Etiquetas
Seguridad

Lista de verificación de cumplimiento del RGPD

Fila de banderas de la UE ondeando frente a un edificio moderno

El Reglamento General de Protección de Datos (RGPD) es una ley de la Unión Europea (UE) que rige cómo las organizaciones recopilan y utilizan datos personales. Cualquier empresa que opere en la UE o maneje datos de residentes de la UE debe cumplir con los requisitos del RGPD.

Sin embargo, el cumplimiento del RGPD no es necesariamente una cuestión sencilla. La ley describe un conjunto de derechos de privacidad de datos para los usuarios y una serie de principios para el procesamiento de datos personales. Las organizaciones deben defender estos derechos y principios, pero el RGPD deja cierto margen para que cada empresa decida cómo hacerlo.

Hay mucho en juego y el RGPD impone sanciones significativas por incumplimiento. Las infracciones más graves pueden dar lugar a multas de hasta 20 000 000 EUR o el 4 % de la facturación global de la organización en el año anterior. Los reguladores del RGPD también pueden poner fin a las actividades ilícitas de procesamiento de datos y obligar a las organizaciones a realizar cambios.

La siguiente lista de verificación cubre las regulaciones principales del RGPD. La forma en que una organización cumpla con estas regulaciones dependerá de sus circunstancias únicas, incluidos los tipos de datos que recopila y cómo los emplea.

Conceptos básicos del RGPD

El RGPD se aplica a cualquier organización con sede en el Espacio Económico Europeo (EEE). El EEE incluye los 27 estados afiliados a la UE más Islandia, Liechtenstein y Noruega.

El RGPD también se aplica a organizaciones fuera del EEE si:

  • La empresa ofrece regularmente bienes o servicios a los residentes del EEE, incluso si el dinero no se intercambia.
  • La empresa monitorea regularmente la actividad de los residentes del EEE, como el uso de cookies de seguimiento.
  • La empresa trata datos en nombre de una empresa con sede en el EEE.

El RGPD no solo se aplica a las empresas que usan datos de clientes con fines comerciales. Se aplica a casi cualquier organización que procese datos de residentes del EEE para cualquier propósito. Las escuelas, los hospitales y las agencias gubernamentales están sujetas a la aplicación del RGPD.

Las únicas actividades de procesamiento de datos exentas del RGPD son la seguridad nacional o las actividades policiales y usos puramente personales de los datos.

Definiciones útiles

El RGPD emplea terminología específica. Para comprender los requisitos de cumplimiento, las organizaciones deben comprender lo que significan estos términos en este contexto.

El RGPD define datos personales como cualquier información relacionada con un ser humano que puede identificarse. Todo, desde direcciones de correo electrónico hasta opiniones políticas, cuenta como datos personales.

El interesado es el ser humano propietario de los datos. Dicho de otra manera, es la persona con la que se relacionan los datos. Supongamos que una empresa recopila números de teléfono para enviar mensajes de marketing a través de SMS. Los propietarios de esos números de teléfono serían los interesados de los datos.

Cuando el RGPD se refiere a interesados, se refiere a interesados que residen en el EEE. No es necesario que los interesados sean ciudadanos de la UE para tener derechos de privacidad de datos en virtud del RGPD. Simplemente deben ser residentes del EEE.

Un responsable de los datos es cualquier organización, grupo o persona que obtiene datos personales y determina cómo se usan. Volviendo a un ejemplo anterior, una empresa que recopila números de teléfono con fines de marketing sería un responsable.

El procesamiento (tratamiento) de datos es cualquier acción realizada con los datos, incluida su recopilación, almacenamiento o análisis. Un encargado del tratamiento de los datos es cualquier organización o actor que realiza tales acciones.

Una empresa puede ser tanto responsable como encargada, como una empresa que recopila números de teléfono y los emplea para enviar mensajes de marketing. Los encargados del tratamiento también incluyen a terceros que realizan el tratamiento de datos en nombre de los responsables, como un servicio de espacio en la nube que aloja una base de datos de números de teléfono para otra empresa.

Las autoridades supervisoras son los organismos reguladores que hacen cumplir los requisitos del RGPD. Cada país del EEE tiene su propia autoridad de supervisión.

La lista de verificación de cumplimiento del RGPD

A nivel general, una organización cumple con el RGPD si:

  • Se adhiere a los principios de procesamiento de datos
  • Defiende los derechos de los interesados
  • Aplica las medidas de seguridad de datos adecuadas
  • Sigue las reglas para transferencias de datos e intercambio de datos.

La siguiente lista de verificación desglosa aún más estos requisitos. Los pasos prácticos que tome una organización para cumplir con estos requisitos dependerán de su ubicación, recursos y actividades de procesamiento de datos, entre otros factores.

