¿Qué significa cumplir con el RGPD?

En esencia, cumplir con el RGPD significa que la organización correspondiente está dentro del ámbito del RGPD y cumple con los requisitos de tratamiento adecuado para con los datos personales.

El RGPD describe ciertas obligaciones que las organizaciones deben seguir y que limitan la forma en que se pueden utilizar los datos personales. Asimismo, también define nueve derechos del interesado que garantizan derechos específicos con respecto a los datos personales de los individuos. Por último, aporta a los individuos una mayor autonomía sobre sus datos personales y la forma en que se utilizan.
 

Resumen general del RGPD

A nivel global, el RGPD es la ley de privacidad más robusta que se encuentra vigente en la actualidad. La Unión Europea (UE) redactó este reglamento con el fin de regular la forma en que las organizaciones recopilan, tratan y protegen los datos personales de los residentes de la UE. Asimismo, el RGPD entró en vigor el 25 de mayo de 2018 y se trata de un reglamento vinculante que afecta de manera directa a las legislaciones de los Estados miembros. Dicho esto, está diseñado para fortalecer los derechos de privacidad al otorgar a los interesados el control sobre cómo se obtienen, utilizan y comparten sus datos personales.

Los objetivos principales del RGPD son los siguientes:

1. Establecer y proteger los derechos de privacidad fundamentales de los individuos.
   
2. Unificar las leyes de privacidad dentro de toda la UE al sustituir las 28 leyes de cada Estado miembro y la Directiva de protección de datos de 1995 anterior.
   
3. Adaptar las leyes de privacidad para que reflejen el cambio que el panorama tecnológico ha tenido sobre los datos personales en los últimos 25 años.
   

Terminología clave del RGPD

Antes de entrar en más detalles, es importante definir los términos clave del RGPD.

• Los interesados son individuos que residen en la UE y cuyos datos son recopilados, almacenados o tratados por un encargado o responsable del tratamiento.
  
• El responsable del tratamiento es la entidad responsable de determinar el propósito y la base jurídica para el tratamiento de los datos personales.
  
• El encargado del tratamiento, que colabora con el responsable del tratamiento, es la parte responsable del tratamiento de los datos personales de parte del responsable del tratamiento.
  
• El tratamiento es cualquier operación o conjunto de operaciones automatizadas o manuales que se realizan con los datos personales o conjuntos de estos, incluida la recopilación, registro, organización, estructuración, almacenamiento, adaptación o alteración, recuperación, etc.
  
• Los datos personales son cualquier información que esté relacionada con una persona física («interesado») y que pueda identificar de modo directo o indirecto a dicha persona. Por ejemplo, datos relacionados con su vida privada, profesional o pública (como nombre, dirección de email, fotos o incluso extractos bancarios).
  
• Obtener el consentimiento del interesado hace referencia a cualquier «indicación de carácter libre, específico, informado e inequívoco» de que el interesado acepta el tratamiento de sus datos personales. Dicho esto, los interesados pueden otorgar su consentimiento mediante una declaración o acción afirmativa de carácter explícito.
   

¿Se aplica el RGPD a tu organización?

A la hora de saber si el RPGD afecta a tu organización, debes tener en cuenta tanto el «ámbito de aplicación material» (es decir, si tu actividad de tratamiento está regulada por el RPGD) y el «ámbito territorial» (es decir, si te encuentras en una jurisdicción donde el RGPD tiene efecto).
 

¿Se aplica el RGPD a las empresas de EE. UU.?

Las organizaciones estadounidenses pueden encontrarse dentro del ámbito del RGPD. Para determinar si tu organización debe cumplir con el RGPD o no, se debe aplicar el mismo análisis; es decir, examinar el ámbito de aplicación material y territorial de la ley, que se describe a continuación. En resumen, si tu organización trata (es decir, recopila, registra, estructura, almacena, altera, utiliza, divulga, borra, etc.) información personal de un individuo que resida en la UE a cambio de bienes o servicios, o con el fin de monitorizar el comportamiento de los ciudadanos de la UE, es más que probable que se encuentre dentro del ámbito del RGPD.
 

