El Reglamento General de Protección de Datos, o RGPD, es una ley de la Unión Europea (UE) que rige cómo las organizaciones dentro y fuera de la UE manejan los datos personales de los residentes de la UE. El Parlamento Europeo y el Consejo de la UE adoptaron el RGPD en 2016, que entró en vigor el 25 de mayo de 2018.
Concretamente, el RGPD
- define formas legalmente aprobadas de transferir y procesar datos personales;
- detalla cómo las organizaciones deben proteger los datos personales en reposo y en tránsito; y
- establece los derechos de los residentes de la UE sobre la recopilación, uso y posesión de datos personales.
El RGPD define los datos personales como cualquier información relacionada con un ser humano identificable, incluidos identificadores directos e indirectos. Los identificadores directos de una persona son puntos de datos únicos, como su nombre o número de tarjeta de crédito. Los identificadores indirectos incluyen rasgos no únicos que pueden identificar a una persona, como características físicas.
En el lenguaje del RGPD, un interesado es la persona sobre la que se trata un dato. Por ejemplo, si una empresa recopila direcciones de correo electrónico, los propietarios de esas direcciones serían los interesados.
Si bien el RGPD es una ley europea, tiene un alcance global. Se aplica a cualquier organización en cualquier lugar que recopile o utilice datos personales de residentes de la UE.
Para ayudar a las organizaciones a cumplir con los requisitos del RGPD, IBM mejora su compromiso continuo con la privacidad de los datos desde el diseño. IBM está trabajando para integrar los principios de protección de datos aún más profundamente en sus procesos empresariales. Este trabajo también fortalece las salvaguardas existentes para limitar el acceso a datos personales, incluidas las aplicaciones móviles que impiden el intercambio de datos personales de forma predeterminada.
Como parte de este esfuerzo, muchas ofertas y servicios de IBM Cloud cuentan con la certificación del Código de conducta de la nube de la Unión Europea (EU Cloud CoC) (enlace fuera de ibm.com). Los requisitos de EU Cloud CoC proporcionan un marco para que los proveedores de servicios en la nube (PSN) demuestren su capacidad para cumplir con el RGPD. Para obtener más información sobre las ofertas y servicios específicos de IBM Cloud que han obtenido la certificación EU Cloud CoC, visite nuestra página EU Cloud CoC o lea nuestra Verificación de la declaración de adhesión (enlace fuera de ibm.com).
Para obtener más información sobre IBM Security and Privacy, visite el IBM Trust Center.
Para obtener más información sobre los Términos contractuales de privacidad de datos de IBM, revíselos en Términos de IBM, en Protección de datos.
Si tiene preguntas relacionadas con la privacidad de los datos, póngase en contacto directamente con el equipo de privacidad de IBM en chiefprivacyoffice@ca.ibm.com.
Las normas y principios de tratamiento de datos del RGPD se aplican a todos los controladores y procesadores de datos activos en el EEE, que incluye los 27 Estados miembros de la UE más Islandia, Liechtenstein y Noruega.
Un controlador de datos (controlador) es cualquier organización, autoridad pública u otro grupo o persona que recopila datos personales y determina cómo se utilizan. Por ejemplo, una plataforma de redes sociales que mantiene bases de datos sobre sus usuarios sería un controlador.
Un procesador de datos (procesador) es cualquier organización que actúa sobre datos personales de alguna manera, como analizándolos, almacenándolos o modificándolos. Una empresa puede ser tanto un controlador como un procesador. Los procesadores también pueden ser organizaciones externas que procesan datos en nombre de un controlador, como un proveedor de servicios en la nube que ofrece almacenamiento de datos y analytics.
Todos los controladores y procesadores con sede en el EEE están sujetos al RGPD, incluso si almacenan y procesan datos fuera del EEE.
Una empresa con sede fuera del EEE está sujeta al RGPD si se aplica alguna de las siguientes condiciones:
- La empresa ofrece regularmente bienes y servicios a residentes del EEE, incluso si el dinero no cambia de manos.
- La empresa supervisa regularmente la actividad de residentes del EEE, como el uso de cookies de seguimiento.
- La empresa procesa datos por cuenta de controladores con sede en el EEE.
Las únicas actividades de procesamiento de datos exentas del RGPD son la seguridad nacional o las actividades de aplicación de la ley y los usos puramente personales de los datos.
El RGPD establece varios principios que deben seguir los controladores y procesadores al gestionar los datos personales. En términos generales, estos principios indican que todas las actividades de procesamiento deben estar claramente definidas y ser transparentes y justas.