Principios del procesamiento de datos

El RGPD crea un conjunto de principios que las organizaciones deben seguir al realizar el tratamiento de datos personales. Los principios son los siguientes:

La organización tiene una base legal para procesar datos.

El GDPR define las circunstancias bajo las cuales las empresas pueden procesar legalmente los datos personales. Una organización debe establecer y documentar su base legal antes de recopilar cualquier dato. La organización debe comunicar esta base a los usuarios en el punto de recopilación de datos. No puede cambiar la base después del hecho a menos que tenga el consentimiento del usuario para hacerlo.

Las posibles bases legales incluyen:

  • La organización tiene el consentimiento del interesado para realizar el tratamiento de sus datos. Tenga en cuenta que el consentimiento del usuario solo es válido si es informado, afirmativo y se otorga libremente.
    • El consentimiento informado significa que la empresa explica claramente qué datos está recopilando y cómo utilizará esos datos.
    • El consentimiento expreso significa que el usuario debe realizar alguna acción intencional para mostrar su consentimiento, como firmar una declaración o marcar una casilla. El consentimiento no puede ser la opción predeterminada.
    • El consentimiento otorgado libremente significa que la empresa no intenta influir ni coaccionar al interesado. El sujeto debe poder retirar su consentimiento en cualquier momento.
  • La organización debe tratar los datos para celebrar un contrato con el interesado o en su nombre.
  • La organización tiene la obligación legal de realizar el tratamiento de los datos.
  • La organización debe realizar el tratamiento de los datos para proteger la vida del interesado o de otra persona.
  • La organización realiza el tratamiento de los datos por razones de interés público, como periodismo o salud pública.
  • La organización es una autoridad pública que realiza el tratamiento de los datos para realizar una función oficial.
  • La organización está procesando los datos para perseguir un interés legítimo.
    • Un interés legítimo es un beneficio que el responsable del tratamiento u otra parte podría obtener mediante el tratamiento de los datos. Algunos ejemplos son la comprobación de los antecedentes de los empleados o el seguimiento de las direcciones IP en una red corporativa con fines de ciberseguridad. Para alegar un interés legítimo, la organización debe demostrar que el tratamiento es necesario y no infringe los derechos de los interesados.

La organización recopila datos con un fin específico y solo los emplea para ese fin.

De acuerdo con el principio de limitación del propósito del RGPD, los responsables deben tener un propósito identificado y documentado para recopilar datos. El responsable debe comunicar este propósito a los usuarios en el punto de recopilación, y solo puede usar los datos para este propósito designado.

La organización solo recopila la cantidad mínima de datos necesaria.

Los responsables del tratamiento solo pueden recopilar la cantidad mínima de datos necesaria para cumplir su finalidad declarada.

La organización mantiene los datos precisos y actualizados.

Los responsables del tratamiento deben tomar medidas razonables para garantizar que los datos personales que tienen sean precisos y estén actualizados.

La organización elimina los datos cuando ya no son necesarios.

El RGPD exige políticas estrictas de retención y eliminación de datos. Las empresas solo pueden conservar los datos hasta que se hata cumplido el propósito especificado para recopilarlos, y deben eliminarlos una vez que ya no los necesiten.

La organización toma precauciones adicionales al procesar datos de menores o datos de categorías especiales.

Los responsables y los encargados deben aplicar protecciones adicionales a ciertos tipos de datos personales.

Los datos de categoría especial incluyen datos muy sensibles como la raza y los datos biométricos de una persona. Las organizaciones solo pueden tratar datos de categoría especial en circunstancias muy limitadas, como para prevenir amenazas graves para la salud pública. Las empresas también pueden tratar datos de categoría especial con el consentimiento explícito del interesado.

Los datos de condenas penales solo pueden ser tratados por las autoridades públicas. Los encargados solo pueden tratar esta información bajo la dirección de una autoridad pública.

Los responsables deben obtener el consentimiento de los padres antes de procesar los datos de los menores de edad. Deben tomar las medidas razonables para verificar las edades de los interesados y las identidades de los padres. Si recopilan datos de menores de edad, los representantes deben presentar avisos de privacidad en un lenguaje amigable para los menores de edad.

Cada estado del EEE establece su propia definición de "menor de edad" en virtud del RGPD. Estos van desde “cualquier persona menor de 13 años” a “cualquier persona menor de 16 años”.

La organización documenta todas las actividades de procesamiento de datos.

Las organizaciones con más de 250 empleados deben mantener registros del procesamiento de datos. Las organizaciones con menos de 250 empleados deben mantener registros si tratan datos altamente confidenciales, datos de manera regular o datos de una manera que representa un riesgo significativo para los interesados.