El ámbito de aplicación material

El RGPD se aplica al tratamiento de datos personales que se efectúa de manera completa o parcial a través de medios automatizados. También se aplica al tratamiento que no utiliza medios automatizados pero que forma parte (o tiene el objetivo de formar parte) de un sistema de registro. Esto abarca la mayoría de las actividades que las organizaciones realizan con los datos, incluida la recopilación, registro, almacenamiento, acceso o visualización, uso, análisis, combinación, divulgación o eliminación de datos personales.
 

El ámbito territorial: ¿se aplica el RGPD fuera de la UE?

El RGPD se aplica al tratamiento de datos personales por parte de un responsable o encargado del tratamiento que se encuentre establecido en la UE (independientemente de que el tratamiento tenga lugar o no en la UE).

De forma extraterritorial, el RGPD también se aplica si un responsable o encargado del tratamiento que no se encuentra establecido en la UE ofrece bienes o servicios a interesados dentro de la UE o monitoriza su comportamiento dentro de la UE. Por ejemplo, el RGPD se aplica a un sitio web de compras en línea de EE. UU. que atrae y ofrece bienes a clientes de la UE. Da igual si la oferta de bienes y servicios es gratuita. Y el reglamento también podría involucrar a organismos gubernamentales extranjeros u organizaciones sin ánimo de lucro. Por ejemplo, el RGPD se aplicaría a una página de información sobre viajes que estuviera administrada por un gobierno estatal de los EE. UU. que recopilase información personal, como direcciones IP, mientras los visitantes del sitio de la UE acceden a la información gratuita sobre viajes.
 

¿Cuáles son los derechos del interesado de acuerdo con el RGPD?

El RGPD establece 9 derechos fundamentales para los interesados si se incluye el derecho a retirar el consentimiento. Abajo, analizamos estos derechos con mayor detalle:

1. Derecho a ser informado (artículos 12 a 14 del RGPD)
   Los interesados tienen derecho a ser informados sobre cómo se recopilan y utilizan sus datos personales.
2. Derecho de acceso (artículo 15 del RGPD)
   Los interesados tienen derecho a ver y solicitar copias de sus datos personales.
   
3. Derecho de rectificación (artículo 16 del RGPD)
   Los interesados tienen derecho a solicitar que se actualice o corrija su información personal si esta fuera inexacta o estuviera obsoleta.
   
4. Derecho de supresión o «el derecho al olvido» (artículo 17 del RGPD)
   Los interesados tienen derecho a solicitar que se eliminen sus datos personales. Ten en cuenta que este no es un derecho absoluto y podría estar sujeto a exenciones de acuerdo con ciertas leyes.
   
5. Derecho a la portabilidad de los datos (artículo 20 del RGPD)
   Los interesados tienen derecho a solicitar que sus datos se transfieran a otro responsable del tratamiento o que se les proprocionen los datos personales directamente. Los datos deben proporcionarse en un formato electrónico legible por máquina.
   
6. Derecho a la limitación del tratamiento (artículo 18)
   Los interesados tienen derecho a solicitar la restricción o supresión de sus datos personales.
   
7. Derecho a retirar el consentimiento (artículo 7 del RGPD)
   Los interesados tienen derecho a retirar cualquier consentimiento que hayan otorgado con anterioridad para el tratamiento de sus datos personales.
   
8. Derecho de oposición (artículo 21 del RGPD)
   Los interesados tienen derecho a oponerse al tratamiento de sus datos personales.
   
9. Derecho de oposición al tratamiento automatizado (artículo 22 del RGPD)
   Los interesados tienen derecho a oponerse a que se tomen decisiones con sus datos únicamente a partir de la toma de decisiones automatizada o la elaboración de perfiles.
    

