Cómo implementar el Reglamento General de Protección de Datos (RGPD)
23 de febrero de 2024
Lectura de 10 minutos

El Reglamento General de Protección de Datos (RGPD), la ley histórica de privacidad de datos de la Unión Europea, entró en vigor en 2018. Sin embargo, muchas organizaciones siguen teniendo dificultades para cumplir con los requisitos de cumplimiento, y las autoridades de protección de datos de la UE no dudan en imponer sanciones.

Incluso las empresas más grandes del mundo no están libres de los problemas por el RGPD. Los entes reguladores de Irlanda impusieron a Meta una multa de 1200 millones de euros (enlace externo a ibm.com) en 2023. Las autoridades italianas están investigando OpenAI (enlace externo a ibm.com) por presuntas violaciones, llegando incluso a prohibir brevemente ChatGPT.

A muchas empresas les resulta difícil implementar los requisitos del RGPD porque la ley no solo es compleja sino que también deja mucho en manos de la discreción. El RGPD establece una letanía de reglas sobre cómo las organizaciones dentro y fuera de Europa manejan los datos personales de los residentes de la UE. Sin embargo, da a las empresas cierto margen de maniobra a la hora de aplicar esas normas.

Los detalles del plan de cualquier organización para cumplir plenamente con el RGPD variarán en función de los datos que la organización recopile y de lo que haga con esos datos. Dicho esto, hay algunas medidas básicas que todas las empresas pueden adoptar al aplicar el RGPD:

  • Realizar un inventario de datos personales
  • Identificar y proteger los datos de categorías especiales 
  • Realizar una auditoría de las actividades de procesamiento de datos
  • Actualizar los formularios de consentimiento de los usuarios
  • Crear un sistema de mantenimiento de registros
  • Designar líderes de cumplimiento
  • Redactar una política de privacidad de datos
  • Cerciorarse de que los asociados externos cumplan con las normas
  • Crear un proceso para las evaluaciones de impacto de la protección de datos
  • Implementar un plan de respuesta ante la filtración de datos
  • Facilitar a los interesados el ejercicio de sus derechos
  • Desplegar medidas de seguridad de la información
¿Necesito implementar el RGPD?

El RGPD se aplica a cualquier organización que procese datos personales de residentes europeos, independientemente de dónde tenga su sede esa organización. Dada la naturaleza interconectada e internacional de la economía digital, eso incluye a muchas, tal vez incluso a la mayoría, de las empresas actuales. Incluso las organizaciones que no entran en el ámbito del RGPD pueden adoptar sus requisitos para fortalecer la protección de datos.

Más específicamente, el RGPD se aplica a todos los responsables y encargados del procesamiento de datos con sede en el Espacio Económico Europeo (EEE). El EEE incluye los 27 estados afiliados a la UE más Islandia, Liechtenstein y Noruega. 

Un encargado del procesamiento de datos es cualquier organización, grupo o persona que recopila datos personales y determina cómo se utilizan. Piense: un minorista en línea que almacena las direcciones de correo electrónico de los clientes para enviar actualizaciones de pedidos.

Un procesador de datos es cualquier organización o grupo que realiza actividades de procesamiento de datos. El RGPD define ampliamente el “procesamiento” como cualquier acción realizada sobre los datos: almacenarlos, analizarlos, modificarlos, etc. Los procesadores incluyen a terceros que procesan datos personales en nombre de un encargado, como una empresa de marketing que analiza datos de los usuarios para ayudar a una empresa a comprender la demografía clave de los clientes.

El RGPD también se aplica a los responsables y encargados del procesamiento situados fuera del EEE si cumplen con al menos una de las siguientes condiciones: 

  • La empresa ofrece regularmente bienes y servicios a los residentes del EEE, incluso si el dinero no cambia de manos.
  • La empresa monitorea regularmente la actividad de los residentes del EEE, como el uso de cookies de seguimiento. 
  • La empresa procesa datos personales en nombre de los responsables del tratamiento en el EEE. 
  • La empresa tiene empleados en el EEE.

Hay algunos aspectos más que vale la pena señalar sobre el alcance del RGPD. En primer lugar, solo se ocupa de los datos personales de personas físicas, también llamados interesados en el jerga del RGPD. Una persona natural es un ser humano vivo. El RGPD no protege los datos de personas jurídicas, como corporaciones, o de personas fallecidas.

En segundo lugar, una persona no necesita ser ciudadana de la UE para tener las protecciones del RGPD. Simplemente necesitan ser residente formal del EEE.