En virtud del principio de limitación de finalidad, las empresas deben tener un propósito específico y legal en mente para cualquier dato que recopilen. Deben transmitir esa finalidad a los usuarios y solo recopilar la cantidad mínima de datos necesarios para esa finalidad.
Las empresas deben hacer un uso justo de los datos. Deben mantener informados a los usuarios sobre el tratamiento de datos personales y seguir las normas de protección de datos. Bajo el principio de limitación de almacenamiento, una empresa solo debe conservar los datos personales hasta que se cumpla su finalidad. Los datos deben eliminarse una vez que ya no sean necesarios.
El RGPD define las bases legales que las empresas pueden utilizar para procesar datos personales. Se debe cumplir al menos una de estas condiciones. De lo contrario, el procesamiento es ilegal.
El interesado acepta que sus datos se procesen. Las empresas pueden procesar los datos de una persona si así lo consiente. El consentimiento solo es válido si es informado, afirmativo y se da libremente.
Para que el consentimiento sea informado, la empresa debe explicar claramente lo que recopila y cómo utilizará esos datos. Para que el consentimiento sea afirmativo, el usuario debe realizar una acción intencionada para mostrar su consentimiento, como firmar una declaración o marcar una casilla. El consentimiento no puede ser la opción por defecto, por lo que las casillas premarcadas infringen el RGPD. Para que el consentimiento se dé libremente, la empresa no puede influir ni coaccionar al sujeto de ninguna manera. La empresa no puede requerir el consentimiento para utilizar un servicio a menos que el procesamiento sea necesario para que el servicio funcione. Por ejemplo, una empresa puede necesitar el número de tarjeta de crédito de una persona para venderle algo, pero probablemente no necesite su dirección IP.
La empresa no puede agrupar consentimientos si los datos se procesan para múltiples propósitos. El interesado debe poder aceptar o rechazar cada actividad de procesamiento individualmente. Las organizaciones deben mantener registros de consentimiento. Los interesados pueden retirar su consentimiento en cualquier momento. Si lo hacen, el procesamiento debe detenerse.
Los datos deben tratarse para ejecutar un contrato con el interesado o en su nombre. Por ejemplo, si alguien solicita un préstamo, el banco puede necesitar procesar sus datos financieros y su historial laboral.
El controlador tiene la obligación legal de procesar los datos. Por ejemplo, algunas normativas sanitarias obligan a los hospitales a mantener archivados los datos de los pacientes.
Los datos deben procesarse para proteger los intereses vitales del interesado u otra persona. Esto se refiere a situaciones en las que los datos deben procesarse para salvar la vida de una persona o evitar daños.
Los datos deben tratarse para llevar a cabo una tarea que sea de interés público o que forme parte de la autoridad oficial del controlador. El periodismo es un ejemplo clásico de razón de interés público para el tratamiento de datos personales. Los organismos públicos pueden tratar datos personales para ejercer sus funciones oficiales.
Los datos deben procesarse para perseguir un interés legítimo del controlador o de un tercero. Un interés legítimo es un beneficio que una empresa podría obtener a través del procesamiento de datos. Entre los ejemplos se incluyen realizar comprobaciones de antecedentes de los empleados o realizar un seguimiento de las direcciones IP en una red corporativa con fines de ciberseguridad. El procesamiento debe ser necesario para contar como un interés legítimo. Una empresa no puede reclamar un interés legítimo si puede lograr la tarea sin los datos en cuestión. Los interesados también deben esperar razonablemente el procesamiento. Si los interesados se sorprenden al saber que sus datos se utilizan de una determinada manera, es probable que la empresa no tenga motivos de interés legítimo. En general, los derechos de los interesados prevalecen sobre los intereses legítimos de una empresa.
Las organizaciones deben establecer y documentar sus bases antes de recopilar datos. Deben comunicar estas bases a los usuarios. Las empresas no pueden cambiar sus bases a posteriori sin el consentimiento del interesado.
El RGPD considera que algunos tipos de datos son especialmente sensibles. Estas categorías especiales incluyen información sobre la raza o etnia de una persona, creencias religiosas, opiniones políticas y datos biométricos, entre otras cosas.
Las empresas solo pueden procesar datos de categorías especiales en circunstancias muy específicas. Estas incluyen, entre otras:
El interesado ha concedido un consentimiento explícito.
El procesamiento es necesario para la investigación científica o histórica.
Los datos sobre condenas penales solo pueden ser controlados por las autoridades oficiales y procesados según sus instrucciones.
Además de seguir los principios de procesamiento y establecer una base legal para todas las actividades de procesamiento, las organizaciones deben seguir algunas otras reglas para cumplir con el RGPD.