Lista de verificación de cumplimiento del RGPD de 11 pasos

Ahora que hemos cubierto los conceptos básicos, podemos hablar sobre las medidas que tu organización puede tomar para cumplir con el RGPD adecuadamente. El cumplimiento del RGPD no es un proceso completamente homogéneo para todas las empresas, pero sí que hay ciertas medidas que toda organización debe tomar a la hora de crear un programa de privacidad que se ajuste adecuadamente al RGPD:

1. Crear un plan factible siguiendo los 7 principios del RGPD
   
2. Generar un registro de tratamiento de acuerdo con el artículo 30
   
3. Poner en marcha la evaluación de impacto relativa a la protección de datos (EIPD) y la privacidad desde el diseño
   
4. Crear un marco para la gestión del consentimiento
   
5. Cumplir con los requisitos de cumplimiento normativo de privacidad en cuanto a cookies de la UE
   
6. Crear un portal de solicitudes de derechos del interesado
   
7. Revisar y remediar los riesgos del encargado del tratamiento
   
8. Preparar un flujo de trabajo para la notificación de incidentes y la gestión de brechas
   
9. Revisar los mecanismos de transferencia de datos transfronterizos
   
10. Implementar formación sobre cumplimiento normativo del RGPD
    
11. Designar un delegado de protección de datos (DPD)

 Ahora es el momento de analizar cada paso en mayor profundidad:
 

Paso 1: Crear un plan factible siguiendo los 7 principios del RGPD

El RGPD establece 7 principios clave que deben ser el núcleo de tu enfoque para el tratamiento de datos personales:

• Legitimidad, equidad y transparencia: siempre debe existir una base jurídica para cada actividad de tratamiento. Además, el tratamiento de los datos no puede ser inesperado y debe informarse al interesado sobre el tratamiento.
  
• Limitación del propósito: ten claro cuáles son tus propósitos de cara al tratamiento y al registro, y especifícalos en tu aviso de privacidad. Asimismo, limita el tratamiento a los propósitos que se hayan identificado.
  
• Minimización de datos: trata los datos personales únicamente según lo que sea estrictamente necesario.
  
• Exactitud: asegúrate de que los datos personales que hayas tratado son exactos y están actualizados. Dicho esto, corrije o elimina cualquier dato personal que sea inexacto lo antes posible.
  
• Limitación del almacenamiento: conserva los datos personales únicamente si de verdad los necesitas.
  
• Integridad y confidencialidad (seguridad): implementa medidas de seguridad adecuadas con el fin de proteger los datos personales del tratamiento no autorizado o ilícito, y de la pérdida, destrucción o daños accidentales.
  
• Responsabilidad proactiva: asume tu responsabilidad con respecto a lo que haces con los datos personales y cuenta con medidas y registros adecuados para demostrar que cumples con los principios normativos sobre tratamiento de datos.
  

El RGPD requiere el despliegue de medidas técnicas y organizativas adecuadas para implementar los principios de protección de datos de forma efectiva y salvaguardar los derechos de los interesados. A esto se le denomina «protección de datos desde el diseño y por defecto», lo que significa que tienes que integrar la protección de datos en tus actividades de tratamiento y en tus prácticas empresariales desde la fase de diseño a lo largo de todo el ciclo de vida del tratamiento de datos.
 

Artículos del RGPD:

• Artículo 5: Principios relativos al tratamiento
  
• Artículo 24: Responsabilidad del responsable del tratamiento
   

Paso 2: Generar un registro de tratamiento de acuerdo con el artículo 30

El RGPD exige que las organizaciones mantengan registros de sus actividades de tratamiento y se aseguren de que estos registros estén adecuadamente actualizados. El registro de actividades de tratamiento describe el proceso operativo para generar un inventario centralizado de los flujos de datos de la organización y mantenerlo actualizado.

Aunque el RGPD no menciona ningún registro de actividades de tratamiento de manera específica, sí que requiere que tanto los responsables como los encargados del tratamiento (B2B y B2C) mantengan un inventario de las actividades de tratamiento. Asimismo, el artículo 30 del RGPD es extremadamente específico en lo que respecta a sus requisitos, por lo que, incluso si una organización ya ha elaborado un registro de actividades de tratamiento con anterioridad, este deberá actualizarse o rediseñarse para cumplir con los requisitos del RGPD.
 