Por último, el RGPD se aplica al procesamiento de datos personales por prácticamente cualquier motivo: comercial, académico, gubernamental o de otro tipo. Las empresas, hospitales, escuelas y autoridades públicas están sujetos al GDPR. Las únicas operaciones de procesamiento exentas del RGPD son las actividades de seguridad nacional y de aplicación de la ley y los usos puramente personales de datos.

Pasos de implementación del RGPD

No existe un plan de cumplimiento del RGPD único para todos, pero sí algunas prácticas fundamentales que las organizaciones pueden emplear para guiar los esfuerzos de implementación del RGPD.

Para obtener una lista de los requisitos clave del RGPD, consulte la lista de verificación de cumplimiento del RGPD

Realizar un inventario de datos personales

Si bien el RGPD no requiere explícitamente un inventario de datos, muchas organizaciones comienzan aquí por dos razones. En primer lugar, saber qué datos tiene la empresa y cómo se procesan ayuda a la organización a comprender mejor sus cargas de cumplimiento. Por ejemplo, una empresa que recopila datos de salud de los usuarios necesita protecciones más sólidas que una que recopila solo direcciones de correo electrónico.

En segundo lugar, un inventario completo facilita el cumplimiento de las solicitudes de los usuarios para compartir, actualizar o eliminar sus datos. 

Un inventario de datos puede registrar detalles, tales como:

  • Tipos de datos recopilados (nombres de usuario, datos de navegación)
  • Poblaciones de datos (clientes, empleados, estudiantes)
  • Cómo se recopilan los datos (registros en eventos, páginas de destino)
  • Dónde se almacenan los datos (servidores locales, servicios en la nube)
  • El propósito de la recopilación de datos (campañas de marketing, análisis de comportamiento)
  • Cómo se procesan los datos (puntaje automatizado, agregación)
  • Quién tiene acceso a los datos (empleados, proveedores)
  • Medidas de seguridad existentes (cifrado, autenticación multifactor

Puede ser difícil rastrear los datos personales que están dispersos por toda la red de la organización en varios flujos de trabajo, bases de datos, endpoints e incluso activos de TI en la sombra. Para que los inventarios de datos sean más manejables, las organizaciones pueden considerar el uso de soluciones de protección de datos que descubran y clasifiquen automáticamente los datos. 

Conozca cómo IBM® Guardium Data Protection detecta, clasifica y protege automáticamente los datos confidenciales en los principales repositorios, como AWS, DBaaS y mainframes on-premises.

Identificar y proteger los datos de categorías especiales 

Al inventariar los datos, las organizaciones deben tomar nota de cualquier dato especialmente sensible que requiera protección adicional. Los mandatos del RGPD agregaron precauciones para tres tipos de datos en particular: datos de categorías especiales, datos de condenas penales y datos de menores de edad.

  • Los datos de categoría especial incluyen datos biométricos, registros de salud, raza, etnia y otra información altamente personal. Las organizaciones suelen necesitar el consentimiento explícito de un usuario para procesar datos de categorías especiales. 
  • Los datos de condenas penales solo pueden ser controlados por las autoridades públicas y procesados bajo su dirección. 
  • Los datos de los niños no pueden procesarse sin el consentimiento de los padres, y las organizaciones necesitan mecanismos para verificar las edades de los interesados y las identidades de sus padres. Cada estado del EEE establece su propia definición de "menor de edad" en virtud del RGPD. Los límites van desde menores de 13 años hasta menores de 16 años. Las empresas deben estar preparadas para cumplir con estas diferentes definiciones. 

Actividades de procesamiento de datos de auditoría 

Durante el inventario de datos, las organizaciones registran todas las operaciones de procesamiento a las que se someten los datos. A continuación, las organizaciones deben garantizar que estas operaciones cumplen con las normas de tratamiento del RGPD. Algunos de los principios más importantes del RGPD son los siguientes:

  • Todo procesamiento debe tener una base jurídica establecida: el tratamiento de datos solo es aceptable si la organización cuenta con una base jurídica aprobada para dicho tratamiento. Entre las bases jurídicas más comunes se encuentran la obtención del consentimiento del usuario, el tratamiento de datos para ejecutar un contrato con el usuario y el tratamiento de datos por interés público. Las organizaciones deben documentar la base jurídica de cada operación de tratamiento antes de comenzar.

Para obtener una lista completa de las bases jurídicas aprobadas, consulte la página de cumplimiento del RGPD.

