capaces de demostrar el cumplimiento de los principios del GDPR relacionados con los datos personales. Habrá disponibles mecanismos que ayudarán a proporcionar estas pruebas — incluyendo evaluaciones de impacto de protección de datos, la adhesión a códigos de conducta o la búsqueda proactiva de certificación a través de los mecanismos aprobados — pero aún no se han acabado de definir.
     
  5. Protección de datos de forma predeterminada
    Finalmente, los controladores de datos deben implementar medidas organizativas y técnicas para demostrar el cumplimiento con los principios del GDPR, garantizando los derechos de los interesados y que solo se tratarán los datos necesarios para la finalidad específica. En otras palabras, la privacidad de los datos para las personas debe ser una acción predeterminada y debe diseñarse en todos los procesos tecnológicos y organizativos desde la base.