El GDPR puede ser una regulación de la UE, pero ha afectado a países de todo el mundo. Comprender y adaptarse a esta ley puede salvar a tu empresa de recibir sanciones.

¿Qué es el GDPR en términos simples? El Reglamento General de Protección de Datos (GDPR) es una ley aprobada en la UE para proteger la privacidad y los datos de los ciudadanos. Esta regulación afecta a todas las organizaciones que hacen negocios en la UE, independientemente de la ubicación de la organización.

GDPR

¿Qué es el GDPR y cómo protege a los consumidores?

El Reglamento General de Protección de Datos es una ley integral de privacidad y ciberseguridad aprobada por la Unión Europea con el propósito expreso de proteger a los consumidores digitales del fraude y el acoso, al tiempo que les proporciona más control sobre su información personal. Implementado en 2016 y aplicado como una ley integral en 2018, el GDPR combina estrictas regulaciones de control de datos, privacidad y seguridad con sanciones relativamente severas para cualquier organización que haga negocios en la UE, incluidas organizaciones sin fines de lucro y organizaciones públicas que manejan información digital para marketing.

¿Qué hace el GDPR?

El GDPR esencialmente codifica los derechos de los consumidores y las empresas, el alcance de las operaciones que tienen las organizaciones en la gestión y uso de la información del consumidor, y cómo los consumidores pueden ejercer la propiedad de su información personal. La ley logra esto a través de varias áreas de jurisdicción, conocidas como los “Derechos de los Sujetos de Datos.”

Bajo las regulaciones, un “sujeto de datos” es cualquier individuo cuya información puede ser utilizada en marketing, procesamiento empresarial u otras operaciones empresariales. Los sujetos de datos son, bajo el GDPR, los propietarios completos y finales de su información, y como tal, tienen poderes mucho más amplios sobre su información que en otras jurisdicciones como los Estados Unidos.

Algunos de estos derechos incluyen los siguientes:

  • Derecho al Borrado: Un sujeto puede solicitar la eliminación de cualquier información que posea una organización en cualquier momento y por cualquier motivo. Esta acción debe ocurrir dentro de los 30 días.
  • Derecho de Acceso a los Datos Personales: En cualquier momento, por cualquier motivo, el consumidor puede solicitar y recibir acceso a cualquier información que una organización haya recopilado sobre ellos. Esta información debe ser entregada dentro de los 45 días.
  • Derecho a la Rectificación: En cualquier momento, por cualquier motivo, el consumidor puede solicitar a una organización que cambie o corrija cualquier error en su información.
  • Derecho a Restringir el Procesamiento de Datos: Los sujetos de datos pueden solicitar el cese de ciertos tipos de procesamiento utilizando su información digital.
  • Derecho a Oponerse: Este derecho permite al sujeto oponerse a que las organizaciones nieguen su derecho a restringir el procesamiento.
  • Derecho a la Portabilidad de los Datos: El sujeto puede solicitar que sus datos personales sean enviados a un tercero.
  • Derecho a Ser Notificado: Los sujetos de datos deben recibir notificación sobre los usos de su información personal y cómo pueden tomar medidas para abordar problemas relacionados con esta información y cómo se utiliza. Esto incluye la notificación de borrados o cambios realizados fuera de sus solicitudes personales.
  • Derecho a Rechazar la Toma de Decisiones Automatizada: Los sujetos de datos pueden rechazar el procesamiento automatizado de información personal para fines de marketing automático o toma de decisiones si esas decisiones afectan negativamente al sujeto.

Además, el GDPR requiere el consentimiento y la opción de participación del sujeto. A diferencia de otros países, una empresa en la UE no puede enviar arbitrariamente materiales no solicitados, solicitar información del consumidor o utilizar información del consumidor. En su lugar, el consentimiento debe ser primero, es decir, los consumidores deben optar por participar en cualquier marketing o comunicaciones.

Además, este tipo de consentimiento debe incluir la razón precisa de la solicitud junto con una descripción de para qué se utilizará la información. Debe ser “dado libremente, específico, informado y sin ambigüedades.”

¿Qué se considera datos personales bajo el GDPR?

