RGPD (GDPR): ¿Qué es el Reglamento General de Protección de Datos de la UE?

RGPD (GDPR): guía esencial sobre el Reglamento UE de protección de datos, derechos, obligaciones y multas. Protege tus datos y cumple la ley.

Autor: Leandro Alegsa

El Reglamento General de Protección de Datos (RGPD) (Reglamento (Unión Europea) 2016/679) fue adoptado el 27 de abril de 2016 y entró en vigor el 25 de mayo de 2018. Es una norma de la Unión Europea de aplicación directa en todos los Estados miembros y sustituyó a la Directiva de Protección de Datos de 1995.

El reglamento fue aprobado por el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea. Su objetivo principal es proteger los datos personales de las personas en toda la Unión Europea (UE) y armonizar las normas para facilitar las relaciones económicas y administrativas entre países. Además, el RGPD establece normas sobre las exportaciones de datos desde la UE hacia países terceros.

Ámbito de aplicación

El RGPD se aplica a:

  • Controladores y procesadores establecidos en la UE que tratan datos personales.
  • Entidades fuera de la UE que ofrecen bienes o servicios a personas en la UE o monitorizan su comportamiento (por ejemplo, seguimiento online).

En la práctica, esto significa que empresas y organizaciones de todo el mundo deben cumplir el RGPD cuando tratan los datos de personas residentes en la UE.

Principios básicos

El RGPD establece principios que deben respetarse desde el diseño y por defecto:

  • Licitud, lealtad y transparencia: el tratamiento debe tener una base legal y ser claro para las personas.
  • Limitación de la finalidad: los datos se recopilan para fines concretos y legítimos.
  • Minimización de datos: solo se recogen los datos estrictamente necesarios.
  • Exactitud: los datos deben mantenerse actualizados.
  • Límite de conservación: no se conservan más tiempo del necesario.
  • Integridad y confidencialidad: protección frente a accesos no autorizados, pérdida o divulgación.
  • Responsabilidad proactiva (accountability): el responsable debe poder demostrar cumplimiento.

Derechos de las personas

El RGPD refuerza y unifica los derechos de los interesados. Entre los principales están:

  • Derecho de acceso: saber qué datos se tratan y con qué propósito.
  • Derecho de rectificación: corregir datos inexactos.
  • Derecho de supresión (derecho al olvido): en determinadas condiciones solicitar el borrado.
  • Derecho a la limitación del tratamiento: suspender temporalmente el uso de los datos.
  • Derecho a la portabilidad: recibir los datos en un formato estructurado y transmitible a otro responsable.
  • Derecho de oposición: oponerse al tratamiento por motivos relacionados con su situación particular, incluyendo la oposición a la publicidad directa.
  • Derecho a no ser objeto de decisiones automatizadas: incluida la protección contra el perfilado que produzca efectos jurídicos o afecte significativamente.

Los responsables deben responder a las solicitudes de los interesados normalmente en el plazo de un mes, prorrogable dos meses más si el caso lo exige.

Bases legítimas para el tratamiento

Para que el tratamiento de datos sea lícito debe existir una base legal, por ejemplo:

  • Consentimiento explícito del interesado para uno o varios fines concretos.
  • Necesidad para la ejecución de un contrato.
  • Cumplimiento de una obligación legal.
  • Protección de intereses vitales de la persona o de otra persona física.
  • Desempeño de una misión realizada en interés público o en el ejercicio de poderes públicos.
  • Intereses legítimos del responsable, salvo que prevalezcan los derechos y libertades del interesado.

Obligaciones de responsables y encargados

El RGPD impone obligaciones concretas a quienes tratan datos:

  • Responsable del tratamiento: define los fines y medios del tratamiento y debe implementar medidas técnicas y organizativas adecuadas.
  • Encargado del tratamiento: actúa por cuenta del responsable y debe suscribir un contrato que refleje las instrucciones y garantías exigidas por el RGPD.
  • Registro de actividades: deben documentarse los tratamientos (art. 30). La obligación es general para organizaciones con más de 250 empleados y también para entidades más pequeñas cuando el tratamiento no es ocasional, afecta a categorías especiales de datos o entraña un riesgo para los derechos.
  • Evaluación de impacto (DPIA): obligatoria cuando un tipo de tratamiento entraña alto riesgo, por ejemplo, monitorización a gran escala o tratamiento de categorías especiales de datos.
  • Designación de un Delegado de Protección de Datos (DPO): exigida para autoridades públicas, organizaciones que realizan seguimiento a gran escala o que tratan categorías especiales de datos de forma amplia.
  • Notificación de brechas de seguridad: en caso de violación de datos personales, el responsable debe notificar a la autoridad supervisora en un plazo máximo de 72 horas cuando sea probable que exista un riesgo para los derechos y libertades de las personas.
  • Privacidad desde el diseño y por defecto: incorporar desde el inicio principios y medidas de protección.

Transferencias internacionales

El RGPD restringe la transferencia de datos personales fuera del Espacio Económico Europeo (EEE). Las transferencias solo se permiten si el país receptor garantiza un nivel de protección adecuado (decisión de adecuación) o mediante salvaguardias apropiadas como cláusulas contractuales tipo, normas corporativas vinculantes (BCR) u otros mecanismos permitidos.