Artículos del RGPD:

• Artículo 6: Licitud del tratamiento
  
• Artículo 30: Registro de las actividades de tratamiento
  
• Artículo 32: Seguridad del tratamiento
   

Paso 3: Poner en marcha la evaluación de impacto relativa a la protección de datos (EIPD) y la privacidad desde el diseño

El RGPD exige que los responsables del tratamiento efectúen una evaluación de impacto relativa a la protección de datos (EIPD) dondequiera que las actividades de tratamiento puedan suponer un riesgo elevado para los individuos. El RGPD especifica que este proceso debe ser más elaborado que un mero cuestionario; p. ej., requiriendo que el delegado de protección de datos (DPD) se involucre en flujos de trabajo específicos, llevando un seguimiento de las actividades de tratamiento, documentando los riesgos según cómo perjudiquen a los individuos, consultando a los interesados, etc.

Además, en la práctica, las organizaciones suelen implementar un cuestionario de verificación «rápido» para analizar los riesgos y luego determinar si se necesita una EIPD más completa. Estos requisitos de flujo de trabajo y documentación, así como la experiencia del usuario y las expectativas de integración de los usuarios de empresa, requieren herramientas específicas para poner en marcha el RGPD.

Si se aplica correctamente, la EIPD puede ser un enfoque muy efectivo a la hora de cumplir con el requisito de protección de datos desde el diseño y por defecto.
 

Artículos del RGPD:

• Artículo 25: Protección de datos desde el diseño y por defecto
  
• Artículo 35: Evaluación de impacto relativa a la protección de datos
  
• Artículo 36: Consulta previa
   

Paso 4: Crear un marco para la gestión del consentimiento

El RGPD establece un estándar más alto para las organizaciones que tratan datos de acuerdo con el consentimiento. Por ejemplo, el consentimiento debe ser: específico, claro y presentarse en un lenguaje sencillo; es decir, no puede estar oculto entre avisos legales, no puede agruparse junto a múltiples avisos, debe ser fácil de retirar, etc. Además, las organizaciones deben ser capaces de demostrar que el consentimiento se recibió de manera detallada.
 

Artículos del RGPD:

• Artículo 7: Condiciones para el consentimiento
   

Paso 5: Cumplir con los requisitos de cumplimiento normativo de privacidad en cuanto a cookies de la UE

En virtud de la Directiva sobre la privacidad y las comunicaciones electrónicas, las organizaciones deben informar a los individuos si están utilizando cookies y explicar el propósito de dichas cookies. El consentimiento del usuario debe obtenerse mediante un proceso que permita que la organización pueda demostrar que el consentimiento se otorgó de manera activa y clara. Los usuarios también deben ser informados sobre las diferentes funciones de las cookies que se utilicen en el sitio web, así como la identidad de las organizaciones que implementen dichas cookies y utilicen los datos recopilados a través de ellas. Aun así, están exentas las cookies que sean esenciales para ofrecer el servicio en línea a petición del individuo; por ejemplo, para recordar lo que hay en su cesta de compra en línea o para garantizar la seguridad durante una transacción de banca en línea. Se aplican las mismas reglas si se utilizan otros tipos de tecnologías para almacenar u obtener acceso a información en el dispositivo del individuo; por ejemplo, SDKs para aplicaciones móviles.

Los requisitos de la Directiva sobre la privacidad y las comunicaciones electrónicas se aplican sin importar si las cookies están tratando datos personales o con carácter anónimo. Incluso cuando los datos de las cookies sean anónimos, el consentimiento de los usuarios a la hora de recopilarlas es necesario para cumplir con los requisitos del RGPD. Si los datos de las cookies no son anónimos, la organización también tendrá que cumplir con las normas adicionales del RGPD en cuanto a la protección de datos personales, como realizar una EIPD y registrar dicha actividad de tratamiento en sus registros de tratamiento.

El RGPD ha influido en la redacción del reglamento de privacidad electrónica que sustituirá a la actual Directiva sobre la privacidad y las comunicaciones electrónicas y se ajustará aun más al RGPD. Asimismo, las organizaciones se enfrentarán a mayores sanciones y medidas reglamentarias más específicas en virtud del borrador actual del reglamento de privacidad electrónica.
 