  • Limitación del propósito: los datos se deben recopilar y emplear para un propósito específicamente definido. 
  • Minimización de datos: las organizaciones deben recopilar la cantidad mínima de datos necesarios para el propósito especificado. 
  • Precisión: las organizaciones deben cerciorarse de que los datos que recopilan sean correctos y estén vigentes. 
  • Limitación de almacenamiento: las organizaciones deben disponer de los datos de forma segura tan pronto como se cumpla su propósito. 

Para obtener una lista completa de los principios de procesamiento del RGPD, consulte la lista de verificación de cumplimiento del RGPD.

Actualizar los formularios de consentimiento de los usuarios

El consentimiento del usuario es una base jurídica común para el procesamiento. Sin embargo, el consentimiento solo es válido en virtud del RGPD si está fundamentado y es afirmativo, y se otorga libremente. Es posible que las organizaciones tengan que actualizar los formularios de consentimiento para cumplir con estos requisitos.

  • Para garantizar que el consentimiento sea informado, la organización debe explicar claramente qué recopila y cómo usará esos datos en el momento de la recopilación de datos.
  • Para garantizar que el consentimiento sea afirmativo, las organizaciones deben adoptar un enfoque de aceptación, en el que los usuarios deben marcar activamente una casilla o firmar una declaración para indicar el consentimiento. Los consentimientos tampoco se pueden agrupar. Los usuarios deben aceptar cada actividad de procesamiento individualmente.
  • Para garantizar que el consentimiento sea libre, las organizaciones solo pueden exigir el consentimiento para las actividades de procesamiento de datos que son genuinamente integrales para un servicio. En otras palabras, una empresa no puede obligar a los usuarios a revelar sus opiniones políticas para comprar una camiseta. Los usuarios deben poder revocar el consentimiento en cualquier momento.

Crear un sistema de mantenimiento de registros 

Las organizaciones con más de 250 empleados y las empresas de cualquier tamaño que procesan regularmente datos o manejan datos de alto riesgo, deben mantener registros electrónicos escritos de sus actividades de procesamiento. 

Sin embargo, todas las organizaciones pueden querer mantener dichos registros. Esto no solo ayuda a rastrear los esfuerzos de privacidad y seguridad, sino que también puede demostrar el cumplimiento si se produce una auditoría o una filtración. Las empresas pueden reducir o evitar las sanciones si pueden demostrar que hicieron un esfuerzo de buena fe para cumplir.

Es posible que los controladores de datos deseen mantener registros particularmente sólidos, ya que el RGPD los hace responsables del cumplimiento de sus asociados y proveedores. 

Designar responsables de cumplimiento del RGPD

Todas las autoridades públicas y cualquier organización que procese regularmente datos de categorías especiales o supervisen temas a gran escala deben nombrar a un oficial de protección de datos (DPO). Un DPD es un funcionario corporativo independiente a cargo del cumplimiento del RGPD. Las responsabilidades comunes incluyen monitorear las evaluaciones de riesgos, capacitar a los empleados sobre los principios de protección de datos y trabajar con las autoridades gubernamentales.

Aunque solo algunas organizaciones están obligadas a designar DPO, todas pueden considerar la posibilidad de hacerlo. La designación de un responsable del cumplimiento del RGPD puede ayudar a agilizar la aplicación.

Los DPO pueden ser empleados de una empresa o consultores externos que ofrecen sus servicios por contrato. Deben informar directamente al más alto nivel de gestión. La empresa no puede tomar represalias contra un DPO por cumplir con sus deberes. 

Las organizaciones fuera del EEE deben designar a un representante dentro del EEE si procesan de manera regular los datos de los residentes del EEE o manejan datos altamente confidenciales. El principal deber del representante del EEE es coordinar con las autoridades de protección de datos en nombre de la empresa durante las investigaciones. El representante puede ser un empleado, una empresa afiliada o un servicio contratado. 

El DPO y el representante del EEE son funciones diferentes con responsabilidades distintas. En particular, el representante actúa bajo la dirección de la organización, mientras que el DPD debe ser un funcionario independiente. Una organización no puede designar a una de las partes (enlace externo a ibm.com) para que se desempeñe como representante del DPO y del EEE.

Si una organización opera en varios estados del EEE, debe identificar una autoridad de supervisión líder. Es la principal autoridad de protección de datos (DPA) que monitorea el cumplimiento del RGPD para esa empresa en toda Europa. 

