El Reglamento General de Protección de Datos (RGPD), la histórica ley de protección de datos de la Unión Europea, entró en vigor en 2018. Sin embargo, muchas organizaciones siguen esforzándose por cumplir los requisitos de cumplimiento y las autoridades de protección de datos de la UE no dudan en imponer sanciones.
Ni siquiera las empresas más grandes del mundo se libran de los problemas del RGPD. Los reguladores irlandeses impusieron a Meta una multa de 1200 millones de euros (enlace externo a ibm.com) en 2023. Las autoridades italianas están investigando OpenAI (enlace externo a ibm.com) por sospechas de infracciones, llegando incluso a prohibir brevemente ChatGPT.
A muchas empresas les resulta difícil aplicar los requisitos del RGPD porque la ley no solo es compleja, sino que también deja mucho a la discreción. El RGPD establece una letanía de normas sobre cómo las organizaciones dentro y fuera de Europa manejan los datos personales de los residentes de la UE. Sin embargo, les da a las empresas cierto margen de maniobra en la forma en que promulgan esas reglas.
Los detalles del plan de cualquier organización para cumplir plenamente con el RGPD variarán en función de los datos que la organización recopile y de lo que haga con esos datos. Dicho esto, hay algunos pasos básicos que todas las empresas pueden tomar al implementar el RGPD:
El RGPD se aplica a cualquier organización que procese los datos personales de residentes europeos, independientemente de dónde tenga su sede esa organización. Dada la naturaleza interconectada e internacional de la economía digital, esto incluye a muchas, quizá incluso a la mayoría, de las empresas actuales. Incluso las organizaciones que no entran en el ámbito del RGPD pueden adoptar sus requisitos para reforzar la protección de datos.
En concreto, el RGPD se aplica a todos los responsables y encargados del tratamiento de datos con sede en el Espacio Económico Europeo (EEE). El EEE incluye los 27 estados miembros de la UE más Islandia, Liechtenstein y Noruega.
Un responsable del tratamiento de datos es cualquier organización, grupo o persona que recopila datos personales y determina cómo se utilizan. Piense en un minorista en línea que almacena las direcciones de correo electrónico de sus clientes para enviar actualizaciones de sus pedidos.
Un encargado del tratamiento de datos es cualquier organización o grupo que lleva a cabo actividades de procesamiento de datos. El RGPD define ampliamente el "procesamiento" como cualquier acción realizada sobre los datos: almacenarlos, analizarlos, alterarlos, etc. Los procesadores incluyen a terceros que procesan datos personales en nombre de un responsable del tratamiento de datos, como una empresa de marketing que analiza los datos del usuario para ayudar a una empresa a comprender los datos demográficos clave del cliente.
El RGPD también se aplica a los encargados del tratamiento de datos que se encuentran fuera del EEE si cumplen al menos una de las siguientes condiciones:
Hay algunas cosas más que vale la pena señalar sobre el alcance del RGPD. En primer lugar, solo se refiere a los datos personales de las personas físicas, también llamadas interesados en la jerga del RGPD. Una persona física es un ser humano vivo. El RGPD no protege los datos de las personas jurídicas, como las empresas, o las personas fallecidas.
En segundo lugar, no es necesario ser ciudadano de la UE para disfrutar de las protecciones del RGPD. Simplemente necesitan ser residentes formales del EEE.
Por último, el RGPD se aplica al procesamiento de datos personales por prácticamente cualquier motivo: comercial, académico, gubernamental o de otro tipo. Las empresas, los hospitales, los colegios y las autoridades públicas están todos sujetos al RGPD. Las únicas operaciones de procesamiento exentas del RGPD son las actividades de seguridad nacional y aplicación de la ley y los usos puramente personales de los datos.
No existe un plan de cumplimiento del RGPD que se adapte a todos, pero hay algunas prácticas fundamentales que las organizaciones pueden utilizar para guiar los esfuerzos de implementación del RGPD.
Para obtener una lista de los requisitos clave del RGPD, consulte la lista de comprobación de cumplimiento del RGPD.
Aunque el RGPD no exige explícitamente un inventario de datos, muchas organizaciones comienzan por aquí por dos motivos. En primer lugar, saber qué datos tiene la empresa y cómo se procesan ayuda a la organización a entender mejor sus cargas de cumplimiento. Por ejemplo, una empresa que recopila datos sanitarios de los usuarios necesita protecciones más sólidas que otra que sólo recopila direcciones de correo electrónico.