Si una empresa desea procesar los datos de una manera que represente un riesgo significativo para los interesados, primero debe realizar una evaluación del impacto de la protección de datos. Las situaciones que podrían desencadenar una evaluación pueden incluir cualquier procesamiento automatizado o cualquier procesamiento a gran escala de datos confidenciales.
La evaluación debe describir el procesamiento, explicar por qué es necesario, evaluar los riesgos y buscar formas de mitigarlos. Si la evaluación muestra que existe un riesgo significativo no mitigado, la empresa debe consultar a la autoridad de protección de datos correspondiente antes de continuar.
Según el RGPD, algunas empresas deben nombrar delegados de protección de datos (DPD). El DPD es un oficial corporativo independiente a cargo del cumplimiento del RGPD. Las empresas no pueden tomar represalias contra un DPD por el desempeño de sus funciones.
Las responsabilidades del DPD incluyen asesorar a las organizaciones sobre el RGPD y otras leyes de protección de datos, supervisar las evaluaciones del impacto de la protección de datos y actuar como punto de contacto para reguladores gubernamentales e interesados.
Todas las autoridades públicas deben designar DPD. Las empresas privadas deben designar DPD si supervisan a los interesados a gran escala o procesan datos de categorías especiales como actividad principal. Además, las empresas de fuera de Europa deben designar representantes en el EEE si procesan con regularidad datos de residentes del EEE o datos especialmente sensibles.
Los controladores de datos son responsables de cualquier dato que compartan con procesadores y terceros. Los controladores y procesadores suelen celebrar acuerdos formales de procesamiento de datos para cumplir con el RGPD. Estos contratos vinculantes describen detalles como los tipos de procesamiento que puede realizar un procesador y los tipos de medidas de seguridad que debe emplear.
Los procesadores externos solo pueden procesar datos bajo la dirección del controlador. No pueden utilizar los datos de un controlador para sus propios fines.
Los controladores en el EEE solo pueden transferir datos a encargados del tratamiento en los denominados "terceros países" fuera del EEE en determinadas condiciones. Pueden transferir datos libremente a cualquier tercer país que la Comisión Europea considere que tiene leyes de privacidad de datos adecuadas. Los controladores también pueden transferir datos a procesadores individuales cuyas garantías la Comisión considere suficientes. Si ni el país ni el procesador cuentan con la aprobación de la Comisión, la transferencia aún puede permitirse si el controlador puede garantizar la protección de los datos.
Los controladores y procesadores deben establecer medidas de seguridad tanto organizativas como técnicas para la protección de los datos personales.
Las medidas organizativas incluyen procesos como formar a los empleados sobre las reglas del RGPD e implementar políticas formales de gobierno de datos.
Los controles técnicos de seguridad incluyen software, hardware y otras herramientas tecnológicas. Por ejemplo, el cifrado y otras técnicas de seudonimización pueden dificultar la interceptación de datos personales por parte de los piratas informáticos. Por ejemplo:
- La gestión de identidades y accesos, la prevención contra la pérdida de datos y otras herramientas de seguridad de datos pueden aplicar permisos para que solo las personas adecuadas puedan acceder a los datos personales por las razones adecuadas. Las soluciones de copia de seguridad pueden restaurar datos dañados o eliminados.
- Las plataformas de gestión de información de seguridad y eventos (SIEM, por sus siglas en inglés) pueden rastrear la actividad de la red y detectar vulneraciones o usos indebidos de los datos, lo que permite a las organizaciones responder a los incidentes con mayor rapidez.
- Aunque la simple presencia de vulnerabilidades de la red puede no infringir el RGPD, puede provocar infracciones facilitando a los hackers llegar a datos protegidos. Las soluciones de gestión de vulnerabilidades y gestión de superficies de ataque pueden ayudar a las empresas a encontrar y solucionar estas vulnerabilidades.
El RGPD dirige a las empresas a adoptar el principio de protección de datos por diseño y por defecto. En otras palabras, las organizaciones deben hacer de la seguridad de los datos un factor clave en cada proceso, producto y sistema que diseñen o implementen. Los principios de protección de datos deben ser fundamentales en todo lo que hace la empresa, en lugar de añadirse a posteriori.
Los controladores deben notificar la mayoría de las vulneraciones de datos personales a una autoridad de control en un plazo de 72 horas. Si una vulneración plantea riesgos para los interesados, como robo monetario o de identidad, la empresa debe notificar a los interesados.
Las notificaciones de las vulneraciones deben enviarse directamente a las víctimas. Un anuncio público no es suficiente a menos que la comunicación directa no sea razonable. Las notificaciones deben incluir detalles sobre los tipos de datos robados, los riesgos para los interesados y cómo la empresa está abordando la situación. La notificación también debe indicar a los sujetos cómo ponerse en contacto con el DPD u otro representante con inquietudes. La empresa no necesita notificar a los interesados si es poco probable que una vulneración represente un riesgo real para ellos. Por ejemplo, no es necesaria la notificación si los datos robados están muy cifrados y los piratas informáticos no pueden utilizarlos.
