TABLA DE CONTENIDO
Introducción al Reglamento General de Protección de Datos de la UE (RGPD)
¿Qué es el RGPD y por qué todo el mundo habla de ello? El Reglamento General de Protección de Datos busca ofrecer a los ciudadanos de la UE un enfoque uniforme y armónico de privacidad en la Unión Europea, persigue fortalecer los derechos de las personas en la protección de sus datos de acuerdo a lo establecido en el artículo 8 de la Carta de Derechos Fundamentales de la UE. Después de casi cuatro años de deliberaciones y debates, el RGPD fue finalmente aprobado por el Parlamento de la UE el 14 de abril del 2016.
A pesar de que el documento se hizo válido 20 días después de su fecha de aprobación, la fecha de entrada en vigor se estableció para el 25 de mayo del 2018. Puede parecer que hay suficiente tiempo para prepararse, pero lo cierto es que hay muchas cosas por hacer, debido a algunos cambios importantes. En este artículo, podrá encontrar explicado el RGPD.
Reglamento vs. directiva
Uno de los primeros cambios, y fundamental, del marco de trabajo anterior para la protección de datos (Directiva para la Protección de Datos UE – Directiva 95/46/UE) es que, después de varios debates, el Parlamento de la UE decidió que el nuevo marco de trabajo de privacidad se estableciera en forma de reglamento en vez de directiva.
¿Por qué un reglamento? La respuesta es sencilla – un reglamento es un acto legislativo vinculante directamente aplicable a todos los estados miembros de la UE, eliminando la necesidad de realizar actas legislativas locales. Sin embargo, a pesar de la necesidad de una legislación local, seguramente existirán diferencias en cómo el RGPD UE es interpretado y cumplido en los diferentes estados miembros.
Aparte de la necesidad de un marco común de privacidad, al promulgar el RGPD UE, la UE está enviando un fuerte mensaje de su compromiso en proteger los datos personales de los interesados de la UE (un interesado es un persona física relacionado con los datos personales), y no sólo de las compañías que operan en la UE.
El alcance adicional del RGPD
Además de la pregunta de qué es el RGPD, una de las preguntas más frecuentes es ¿dónde se aplica el RGPD de la UE? El alcance extraterritorial es una de las nuevas características que contribuirá significativamente al aumento del nivel de protección de los datos personales. ¿Qué quiere decir extraterritorial? Probablemente uno de los cambios más importantes, ya que el RGPD se aplicará de manera más amplia afectando entidades fuera de la UE. Por supuesto, algunas condiciones deben ser cumplidas para que sea aplicable la extraterritorialidad. El RGPD UE se aplicará al tratamiento de datos personales de los interesados de la UE, sin importar si las actividades de tratamiento se llevan a cabo en la UE o no. El RGPD de la UE también es aplicable a las entidades establecidas fuera de la UE si ofrecen bienes o servicios a individuos de la UE, o si supervisan el comportamiento de los individuos de la UE (por ejemplo, elaboración de perfiles, seguimiento de actividades individuales en internet, etc.).
La clave para entender cuándo se aplica el RGPD UE es entender el significado de "en la Unión". El RGPD UE solo se aplicará a los datos personales relativos a personas dentro de la Unión, mientras que la nacionalidad o residencia habitual de esos individuos es irrelevante. Por ejemplo, una empresa con sede en la UE que esté procesando datos de personas japonesas ubicadas en Japón deberá cumplir con el RGPD UE. En consecuencia, las personas japonesas se beneficiarán de todos los derechos relativos al RGPD UE, incluso si estos derechos no existen en las leyes de su propio país.
Cuando los datos de los ciudadanos de la UE se procesan fuera de la UE por empresas que también están fuera de la UE, entonces esta situación no se considera "en la Unión". Por ejemplo, el RGPD UE no será aplicable para una escuela que tenga su sede en los Estados Unidos solo porque exista la posibilidad de que uno o varios de sus estudiantes sean ciudadanos de la UE. En este caso, el tratamiento no tiene lugar "en la Unión" ni es el individuo "en la Unión".
Una de las consecuencias del alcance extraterritorial es que las empresas no establecidas en la UE deben designar un representante. Dicho representante debe encontrarse dentro de un estado miembro en el cual se localicen los interesados. Sólo se permite una derogación limitada cuando el tratamiento sea ocasional, no involucre tratamiento a gran escala de datos personales sensibles, y cuando el propósito y resultado del tratamiento no pueda ocasionar riesgos a los individuos.