Artículos del RGPD:

• Artículo 7: Condiciones para el consentimiento
  
• Artículo 21: Derecho de oposición
  
• Directiva sobre la privacidad y las comunicaciones electrónicas / Borrador del reglamento de privacidad electrónica
   

Paso 6: Crear un portal de solicitudes de derechos del interesado

El RGPD otorga a los interesados derechos específicos como, p. ej., la portabilidad, el acceso, la supresión (o «derecho al olvido») y rectificación con respecto a los datos, entre muchos otros aspectos. Además, en lo que respecta al mantenimiento de registros, existen requisitos específicos sobre el tiempo a la hora de responder, la posibilidad de solicitar una extensión, la obligación de validar la identidad, transmitir de manera segura la respuesta al individuo, etc. Por tanto, disponer de un portal automatizado para ayudar con la entrada y la clasificación de solicitudes es un paso vital a la hora de gestionar, llevar un seguimiento y elaborar informes sobre tus solicitudes de ejercicio de derechos del interesado.
 

Artículos del RGPD:

• Artículo 7: Condiciones para el consentimiento
  
• Artículo 12: Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado
  
• Artículo 13: Información que deberá facilitarse cuando los datos personales se obtengan del interesado
  
• Artículo 14: Información que deberá facilitarse cuando los datos personales no se hayan obtenido del interesado
  
• Artículo 15: Derecho de acceso del interesado
  
• Artículo 16: Derecho de rectificación
  
• Artículo 17: Derecho de supresión («el derecho al olvido»)
  
• Artículo 18: Derecho a la limitación del tratamiento
  
• Artículo 19: Obligación de notificación relativa a la rectificación o supresión de datos personales o la limitación del tratamiento
  
• Artículo 20: Derecho a la portabilidad de los datos
  
• Artículo 21: Derecho de oposición
   

Paso 7: Revisar y remediar los riesgos del encargado del tratamiento

El RGPD exige cuentas al responsable del tratamiento y lo responsabiliza de las acciones o brechas del encargado del tratamiento. Es fundamental analizar las transferencias de datos del encargado del tratamiento y las obligaciones contractuales con el mismo nivel de diligencia que las actividades de tratamiento internas con objeto de tener una postura defendible en el desafortunado caso de que un encargado del tratamiento experimentara una brecha. Además, permite que las organizaciones puedan comprender con rapidez qué datos se vieron afectados por la brecha.
 

 Artículos del RGPD:

• Artículo 28, apartados 1-3: Encargado del tratamiento
  
• Artículo 24, apartado 1: Responsabilidad del responsable del tratamiento
  
• Artículo 29: Tratamiento bajo la autoridad del responsable o del encargado del tratamiento
  
• Artículo 46, apartado 1: Transferencias mediante garantías adecuadas
   

Paso 8: Preparar un flujo de trabajo para la notificación de incidentes y la gestión de brechas

El RGPD incluye requisitos estrictos de notificación de 72 horas a la autoridad de control y, cuando sea probable que la brecha de datos pueda causar un riesgo elevado para los derechos y libertades de las personas físicas, una notificación adicional para los interesados. Es fundamental que las organizaciones cuenten con un proceso sistemático para cumplir con estos requisitos.
 

Artículos del RGPD:

• Artículo 33: Notificación de una violación de la seguridad de los datos personales a la autoridad de control
  
• Artículo 34: Comunicación de una violación de la seguridad de los datos personales al interesado
   

Paso 9: Revisar los mecanismos de transferencia de datos transfronterizos

El RGPD requiere el mismo nivel de protección para los datos personales que se transfieran fuera del EEE. Esto requiere que las organizaciones revisen y garanticen que cuentan con los mecanismos adecuados para la transferencia transfronteriza de datos.

Lo primero que hay que tener en cuenta al transferir datos personales a un tercer país es si existe una decisión de adecuación. Una decisión de adecuación significa que la Comisión Europea ha decidido que el tercer país o la organización internacional garantiza un nivel adecuado de protección de datos. Sin embargo, esta decisión está sujeta a revisión por parte de la Comisión y puede revertirse como, p. ej., el Escudo de privacidad UE-EE. UU. Otro ejemplo es la Comisión Europea, que concedió al Reino Unido dos decisiones de adecuación tras el Brexit.

En ausencia de una decisión de adecuación, el RGPD permite la transferencia si el responsable o el encargado del tratamiento han proporcionado las garantías adecuadas. Las garantías más comunes son las cláusulas contractuales tipo, que establecen obligaciones al exportador y al importador de datos, y ofrecen derechos a los interesados.