Los datos personales bajo el GDPR de la UE se definen como cualquier información relacionada con una persona física identificada o identificable. Esto incluye cosas como nombre, dirección, números de identificación, fotografías, datos de ubicación e identificadores en línea como direcciones IP y cookies. Incluso los datos biométricos y genéticos se consideran datos personales. Otros datos personales incluyen, pero no se limitan a:

  • Datos de salud y genéticos
  • Datos biométricos
  • Datos raciales o étnicos
  • Opiniones políticas
  • Orientación sexual
  • Creencias religiosas
  • Afiliación a sindicatos

Las empresas deben tener mucho cuidado al recopilar y gestionar datos personales para protegerlos del uso indebido y el acceso no autorizado.

¿Quién debe cumplir con el GDPR?

Todas las empresas, organizaciones e individuos que procesen los datos de ciudadanos de la UE deben cumplir con el Reglamento General de Protección de Datos (GDPR). Esto incluye a cualquier empresa, organización o individuo que recopile, almacene o utilice los datos de ciudadanos de la UE, independientemente de dónde se procesen o almacenen los datos.

¿Cuáles son mis derechos bajo el GDPR?

Bajo el Reglamento General de Protección de Datos (GDPR), los ciudadanos de la UE tienen una serie de derechos en cuanto a cómo se recopilan y procesan sus datos personales. Estos derechos incluyen:

  1. El derecho a ser informado sobre la recopilación y el procesamiento de datos
  2. El derecho de acceso a tus datos personales
  3. El derecho a la rectificación de cualquier dato inexacto o incompleto
  4. El derecho al borrado o “derecho al olvido”
  5. El derecho a restringir u oponerse al procesamiento de datos personales
  6. El derecho a la portabilidad de los datos
  7. El derecho a oponerse a la toma de decisiones automatizada y la elaboración de perfiles
  8. El derecho a presentar una queja ante una autoridad de supervisión

¿Cuáles son los requisitos de consentimiento del GDPR?

Los requisitos de consentimiento del GDPR proporcionan a los individuos el derecho a saber cómo se está utilizando su información y proporcionan un marco práctico para que las empresas protejan adecuadamente los datos personales de sus clientes. El consentimiento debe ser dado libremente, específico, informado y sin ambigüedades. Esto significa que el consentimiento debe estar en un lenguaje claro y sencillo, y no puede inferirse del silencio o la inactividad.

El consentimiento también debe darse en una declaración separada de cualquier otro término y condición y debe presentarse en un formato fácilmente accesible. Los individuos también deben poder retirar el consentimiento en cualquier momento, y el proceso para retirar el consentimiento debe ser tan fácil como lo fue para dar el consentimiento inicial.

¿Cuáles son los artículos importantes en el GDPR?

Estos derechos están consagrados en los artículos de las regulaciones del GDPR. Debido a que diferentes requisitos se aplican a diferentes prácticas (seguridad, marketing, etc.), es lógico que las empresas dediquen más tiempo a comprender algunos artículos sobre otros.

Algunos de los artículos más importantes y de amplio alcance incluyen los siguientes:

  • Artículo 6 – Licitud del Procesamiento: Este artículo describe las regulaciones sobre el procesamiento y los derechos que tienen los sujetos de datos en ese proceso. Esto incluye cuándo y cómo los consumidores pueden dar su consentimiento para la recopilación; cómo las organizaciones deben documentar el consentimiento; y los pasos que las organizaciones deben tomar para garantizar que el procesamiento sea seguro, mantenga la privacidad de esa información y solo opere dentro de los límites claramente definidos del consentimiento proporcionado y el uso comercial razonable.
  • Artículo 15 – Derecho de Acceso del Sujeto de Datos: Este artículo establece que los sujetos tienen derecho a obtener todos sus datos de una organización, incluida información adicional sobre cómo se utilizan sus datos o cómo las organizaciones pueden utilizarlos en el futuro.
  • Artículo 16 – Derecho a la Rectificación: Los sujetos de datos tienen derecho a cambiar o actualizar cualquier información que consideren incorrecta, ya sea a través de un sistema automático o mediante contacto con la organización.
  • Artículo 17 – Derecho al Borrado: Este artículo detalla cómo las organizaciones deben cumplir con las solicitudes de borrado, incluidos los contextos o circunstancias para el borrado (consentimiento retirado, objeción al procesamiento, procesamiento ilegal, requisitos legales o falta de necesidades comerciales continuas).
  • Artículo 18 – Derecho a la Restricción del Procesamiento: Este artículo define cómo un sujeto puede gestionar y oponerse al procesamiento de su información por parte de una organización. Estas razones incluyen información incorrecta que necesita corrección, falta de necesidad adicional para que la empresa procese dichos datos dentro de los límites del consentimiento proporcionado, o potencialmente operaciones de procesamiento ilegales.
  • Artículo 20 – Derecho a la Portabilidad de los Datos: Este artículo destaca los derechos de los sujetos a que su información sea transmitida a terceros por parte de las organizaciones, siempre que sea factible.
  • Artículo 21 – Derecho a Oponerse: Define la capacidad de los sujetos de datos para oponerse al uso o procesamiento de su información por parte de cualquier organización (fuera de contextos como aquellos que benefician el interés público).
  • Artículo 28 – Procesador: Este artículo detalla los requisitos legales y técnicos específicos que cualquier organización que procese información de usuarios debe seguir. Estos incluyen recopilar y documentar el consentimiento, usar los datos solo para los fines explícitamente declarados y abstenerse de vender información del consumidor a terceros sin el consentimiento del usuario.