Sanciones y supervisión

Las autoridades de control en cada Estado miembro vigilan el cumplimiento. El RGPD contempla un sistema de sanciones graduadas, con dos niveles principales:

  • Infracciones menos graves: hasta 10.000.000 EUR o hasta el 2% del volumen de negocios global del ejercicio financiero anterior, según cuál sea mayor.
  • Infracciones más graves (p. ej., violación de los principios básicos, derechos de los interesados, transferencias internacionales no autorizadas): hasta 20.000.000 EUR o hasta el 4% del volumen de negocios global del ejercicio financiero anterior, según cuál sea mayor.

Buenas prácticas y recursos

Para cumplir con el RGPD conviene:

  • Realizar un inventario de los datos que se tratan y sus finalidades.
  • Definir políticas internas y formar al personal (concienciación y roles claros).
  • Revisar y firmar contratos con encargados que incluyan cláusulas exigidas por el RGPD.
  • Implementar medidas de seguridad técnicas (cifrado, control de accesos) y organizativas.
  • Evaluar necesidad de un DPO y realizar DPIA cuando proceda.
  • Establecer procedimientos para gestionar solicitudes de derechos y notificaciones de brechas.

Aunque el RGPD armoniza las normas, los Estados miembros pueden establecer requisitos adicionales en ciertos ámbitos (por ejemplo, leyes laborales, salud, o tratamiento de menores). Por ello, muchas organizaciones consultan a asesores legales o a las autoridades de protección de datos nacionales para adaptar sus políticas y procedimientos.

El RGPD representa un cambio importante en el equilibrio entre la protección de los datos personales y la actividad económica digital: refuerza los derechos de las personas y exige a organizaciones mayor responsabilidad y transparencia en el tratamiento de datos.

 

Normas aplicadas

[icon]

Esta sección necesita más información.

El Reglamento General de Protección de Datos aplica normas que protegen a las personas contra una gran variedad de problemas de privacidad. Hace valer el derecho de las personas a acordar legalmente con las empresas el uso de su información privada. También hace cumplir el derecho de las personas a que su información privada deje de ser accesible por una empresa. También hace valer el derecho de los usuarios a permitir que su información privada se haga pública o no. El reglamento también se asegura de que no se procese ningún dato personal a menos que el usuario haya permitido que el procesador de datos personales lo haga.


 

Línea de tiempo

  • 25 de enero de 2012: Se publicó la propuesta del RGPD.
  • 21 de octubre de 2013: La Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo (LIBE) vota si el GDPR debe convertirse en la nueva normativa para las personas en Europa.
  • 15 de diciembre de 2015: El Parlamento Europeo, el Consejo y la Comisión (reunión formal del trílogo) discuten sobre el Reglamento General de Protección de Datos. Ese día, el RGPD ha dado lugar a una propuesta conjunta.
  • 17 de diciembre de 2015: La Comisión LIBE del Parlamento Europeo votó a favor de las negociaciones entre las tres partes.
  • 8 de abril de 2016: El Reglamento General de Protección de Datos ha sido adoptado por la Unión Europea. El único Estado miembro que votó en contra fue Austria, que argumentó que varios aspectos del nuevo reglamento no son satisfactorios si se comparan con la Directiva de Protección de Datos.
  • 14 de abril de 2016: El Parlamento Europeo ha adoptado el Reglamento General de Protección de Datos, que sustituye a la Directiva de Protección de Datos que utilizaban anteriormente.
  • 24 de mayo de 2016: El Reglamento General de Protección de Datos ha comenzado a utilizarse en todo el mundo, pero aún no se aplica plenamente. Esto ocurre 20 días después de que el Reglamento General de Protección de Datos haya sido publicado por el Diario Oficial de la Unión Europea.
  • 25 de mayo de 2018: El Reglamento General de Protección de Datos entra en vigor plenamente en todo el mundo. Se cumplen dos años desde la creación del reglamento.
  • Julio/agosto de 2018: El GDPR entrará en vigor en Islandia, Liechtenstein y Noruega. Estos tres países se han unido al Comité Mixto del EEE, ya que todos han acordado seguir el reglamento.
 

Preguntas y respuestas

P: ¿Qué es el Reglamento General de Protección de Datos (GDPR)?


R: El GDPR es un reglamento adoptado por el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea que protege los datos personales de las personas en toda la UE.

P: ¿Cuándo entró en vigor?


R: Entró en vigor el 25 de mayo de 2018.

P: ¿Qué pretende el GDPR?


R: El RGPD tiene como objetivo dar a los ciudadanos el control sobre sus datos personales y simplificar las normas para las relaciones económicas con otros países haciendo que los procedimientos de la UE sean estandarizados.

P: ¿Sustituye a alguna ley existente?


R: Sí, sustituye a la Directiva de Protección de Datos de 1995.

P: ¿Es necesario cambiar las leyes locales para cumplir con el GDPR?


R: No, no es necesario modificar las leyes locales dentro de la UE, ya que este reglamento es vinculante.
P: ¿Qué ocurre si alguien o una empresa no cumple la ley del GDPR? R: Pueden enfrentarse a una multa de hasta 20.000.000 de euros, o hasta el 4% de los beneficios de su empresa del año anterior, la cifra que sea mayor.


Buscar dentro de la enciclopedia
AlegsaOnline.com - 2020 / 2025 - License CC3