En segundo lugar, un inventario completo facilita el cumplimiento de las solicitudes de los usuarios para compartir, actualizar o eliminar sus datos.
Un inventario de datos puede registrar detalles como:
Puede resultar difícil rastrear los datos personales que se encuentran dispersos por la red de la organización en diversos flujos de trabajo, bases de datos, endpoints e incluso activos informáticos en la sombra. Para que los inventarios de datos sean más fáciles de gestionar, las organizaciones pueden considerar el uso de soluciones de protección de datos que descubran y clasifiquen automáticamente los datos.
Al inventariar los datos, las organizaciones deben tomar nota de cualquier dato especialmente sensible que requiera protección adicional. Los mandatos del RGPD añadieron precauciones para tres tipos de datos en particular: datos de categorías especiales, datos de condenas penales y datos de niños.
Durante el inventario de datos, las organizaciones registran cualquier operación de procesamiento a la que sean sometidos los datos. A continuación, las organizaciones deben garantizar que estas operaciones cumplen las normas de tratamiento del GDPR. Algunos de los principios más importantes del RGPD incluyen los siguientes:
Para obtener una lista completa de las bases legales aprobadas, consulte la página de cumplimiento del RGPD.
Para obtener una lista completa de los principios de procesamiento del RGPD, consulte la lista de comprobación de cumplimiento del RGPD.
El consentimiento del usuario es una base jurídica común para el procesamiento. Sin embargo, el consentimiento sólo es válido según el RGPD si es informado, afirmativo y libremente dado. Es posible que las organizaciones tengan que actualizar los formularios de consentimiento para cumplir estos requisitos.
Las organizaciones con más de 250 empleados y las empresas de cualquier tamaño que procesan datos regularmente o manejan datos de alto riesgo, deben mantener registros electrónicos escritos de sus actividades de procesamiento.
Sin embargo, todas las organizaciones pueden querer mantener dichos registros. Esto no sólo ayuda a realizar un seguimiento de los esfuerzos en materia de privacidad y seguridad, sino que también puede demostrar el cumplimiento si se produce una auditoría o una infracción. Las empresas pueden reducir o evitar las sanciones si pueden demostrar que hicieron un esfuerzo de buena fe para cumplir.
Es posible que los responsables del tratamiento de datos deseen mantener registros especialmente fiables, ya que el RGPD les hace responsables del cumplimiento de la normativa por parte de sus socios y proveedores.
Todas las autoridades públicas y cualquier organización que procese regularmente datos de categorías especiales o controle sujetos a gran escala deben nombrar un delegado de protección de datos (DPD). Un DPD es un oficial corporativo independiente a cargo del cumplimiento del RGPD. Las responsabilidades comunes incluyen supervisar las evaluaciones de riesgos, capacitar a los empleados sobre los principios de protección de datos y trabajar con las autoridades gubernamentales.
Aunque sólo algunas organizaciones están obligadas a designar DPD, todas pueden considerar la posibilidad de hacerlo. Contar con un responsable designado de cumplimiento del RGPD puede ayudar a agilizar la implementación.
Los DPD pueden ser empleados de una empresa o consultores externos que ofrecen sus servicios por contrato. Los DPD deben informar directamente al más alto nivel de gestión. La empresa no puede tomar represalias contra un DPD por cumplir con sus deberes.
Las organizaciones de fuera del EEE deben designar un representante en el EEE si tratan regularmente datos de residentes en el EEE o manejan datos muy sensibles. La principal función del representante del EEE es coordinarse con las autoridades de protección de datos en nombre de la empresa durante las investigaciones. El representante puede ser un empleado, una empresa afiliada o un servicio contratado.
El DPD y el representante del EEE tienen funciones distintas con responsabilidades diferentes. En particular, el representante actúa bajo la dirección de la organización, mientras que el DPD debe ser un funcionario independiente. Una organización no puede designar a una parte (enlace externo a ibm.com) para que actúe como DPD y representante del EEE.
Si una organización opera en varios estados del EEE, debe identificar una autoridad de supervisión principal. La autoridad de control principal es la principal autoridad de protección de datos (APD) que supervisa el cumplimiento del RGPD para esa empresa en toda Europa.
Normalmente, la autoridad de control principal es la APD del Estado miembro en el que la organización tiene su sede o lleva a cabo sus actividades principales de procesamiento.