Lista de verificación de la Documentación Obligatoria Requerida por el RGPD de la UE (en Inglés)
Transferencia de datos personales a través de las fronteras
Al transferir datos, el RGPD impone restricciones estrictas a las transferencias a localizaciones fuera de la Unión Europea. Esto se hace para asegurar la protección de datos personales a un nivel adecuado. ¿Cuándo se pueden realizar transferencias de datos a lugares fuera de la UE? Como explica el RGPD, la transferencia de datos fuera de la UE puede ocurrir si hay:
- una decisión de adecuación tomada por la UE (la UE ha determinado que cierto país tiene leyes de protección de datos equivalentes a las de la UE)
- protecciones apropiadas (por ejemplo, contratos que incluyen cláusulas modelo de la UE para la transferencia de datos personales)
- derogaciones específicas (por ejemplo, consentimiento claro e informado por el interesado)
Las transferencias de datos representan un área complicada del RGPD, especialmente porque el asunto del consentimiento es abordado por la UE, y el consentimiento es ampliamente usado para justificar transferencias a través de las fronteras de datos personales. Como tal, organizaciones que históricamente se han protegido a través de los consentimientos de sus usuarios pueden encontrarse teniendo que reprocesar su marco de trabajo para la transferencia de datos o afrontar altas sanciones.
Mantener seguros a los datos personales
El RGPD UE requiere que las compañías aseguren mantener seguros los datos personales, al igual que lo establece la directiva vigente. A pesar que esta obligación es expresada en términos generales, señala algunas indicaciones relacionadas con las medidas que deben proteger los datos personales, tales como:
- encripción y pseudonimización
- asegurar y mantener la confidencialidad, integridad, disponibilidad, y resiliencia de sus sistemas de TI
- capacidad de recuperar la disponibilidad y tener acceso a los datos personales de manera oportuna
- asistir y evaluar regularmente la efectividad de las medidas de seguridad establecidas para proteger los datos
Las medidas señaladas anteriormente son sólo ejemplos – no son obligatorias – y solo deben ser aplicadas “cuando proceda”. Por lo cual, es responsabilidad de la compañía demostrar que las medidas de seguridad son apropiadas.
Una buena práctica en términos de medidas de seguridad podría ser la norma ISO 27001, para que compañías puedan utilizarla como punto de inicio al construir sus medidas de seguridad para la protección de datos.
Lista de verificación de la Documentación Obligatoria Requerida por el RGPD de la UE (en Inglés)
Responsables vs. encargados
El RGPD UE también impone nuevas sanciones a los encargados del tratamiento. Este es un gran cambio en cuanto a las anteriores leyes de protección de datos, donde todas las obligaciones se centraban en el controlador de datos. Para comprender mejor qué es el RGPD, es importante saber que, entre otras cosas, ahora los procesadores de datos deben mantener registros de las actividades de procesamiento.
¿Y quién es un procesador de datos? Igual que antes, el encargado del tratamiento es una entidad (como una persona legal, autoridad pública, agencia u otro ente) que procesa datos personales a nombre del responsable.
Nuevos derechos para interesados
Como actualización importante, el RGPD UE introduce nuevos derechos para los interesados. Estos son:
- derechos al acceso, rectificación, y portabilidad
- derecho a objetar
- derechos al borrado y restricción de tratamiento
El cambio de más alto perfil es el ampliamente debatido “derecho al olvido” (que ahora se llama “derecho de supresión”). Este derecho al borrado puede iniciarse en ciertas situaciones específicas, incluyendo cuando el interesado retira su consentimiento o si ya no existe justificación alguna para el tratamiento de sus datos personales.
El responsable del tratamiento debe responder “sin dilación indebida” al recibir estas solicitudes y debe informar a todas las entidades con las cuales ha compartido los datos. Es claro que para todos los derechos de los interesados, existe un requerimiento estricto para los responsables del tratamiento en inventariar y ubicar los datos personales resguardados para ser capaces de responder los requerimientos de acceso (en cualquiera de sus formas) del interesado “sin dilaciones indebidas”.
Tener o no tener un DPD
En el RGPD también existe una obligación para algunas organizaciones para designar un delegado de protección de datos, bajo situaciones específicas:
- donde el responsable o encargado del tratamiento es una autoridad pública
- donde las actividades principales del responsable o encargado del tratamiento es “hacer el seguimientode manera regular y sistemática de los interesados a gran escala”
- donde el responsable o encargado de tratamiento realiza tratamiento a gran escala de categorías especiales de datos personales (tales como etnicidad, origen racial, opiniones políticas, creencias religiosas, etc.)