Los responsables deben documentar cosas como los datos que recopilan, lo que hacen con esos datos, los mapas de flujo de datos y las salvaguardas de datos. Los encargados deben documentar los responsables para los que trabajan, los tipos de procesamiento que realizan para cada controlador y los controles de seguridad que emplean.

El responsable es el responsable final de garantizar el cumplimiento.

Según el RGPD, la responsabilidad final del cumplimiento recae en el responsable del tratamiento de los datos. Esto significa que el responsable del tratamiento debe garantizar (y poder demostrar) que sus encargados del tratamiento externos cumplen todos los requisitos pertinentes del RGPD.

Derechos de los interesados

El RGPD otorga a los interesados ciertos derechos sobre sus datos. Los responsables y encargados deben respetar estos derechos.

La organización ofrece a los interesados formas fáciles de ejercer sus derechos.

Las organizaciones deben ofrecer a los interesados un medio sencillo de hacer valer sus derechos sobre sus datos. Estos derechos incluyen:

  • El derecho de acceso: Los interesados deben poder solicitar y recibir copias de sus datos, así como información relevante sobre cómo la empresa utiliza los datos.
  • El derecho a la rectificación: los sujetos deben poder corregir o actualizar sus datos.
  • El derecho de eliminación: los sujetos deben poder aplicar la eliminación de sus datos. 
  • El derecho a restringir el tratamiento: los interesados deben poder restringir el uso que se hace de sus datos si sospechan que los datos son inexactos, ya no son necesarios o se están usando indebidamente.
  • El derecho de objeción: los interesados deben poder objetar el procesamiento. Los interesados que otorgaron previamente su consentimiento deben poder retirarlo fácilmente en cualquier momento.
  • El derecho a la portabilidad de los datos: Los interesados tienen derecho a transferir sus datos, y los responsables y encargados deben facilitar estas transferencias.

En general, las organizaciones deben responder a todas las solicitudes de acceso de los interesados en un plazo de 30 días. Por lo general, las empresas deben satisfacer la solicitud de un interesado, a menos que la empresa pueda demostrar que tiene una razón legítima e imperiosa para no hacerlo.

Si una organización rechaza una solicitud, debe explicar por qué. La organización también debe indicar al sujeto cómo apelar la decisión ante el oficial de protección de datos de la empresa o la autoridad supervisora pertinente.

La organización ofrece a los interesados una forma de impugnar las decisiones automatizadas.

Según el RGPD, los interesados tienen derecho a no estar sujetos a procesos automatizados de toma de decisiones que podrían tener un impacto significativo en ellos. Esto incluye la elaboración de perfiles, que el RGPD define como el uso de la automatización para evaluar algún aspecto de una persona, como predecir su rendimiento laboral.

Si una organización usa decisiones automatizadas, debe dar a los interesados una forma de impugnar esas decisiones. Los interesados también pueden solicitar que un empleado humano revise cualquier decisión automatizada que los afecte.

La organización es transparente sobre cómo emplea los datos personales.

Los responsables y los encargados deben informar de manera proactiva y clara a los interesados sobre las actividades de procesamiento de datos, incluidos los datos que recopilan, qué hacen con ellos y cómo los interesados pueden ejercer sus derechos sobre los datos.

Esta información normalmente debe comunicarse a través de un aviso de privacidad presentado al interesado durante la recopilación de datos. Si la empresa no recopila datos personales directamente de los interesados, los avisos de privacidad deben enviarse a los interesados dentro de un plazo de un mes. Las empresas también pueden incluir estos detalles en políticas de privacidad que sean accesibles públicamente en sus sitios web.

Medidas de privacidad y protección de datos

El RGPD exige a los responsables y encargados del tratamiento que tomen medidas para evitar el uso indebido de los datos personales y proteger a los interesados de cualquier daño.

La organización ha implementado controles de ciberseguridad adecuados.

Los responsables y encargados deben desplegar medidas de seguridad para proteger la confidencialidad e integridad de los datos personales. El RGPD no exige ningún control en particular, pero sí establece que las empresas deben adoptar medidas tanto técnicas como organizacionales.

Las medidas técnicas incluyen soluciones tecnológicas, como plataformas de gestión de identidad y acceso (IAM), respaldos automatizados y herramientas de seguridad de datos. Si bien el RGPD no exige explícitamente el cifrado de datos, sí recomienda que las organizaciones empleen la seudonimización y la anonimización siempre que sea posible.