El RGPD exige que las organizaciones mantengan informadas a las personas sobre cómo utilizan sus datos. Las empresas pueden cumplir este requisito redactando políticas de privacidad que describan claramente sus operaciones de tratamiento, incluido lo que la empresa recopila, las políticas de conservación y supresión, los derechos de los usuarios y otros detalles pertinentes.
Las políticas de privacidad deben utilizar un lenguaje sencillo que cualquiera pueda entender. Ocultar información importante detrás de una jerga densa puede violar el GDPR. Las organizaciones pueden asegurarse de que los usuarios vean sus políticas compartiendo avisos de privacidad en el momento de la recopilación de datos. Las organizaciones también pueden alojar sus políticas de privacidad en páginas públicas y fáciles de encontrar en sus sitios web.
Los encargados del tratamiento de datos son responsables en última instancia de los datos personales que recopilan, incluido el uso que hacen de ellos sus procesadores, proveedores y otros terceros. Si los socios no cumplen, los responsables del tratamiento de datos pueden ser penalizados.
Las organizaciones deben revisar sus contratos con cualquier tercero que tenga acceso a sus datos. Estos contratos deben detallar claramente los derechos y responsabilidades de todas las partes con respecto al RGPD de forma jurídicamente vinculante.
Si una organización trabaja con procesadores fuera del EEE, dichos encargados aún deben cumplir los requisitos del RGPD. De hecho, las transferencias de datos fuera del EEE están sujetas a normas estrictas. Los responsables del tratamiento en el EEE sólo pueden compartir datos con encargados del tratamiento fuera del EEE si se cumple uno de los siguientes criterios:
Una forma de garantizar que todas las asociaciones y transferencias de datos cumplan con el RGPD es utilizar cláusulas contractuales estándar. Estas cláusulas preescritas han sido aprobadas previamente por la Comisión Europea y están a disposición de cualquier organización que desee utilizarlas. La inserción de estas cláusulas en un contrato lo hace compatible con el RGPD, siempre que cada parte las respete. Para obtener más información sobre las cláusulas contractuales estándar, consulte el sitio web de la Comisión Europea (enlace externo a ibm.com).
El RGPD exige a las organizaciones que realicen evaluaciones de impacto sobre la protección de datos (EIPD) antes de cualquier tratamiento de alto riesgo. Aunque el RGPD ofrece algunos ejemplos (uso de nuevas tecnologías, tratamiento a gran escala de datos sensibles), no enumera exhaustivamente todas las actividades de alto riesgo.
Las organizaciones pueden considerar la realización de una EIPD antes de cualquier nueva operación de procesamiento para estar seguras. Otros pueden utilizar una preselección simplificada para determinar si el riesgo es lo suficientemente alto como para justificar una EIPD .
Como mínimo, una EIPD debe describir el tratamiento y su finalidad, evaluar la necesidad del tratamiento, evaluar los riesgos para los interesados e identificar medidas de mitigación. Si el riesgo sigue siendo alto después de la mitigación, la organización debe consultar con una autoridad de protección de datos antes de seguir adelante.
Las organizaciones deben notificar la mayoría de las vulneraciones de datos personales a una autoridad de control en un plazo de 72 horas. Si la vulneración supone un riesgo para los interesados, como el robo de identidad, la empresa también debe notificarlo a los interesados. Las notificaciones deben enviarse directamente a las víctimas, a menos que hacerlo sea inviable. En tal caso, basta con el aviso público.
Las organizaciones necesitan planes eficaces de respuesta a incidentes que identifiquen rápidamente las infracciones en curso, erradiquen las amenazas y notifiquen a las autoridades. Los planes de respuesta a incidentes deben incluir herramientas y tácticas para recuperar sistemas y restaurar la seguridad de la información. Cuanto más rápido recupere el control una organización, menos probable será que sufra medidas reguladoras graves.
Las organizaciones también pueden aprovechar esta oportunidad para reforzar las medidas de seguridad de los datos. Si es improbable que una vulneración perjudique a los usuarios, por ejemplo, si los datos robados están tan encriptados que los piratas informáticos no pueden utilizarlos, la empresa no necesita notificarlo a los interesados. Esto puede ayudar a evitar el daño a la reputación y los ingresos que puede seguir a una vulneración de datos.