Violaciones de datos & seguridad
Además de la introducción de nuevos derechos para los interesados, el RGPD UE introduce nuevas reglas para las violaciones de datos. Si se compara con la directiva anterior, el RGPD establece obligaciones tanto para responsables como para los encargados de tratamiento. El RGPD también ofrece orientación y ejemplos para facilitar a las organizaciones la mitigación de riesgos. Entre ellos se encuentran:
- la seudonimización de datos personales (es decir, procesamiento de datos personales de una manera que ya no puede atribuirse a un sujeto de datos específico sin el uso de información adicional)
- la capacilidad de restaurar la disponibilidad de (y de acceder) los datos personales en el debido plazo después de ocurrir incidentes físicos o técnicos
- la capacidad de asegurar confidencialidad, integridad y resiliencia, de los sistemas de tratamiento
- agregando procesos para garantizar pruebas y evaluaciones regulares de las medidas técnicas y organizativas para garantizar la seguridad de los datos personales procesados
Multas y sanciones del RGPD
Para explicar el RGPD, es extremadamente importante saber que una mala gestión de las violaciones de datos se castigará con el nivel más alto de sanciones bajo el RGPD.
Otra manera para que el Parlamento Europeo afirme su compromiso con la privacidad es a través de las nuevas multas, que son significativamente más altas que las establecidas en la directiva anterior. Las multas pueden ser tan altas como el 4% del volumen global del negocio en la compañía que incumpla. La lógica detrás de estas grandes multas anti-monopolios es simple: las multas altas por no cumplimiento producen niveles más altos de cumplimiento. Será bastante difícil para las compañías aceptar un cierto nivel de riesgo al manejar datos personales, porque las multas aumentaron considerablemente y podrían arruinar a las empresas.
Las sanciones bajo el RGPD pueden caer bajo dos categorías en términos de montos de la multa:
- Hasta un 2% del volumen global anual del negocio o €10m, el que sea más alto, por incumplimiento en casos en los cuales hay:
- fallos en informar de una violación de datos
- fallos en cumplir con la privacidad en los principios de diseño establecidos en el artículo 25 del RGPD
- fallos en designar a un representante (donde el ente se encuentra fuera de la UE)
- fallos en obtener consentimiento al procesar datos de niños
- fallos en establecer cláusulas adecuadas para la protección de datos en los contratos con los encargados
- fallos en designar un delegado de protección de datos
- fallos en mantener registros escritos
- Hasta un 4% del volumen global anual del negocio o 20M€, el que sea más alto, por ofensas más graves, tales como:
- fallos en cumplir los principios de tratamiento de datos legales de acuerdo a lo establecido en el RGPD
- fallos en cumplir las disposiciones relacionadas con la transferencia de datos personales fuera de la UE
- fallos en el cumplimiento de los derechos de los interesados
A los nuevos costes de las multas se le suman los poderes adicionales de las autoridades supervisoras de la protección de datos, tales como emitir advertencias por no cumplimiento, llevar a cabo auditorías, solicitar correcciones específicas en un período de tiempo concreto, ordenar el borrado de datos, y suspender la transferencia de datos a terceros países.
El impacto del RGPD en diversas jurisdicciones
¿Qué pasa con el impacto del RGPD en diversas jurisdicciones? El impacto del RGPD pudiese ser ligeramente diferente para organizaciones que operan en jurisdicciones tales como Alemania, Francia, o los Países Bajos donde la legislación acerca de protección de datos es estricta históricamente, y en algunos casos, son más estrictos que la directiva vigente. El cumplimiento del RGPD se puede alcanzar más fácilmente por las compañías que operan en esos países, ya que las autoridades supervisoras en esos países ya han trabajado diligentemente para proteger los derechos y libertades individuales.
Sin embargo, en otras jurisdicciones donde las autoridades de protección de datos “se han dormido” debido a la falta de poderes administrativos y multas insignificantes, las organizaciones han ignorado los riesgos de los derechos y libertades de personas físicas, sabiendo que las autoridades de control no tenían ni los recursos ni la fuerza para imponer las multas a los infractores. Los encargados del tratamiento, en particular, se verán afectados por esas jurisdicciones porque, hasta ahora, nunca fueron el objetivo de las investigaciones de las autoridades de protección de datos.
¿Un paso hacia adelante . . . ?
En conjunto, ¿cuál es la relevancia del RGPD? Indiscutiblemente es un paso necesario para llevar el marco legal de protección de datos al siglo XXI, y en combinación con la promulgación de la directiva de privacidad, nunca ha habido un cambio más radical en la ley de protección de datos, quizás desde que Louis Brandeis argumentó que la privacidad era un derecho, y no un privilegio.
En otras palabras, si su organización no ha empezado a actualizar su marco de trabajo para la protección de datos aún, ahora es buen momento para empezar.
Para obtener más información sobre la implementación de RGPD UE, visite nuestra página de descarga gratuita de RGPD UE. Encontrará gran cantidad de recursos útiles.