Las medidas organizacionales incluyen la capacitación de los empleados, las evaluaciones continuas de riesgos y otras políticas y procesos de seguridad. Las empresas también deben seguir el principio de protección de datos desde el diseño y de manera predeterminada al crear o implementar nuevos sistemas y productos.

La organización lleva a cabo evaluaciones de impacto sobre la protección de datos (DPIA) según sea necesario.

Si una empresa tiene previsto tratar datos de forma que suponga un alto riesgo para los derechos de los interesados, debe realizar primero una evaluación de impacto sobre la protección de datos (DPIA). Los tipos de tratamiento que podrían dar lugar a una DPIA incluyen la elaboración automatizada de perfiles y el tratamiento a gran escala de categorías especiales de datos personales, entre otros.

Un DPIA debe describir los datos que se utilizan, el tratamiento previsto y el propósito del procesamiento. Debe identificar los riesgos del procesamiento y las formas de mitigarlos. Si existe un riesgo significativo no mitigado, la organización debe consultar a una autoridad supervisora antes de seguir adelante.

La organización designó un funcionario de protección de datos (DPO) si es necesario.

Una organización debe designar un funcionario de protección de datos (DPO) si monitorea interesados a gran escala o procesa datos de categoría especial como actividad principal. Todas las autoridades públicas deben designar también DPO.

El DPO es responsable de garantizar que la organización siga cumpliendo con el RGPD. Las funciones clave incluyen la coordinación con las autoridades de protección de datos, el asesoramiento a la organización sobre los requisitos del RGPD y la supervisión de las DPIA.

El DPO debe ser un funcionario independiente que informe directamente al más alto nivel de gestión. La organización no puede tomar represalias contra el DPO por desempeñar sus funciones.

La organización notifica a las autoridades supervisoras y a los interesados cuando se producen filtraciones de datos.

Las organizaciones deben informar la mayoría de las filtraciones de datos personales a la autoridad de supervisión correspondiente dentro de las 72 horas. Si la filtración representa un riesgo para los interesados, la organización también debe notificar a los interesados. Las organizaciones deben notificar a los interesados directamente, a menos que la comunicación directa no sea razonable, en cuyo caso se acepta un aviso público.

Los encargados que sufran una filtración deben notificar a los responsables pertinentes sin demora indebida.

Si se encuentra fuera del EEE, la organización designó a un representante en el EEE.

Cualquier empresa fuera del EEE que procese de manera regular datos de residentes del EEE o datos particularmente sensibles debe designar un representante dentro del EEE. El representante coordina con las autoridades gubernamentales en nombre de la empresa y actúa como punto de contacto para los asuntos de cumplimiento del RGPD.

Transferencias e intercambio de datos

El RGPD establece reglas sobre cómo las organizaciones comparten datos personales con otras empresas dentro y fuera del EEE.

La organización emplea acuerdos formales de procesamiento de datos para regir las relaciones con los encargados.

Un responsable puede compartir datos personales con encargados y otros terceros, pero estas relaciones deben regir por acuerdos formales de procesamiento de datos. Estos acuerdos deben describir los derechos y responsabilidades de todas las partes con respecto al RGPD.

Los encargados terceros solo pueden procesar datos de acuerdo con las instrucciones del responsable. No pueden utilizar los datos de un responsable del tratamiento de datos para sus propios fines. Un encargado debe obtener la aprobación del responsable antes de compartir datos con un subencargado.

La organización solo realiza transferencias de datos aprobadas fuera del EEE.

Un responsable solo puede compartir datos con un tercero ubicado fuera del EEE si la transferencia de datos cumple al menos uno de los siguientes criterios:

  • La Comisión Europea consideró adecuadas las leyes de privacidad de datos del país donde se encuentra el tercero.
  • La Comisión Europea consideró que el tercero tiene políticas y controles de protección de datos adecuados.
  • El responsable tomó todas las medidas necesarias para garantizar la seguridad y privacidad de los datos que se transfieren.

Explore las soluciones de cumplimiento del RGPD

El cumplimiento del RGPD es un proceso continuo, y los requisitos de una organización pueden cambiar a medida que recopila nuevos datos y realiza nuevos tipos de actividades de tratamiento.

Las soluciones de conformidad y seguridad de datos como IBM Security Guardium pueden ayudar a agilizar el proceso de alcanzar y mantener la conformidad con el RGPD. Guardium puede descubrir automáticamente datos regulados por el RGPD, aplicar normas de cumplimiento para esos datos, monitorear el uso de los datos y capacitar a las organizaciones para responder a las amenazas a la seguridad de los datos.

 

Autor

Matt Kosinski

Writer

Conozca las soluciones de seguridad y protección de datos Obtenga más información sobre la suite de productos de cumplimiento y seguridad de datos de IBM.