El RGPD establece una serie de derechos para los interesados en su jurisdicción.
Los interesados tienen derecho a saber quién tiene sus datos, cómo los obtuvieron y qué hacen con ellos.
Los interesados tienen derecho a acceder a cualquiera de sus datos que tenga una empresa.
Los interesados tienen derecho a corregir datos personales inexactos u obsoletos.
A veces se le llama "derecho al olvido". Se refiere al derecho de un interesado a pedir a las empresas que eliminen sus datos. Las empresas deben cumplirlo a menos que su interés en los datos (por ejemplo, una obligación legal de mantener ciertos registros) supere este derecho.
Si un interesado cree que sus datos son inexactos, se utilizan de forma ilegal o ya no son necesarios para la finalidad de la empresa, puede pedirle a la empresa que limite el uso de sus datos. La empresa debe cumplirlo a menos que pueda demostrar que tiene un interés primordial en el procesamiento de los datos.
Los sujetos tienen derecho a trasladar sus datos de una empresa a otra. Las empresas deben facilitar la transferencia de datos personales almacenando los datos en un formato compartible o enviándolos a un tercero a petición del interesado.
Los interesados pueden oponerse al procesamiento de sus datos en cualquier momento. La empresa debe dejar de procesarlos a menos que pueda demostrar que tiene motivos legítimos e imperiosos para hacerlo.
El RGPD define la creación de perfiles como el uso del procesamiento automatizado para evaluar algún aspecto de una persona, como predecir el rendimiento de su trabajo o el comportamiento de navegación web. Las empresas no pueden utilizar el tratamiento automatizado para tomar decisiones significativas sin el consentimiento de las personas afectadas. Los interesados tienen derecho a impugnar las decisiones tomadas únicamente sobre la base del procesamiento automatizado. Pueden ofrecer información sobre la decisión y exigir que la empresa designe a un empleado humano para que revise la decisión.
El RGPD lo aplican los organismos reguladores públicos llamados "autoridades de protección de datos" (APD), también conocidas como "autoridades supervisoras". Cada Estado miembro tiene su propia APD, que tiene jurisdicción sobre las empresas con sede en ese estado. Las autoridades supervisoras pueden auditar empresas, escuchar quejas de los interesados e investigar vulneraciones. Si una posible vulneración afecta a interesados de varios estados, la investigación la dirige la autoridad supervisora del estado en el que tiene su sede la empresa o su representante.
En caso de incumplimiento, las autoridades supervisoras pueden imponer multas y obligar a las organizaciones a realizar cambios específicos. Pueden obligar a las empresas a atender las peticiones de los interesados y poner fin a las actividades ilícitas de procesamiento de datos.
El Comité Europeo de Protección de Datos (CEPD) facilita la coordinación entre las APD y garantiza una aplicación coherente de las normas del RGPD en todo el EEE.
Las multas por incumplimiento pueden ser importantes. Las infracciones menores, como el procesamiento de los datos de un niño sin el consentimiento de los padres, pueden conllevar multas de hasta 10.000.000 EUR o el 2 % de los ingresos mundiales de la organización durante el año anterior, la cantidad que sea mayor.
Las infracciones importantes, como el tratamiento de datos para un propósito ilegal, pueden dar lugar a multas de hasta 20.000.000 EUR o el 4 % de los ingresos mundiales de la organización en el año anterior.
Proteja los datos críticos y simplifique los flujos de trabajo de cumplimiento. Guardium Insights fortalece la seguridad de los datos con capacidades sólidas que ayudan a descubrir datos ocultos, proteger información confidencial, proporcionar visibilidad central en nubes híbridas y automatizar la aplicación de políticas de cumplimiento.
Construya una infraestructura segura y escalable a un coste menor. Implemente nuevas aplicaciones al instante y escale cargas de misión crítica y sensibles en función de la demanda en una plataforma de alta seguridad.
Prepárese mejor para las vulneraciones comprendiendo sus causas y los factores que aumentan o reducen los costes. Conozca las experiencias de más de 550 organizaciones afectadas por una vulneración de datos.
La información de identificación personal (PII) es cualquier información que se pueda utilizar para descubrir la identidad de una persona, como su número de seguro social, nombre completo o dirección de correo electrónico.
El viaje comienza con un marco de gobierno de datos multimodal, respaldado por una sólida arquitectura de datos como data fabric.