Hay otras subsecciones más pequeñas que describen cosas específicas que una organización debe implementar. Estas incluyen nombrar y mantener el puesto de Responsable de Protección de Datos (DPO) de acuerdo con las regulaciones, proporcionar descargos de responsabilidad significativos para los formularios de consentimiento y las obligaciones de informar violaciones a las autoridades gubernamentales tan pronto como se detecten.

¿Cuáles son los requisitos técnicos del GDPR?

  1. Los procesadores de datos personales deben garantizar la seguridad adecuada de los datos personales, incluido el cifrado de los datos personales, cuando sea apropiado.
  2. Las organizaciones deben garantizar que los datos personales solo se procesen cuando y en la medida necesaria, y de acuerdo con el derecho del sujeto de datos a acceder, rectificar y borrar.
  3. Las organizaciones deben proporcionar a los sujetos de datos información clara y concisa sobre el procesamiento de sus datos personales.
  4. Las organizaciones deben mantener registros de todas las actividades de procesamiento de datos personales realizadas por ellas.
  5. Las organizaciones deben obtener el consentimiento previo de los sujetos de datos para cualquier procesamiento de sus datos personales.
  6. Las organizaciones deben nombrar a un Responsable de Protección de Datos (DPO) para supervisar la implementación y el cumplimiento de las regulaciones del GDPR.
  7. Las organizaciones deben realizar evaluaciones de impacto de protección de datos (DPIAs) regularmente para identificar y mitigar cualquier riesgo potencial de protección de datos.
  8. Las organizaciones deben proporcionar a los sujetos de datos el derecho a oponerse al procesamiento, el derecho a la portabilidad de los datos y el derecho al olvido.
  9. Las organizaciones deben notificar a las autoridades pertinentes sobre violaciones de datos dentro de las 72 horas.
  10. Las organizaciones deben adherirse a los principios de protección de datos desde el diseño y protección de datos por defecto.

¿Cómo impacta el GDPR a las empresas de EE. UU. (Mejores prácticas para el cumplimiento del GDPR)?

Normalmente, un marco de cumplimiento para los países de la UE no afectaría a las empresas en los Estados Unidos. Con más y más negocios moviéndose a lugares digitales y en línea, es casi imposible evitar hacer negocios en la UE a menos que restrinjas específicamente tu negocio de esa manera.

Hay algunos cambios que las empresas de EE. UU. pueden ver en el horizonte:

  • Auditar Todos los Datos de la UE: En primer lugar, debes entender cuánta de tu información proviene de sujetos de datos en la UE, cómo procesas esa información para negocios o marketing, y si esos datos están relacionados con negocios reales (bienes y servicios) para esos consumidores. Esto te dará una comprensión de tus obligaciones.
  • Obtener Consentimiento para Cualquier Esfuerzo de Marketing: Si tu sitio web recopila correos electrónicos u otra información de usuarios globales, entonces los usuarios de la UE pueden quedar atrapados en esa red. Es por eso que muchas empresas están incluyendo formularios de consentimiento explícitos para páginas de destino donde los correos electrónicos de los usuarios pueden ser utilizados para operaciones comerciales o de marketing. Estos incluyen descargos de responsabilidad más largos y casillas de verificación claras que indican los usos específicos de la información recopilada.
  • Consentimiento para Cookies de Seguimiento: Puede que hayas notado un aumento en los banners prominentes para sitios de noticias y minoristas que piden, en largos pasajes, permiso para proporcionar cookies. El GDPR considera el uso de cookies para gestionar cuentas o el comportamiento de navegación como una forma de recopilación, y como tal, todas las empresas deben cumplir con el GDPR si recopilan cookies de consumidores de la UE.
  • Revisar Relaciones con Proveedores: Si los proveedores de servicios de terceros gestionan la información de una organización, es parcialmente tu responsabilidad controlar cómo se utiliza la información de la UE como parte de tus operaciones.
  • Prepárate si ocurre una Brecha: Bajo la ley de la UE, las organizaciones deben responder rápidamente a las brechas. Mientras que las regulaciones de EE. UU. proporcionan más tiempo para los informes, las organizaciones solo tienen 72 horas bajo la ley de la UE.
  • Nombrar un DPO: Si una organización no tiene un Responsable de Protección de Datos y está haciendo negocios significativos en la UE, contrata uno. No solo ayudará a la organización a cumplir con el cumplimiento, sino que también puede ayudar a dirigir y guiar los esfuerzos de cumplimiento de la organización para las regulaciones del GDPR.
  • Entender las Leyes de Transferencia Internacional de Datos: El GDPR incluye leyes sobre la transferencia de información del consumidor a través de fronteras nacionales, y la falta de cumplimiento aquí puede costar tiempo y dinero significativos. Comprender estas leyes también será crucial si una organización utiliza tecnologías como la transferencia de archivos administrada (MFT) o el protocolo de transferencia de archivos SSH (SFTP) para Negocios en la UE. Los Estados Unidos y la Unión Europea tienen un marco, el Marco de Escudo de Privacidad, para facilitar estas transferencias.

¿Cuáles son las sanciones por incumplimiento del GDPR?

Puede parecer una gran tarea entender las regulaciones de la UE, pero es necesario. Recientemente, empresas internacionales como Google, Facebook y Apple han enfrentado varias demandas resultantes de la falta de cumplimiento con la ley de la UE.

El aspecto más importante del cumplimiento y las sanciones bajo el GDPR es que las sanciones están diseñadas para ser proporcionales a las ganancias reales de la empresa. Por lo tanto, en lugar de proporcionar una sanción fija o un rango de sanciones, el GDPR utiliza proporciones de las ganancias de la empresa para calcular las sanciones.

El GDPR utiliza dos niveles diferentes para las sanciones:
 

  1. Nivel 1 se centra en infracciones menos graves de la ley GDPR, incluidas las violaciones de las regulaciones sobre certificaciones y autorizaciones, mantener la base legal para el procesamiento empresarial y, si es relevante, proporcionar o recibir servicios de monitoreo que sean transparentes e imparciales. Básicamente, la organización debe permanecer veraz en el cumplimiento, mantener estándares básicos de procesamiento y usar o proporcionar monitoreo de cumplimiento por encima de la mesa. En este nivel, las sanciones son multas de hasta 10 millones de euros o el 2% de todos los ingresos anuales mundiales, lo que sea mayor.
  2. Nivel 2 es para violaciones más graves, incluidas aquellas relacionadas con el procesamiento ilegal de datos; falta de obtener consentimiento; falta de proporcionar divulgación significativa para recibir consentimiento; falta de mantener los derechos del consumidor al borrado, acceso u otros derechos; y transferencias ilegales a otros países. En este nivel, las sanciones son multas de hasta 20 millones de euros o el 4% de todos los ingresos anuales mundiales, lo que sea mayor.

El propósito de estas sanciones es disuadir a cualquier empresa, especialmente a las empresas globales con miles de millones de dólares en activos, de violar la ley a su antojo.

¿Quieres saber más sobre el cumplimiento del GDPR?

El GDPR es el presente y el futuro de la ciberseguridad y los derechos del consumidor. Aunque es un conjunto de regulaciones específico de la UE, el alcance cada vez más global del comercio digital hace que sea difícil de ignorar. Además, es probable que, más temprano que tarde, veamos que los estándares delineados en el GDPR se filtren a otros países. Incluso ahora, la Ley de Privacidad del Consumidor de California (CCPA) está incorporando algunos aspectos del GDPR en su lenguaje.

Trabajar con el cumplimiento del GDPR requerirá bases técnicas sólidas que puedan unificar la seguridad, el cumplimiento y el registro para cumplir con las leyes de consentimiento y privacidad de datos. Para obtener más información sobre el cumplimiento del GDPR en lo que respecta a las comunicaciones de contenido sensible, lee nuestros artículos en el archivo de Kiteworks.

Volver al Glosario de Riesgo y Cumplimiento

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Compartir
Twittear
Compartir
Explore Kiteworks