La transferencia de datos podría seguir siendo posible si no hubiera ninguna decisión de adecuación o garantías adecuadas. En este caso, las organizaciones pueden confiar en una excepción, como el consentimiento explícito del interesado o si la transferencia fuera necesaria para ejecutar un contrato. Sin embargo, esto no es recomendable, puesto que sin las garantías adecuadas, hay un mayor riesgo de que tenga lugar una brecha de datos.
 

Artículos del RGPD:

• Artículo 44: Principio general de las transferencias
  
• Artículo 45: Transferencias basadas en una decisión de adecuación
  
• Artículo 46: Transferencias mediante garantías adecuadas
  
• Artículo 47: Normas corporativas vinculantes
  
• Artículo 49: Excepciones para situaciones específicas
   

Paso 10: Implementar formación sobre cumplimiento normativo del RGPD

El RGPD requiere que un delegado de protección de datos monitorice el cumplimiento normativo de la organización con respecto al RGPD, lo que incluye incrementar la concienciación y formar adecuadamente al personal. Por ello, las organizaciones deben proporcionar a su personal formación inicial y periódica. También, debe ponerse en marcha un mecanismo para mantener un registro de la formación con objeto de demostrar el cumplimiento normativo.
 

Artículos del RGPD:

• Artículo 39: Funciones del delegado de protección de datos
  
• Artículo 47: Normas corporativas vinculantes
   

Paso 11: Designar un delegado de protección de datos (DPD)

El RGPD requiere que la organización designe a un delegado de protección de datos (DPD) si se trata de una autoridad u organismo público, o si las actividades principales de la organización requieren una supervisión a gran escala de manera regular y sistemática de los individuos —por ejemplo, al llevar un seguimiento del comportamiento en línea—, o si las actividades principales consisten en un tratamiento a gran escala de categorías especiales de datos o datos relacionados con condenas y delitos penales.

Por su parte, el DPD también es responsable de garantizar el cumplimiento del RGPD. De hecho, ayuda a que la organización pueda monitorizar el cumplimiento normativo a nivel interno, informar y asesorar sobre las obligaciones de protección de datos, asesorar sobre las evaluaciones de impacto relativas a la protección de datos (EIPD) y actuar como punto de contacto para los interesados y las autoridades de protección de datos.
 

Artículos del RGPD:

• Artículo 37: Designación del delegado de protección de datos
  
• Artículo 38: Posición del delegado de protección de datos
  
• Artículo 39: Funciones del delegado de protección de datos
  
  

Cómo ayuda OneTrust con el cumplimiento del RGPD

OneTrust Privacy Automation te ofrece las herramientas necesarias para crear un programa de cumplimiento normativo del RGPD completo. Por ejemplo, con nuestra solución puedes:

• Poner en marcha evaluaciones de impacto sobre la privacidad (EIP), evaluaciones de impacto relativas a la protección de datos (EIPD), implementar privacidad desde el diseño y otras evaluaciones de seguridad y privacidad internas con carácter específico para el RGPD.
• Mantener un mapa permanente de los flujos de datos y las transferencias transfronterizas, completar registros de tratamiento y sacar provecho de plantillas predefinidas del artículo 30.  
• Poner en marcha tu plan de respuesta ante incidentes, administrar el ciclo de vida de los incidentes y obtener directrices automatizadas sobre la notificación de brechas que se pueden adaptar a cientos de leyes. 
• Administrar el flujo de trabajo completo de las solicitudes de ejercicio de derechos del interesado desde su recepción hasta su finalización con ayuda de flujos de trabajo predefinidos y directrices con respecto a los requisitos del RGPD y de otras regulaciones de privacidad. 
• Analizar tus sitios web para identificar cookies y rastreadores, y generar avisos de cookies, centros de preferencias y políticas de cookies específicos para cada ubicación. 
• Recopilar, centralizar y sincronizar datos de consentimiento de los usuarios a partir de diferentes canales, plataformas y sistemas.

Solicita una demostración para saber más sobre cómo OneTrust Privacy Automation te puede ayudar a elaborar un programa de cumplimiento normativo para el RGPD.