El RGPD otorga a los interesados derechos sobre cómo las organizaciones utilizan sus datos. Por ejemplo, el derecho de rectificación permite a los usuarios corregir datos inexactos u obsoletos. El derecho de eliminación permite a los usuarios borrar sus datos.
En términos generales, las organizaciones deben cumplir con las solicitudes de los interesados en un plazo de 30 días. Para que las solicitudes sean más fáciles de gestionar, las organizaciones pueden crear portales de autoservicio en los que los interesados puedan acceder a sus datos, realizar cambios y restringir su uso. Los portales deben incluir una forma de verificar las identidades de los sujetos. El RGPD impone a las organizaciones la carga de verificar que los solicitantes son quienes dicen ser.
Los interesados tienen derechos especiales con respecto al procesamiento automatizado. En concreto, las organizaciones no pueden utilizar la automatización para tomar decisiones importantes sin el consentimiento de un usuario. Los usuarios tienen derecho a impugnar las decisiones automatizadas y solicitar que un humano revise la decisión.
Las organizaciones pueden utilizar portales de autoservicio para ofrecer a los interesados una forma de impugnar las decisiones automatizadas. Las empresas también deben estar preparadas para designar revisores humanos según sea necesario.
Los interesados tienen derecho a transferir sus datos a donde quieran y las organizaciones deben facilitar esas transferencias.
Además de facilitar a los usuarios la solicitud de transferencias, las organizaciones deben almacenar los datos en un formato que se pueda compartir. El uso de formatos propietarios puede dificultar las transferencias e impedir los derechos de los usuarios.
Para obtener una lista completa de los derechos de los interesados, consulte la página de cumplimiento del RGPD.
El RGPD exige que las organizaciones utilicen medidas de protección de datos razonables para cerrar las vulnerabilidades del sistema y evitar el acceso no autorizado o el uso ilegal. El RGPD no impone medidas específicas, pero sí establece que las organizaciones necesitan controles tanto técnicos como organizativos.
Los controles técnicos de seguridad incluyen software, hardware y otras herramientas tecnológicas, como SIEM y soluciones de prevención de pérdida de datos. El RGPD fomenta en gran medida el cifrado y la seudonimización, por lo que las organizaciones pueden querer implementar estos controles en particular.
Las medidas organizativas incluyen procesos como formar a los empleados sobre las reglas del RGPD e implementar políticas formales de gobierno de datos.
El RGPD también dirige a las empresas a adoptar el principio de protección de datos por diseño y por defecto. "Por diseño" significa que las empresas deben incorporar la privacidad de los datos a sus sistemas y procesos desde el principio. "Por defecto" significa que la configuración predeterminada para cualquier sistema debe ser la que mantenga la mayor privacidad del usuario.
Cualquier organización que quiera operar en el Espacio Económico Europeo (EEE) debe cumplir con el RGPD. El incumplimiento puede tener graves consecuencias. Las infracciones más importantes pueden acarrear multas de hasta 20 000 000 euros o el 4 % de los ingresos mundiales de la organización en el año anterior, si esta cifra es superior.
Pero el cumplimiento de los datos no consiste solo en evitar las consecuencias. También tiene beneficios. Aparte del hecho de que el cumplimiento del RGPD permite a las organizaciones acceder a uno de los mercados más grandes del mundo, los principios del RGPD pueden reforzar significativamente las medidas de seguridad de los datos. Las organizaciones pueden detener más vulneraciones de datos antes de que se produzcan y evitar así un coste medio de 4,45 millones de dólares por vulneración.
El cumplimiento del RGPD también puede mejorar la reputación de una empresa y generar confianza con los consumidores. En general, la gente prefiere hacer negocios con organizaciones que protegen de manera significativa los datos de los clientes (enlace externo a ibm.com).
El RGPD ha inspirado leyes de protección de datos similares en otras regiones, incluida la California Consumer Privacy Act y la Ley de Protección de Datos Personales Digitales de la India. El RGPD a menudo se considera una de las leyes más estrictas, por lo que su cumplimiento puede posicionar a las organizaciones para cumplir también con otras regulaciones.
Por último, si una empresa entra en conflicto con el RGPD, demostrar cierto nivel de cumplimiento puede ayudar a suavizar las repercusiones. Los organismos reguladores tienen en cuenta factores como los controles de ciberseguridad existentes y la cooperación con las autoridades de supervisión a la hora de determinar las sanciones.