Por lo general, la autoridad de supervisión líder es la DPA en el estado miembro donde la organización tiene su sede o lleva a cabo sus actividades principales de procesamiento. 

Redactar una política de privacidad de datos 

El RGPD exige que las organizaciones mantengan a las personas informadas sobre cómo usan sus datos. Las empresas pueden cumplir con este requisito mediante políticas de privacidad que describan claramente sus operaciones de procesamiento, incluido lo que recopila la empresa, las políticas de retención y eliminación, los derechos de los usuarios y otros detalles relevantes.

Las políticas de privacidad deben emplear un lenguaje sencillo que cualquiera pueda entender. Ocultar información importante detrás de una jerga densa puede infringir el RGPD. Las organizaciones pueden cerciorarse de que los usuarios vean sus políticas compartiendo avisos de privacidad en el punto de recopilación de datos. Las organizaciones también pueden alojar sus políticas de privacidad en páginas públicas y fáciles de encontrar en sus sitios web. 

Cerciorarse de que los asociados externos cumplan con las normas 

Los encargados son responsables en última instancia de los datos personales que recopilan, incluida la forma en que sus procesadores, proveedores y otros terceros los emplean. Si los asociados no cumplen, los encargados pueden ser sancionados. 

Las organizaciones deben revisar sus contratos con cualquier tercero que tenga acceso a sus datos. Estos contratos deben detallar claramente los derechos y responsabilidades de todas las partes con respecto al RGPD de forma jurídicamente vinculante.

Si una organización trabaja con procesadores fuera del EEE, dichos procesadores aún deben cumplir con los requisitos del RGPD. De hecho, las transferencias de datos fuera del EEE están sujetas a normas estrictas. Los encargados en el EEE solo pueden compartir datos con encargados fuera del EEE si se cumple uno de los siguientes criterios:

  • La Comisión Europea consideró adecuadas las leyes de privacidad del país.
  • La Comisión Europea consideró que el encargado cuenta con suficientes protecciones de datos.
  • El encargado tomó medidas para garantizar que los datos estén protegidos

Una forma de garantizar que todas las asociaciones y transferencias de datos cumplan con el RGPD es mediante cláusulas contractuales tipo. Estas cláusulas prescritas fueron aprobadas previamente por la Comisión Europea y están a disposición de cualquier organización que desee emplearlas. La inserción de estas cláusulas en un contrato lo hace conforme al RGPD, siempre que cada parte las respete. Para obtener más información sobre las cláusulas contractuales tipo, consulte el sitio web de la Comisión Europea (enlace externo a ibm.com).

Crear un proceso para las evaluaciones de impacto de la protección de datos

El RGPD requiere que las organizaciones realicen evaluaciones de impacto de la protección de datos (DPIA) antes de cualquier procesamiento de alto riesgo. Si bien el RGPD ofrece algunos ejemplos (uso de nuevas tecnologías, procesamiento a gran escala de datos confidenciales), no enumera exhaustivamente todas las actividades de alto riesgo.

Las organizaciones pueden considerar realizar una DPIA antes de cualquier nueva operación de procesamiento para estar seguras. Otras pueden emplear una preselección simplificada para determinar si el riesgo es lo suficientemente alto como para justificar una DPIA.

Como mínimo, una DPIA debe describir el procesamiento y su propósito, valorar la necesidad del procesamiento, evaluar los riesgos para los interesados e identificar las medidas de mitigación. Si el riesgo sigue siendo alto después de la mitigación, la organización debe consultar con una autoridad de protección de datos antes de seguir adelante. 

Descubra cómo IBM Guardium Insights puede ayudar a optimizar los informes de cumplimiento con flujos de trabajo preconfigurados para el RGPD, la CCPA y otras regulaciones clave.

Implementar un plan de respuesta ante la filtración de datos 

Las organizaciones deben informar la mayoría de las filtraciones de datos personales a la autoridad de supervisión correspondiente dentro de las 72 horas. Si la filtración supone un riesgo para los interesados, como el robo de identidad, la empresa también debe notificarlo a los interesados. Las notificaciones deben enviarse directamente a las víctimas, a menos que hacerlo resulte inviable. En ese caso, la notificación pública es suficiente.

Las organizaciones necesitan planes efectivos de respuesta ante incidentes que identifiquen rápidamente las infracciones en curso, erradiquen las amenazas y notifiquen a las autoridades. Los planes de respuesta ante incidentes deben incluir herramientas y tácticas para recuperar sistemas y restaurar la seguridad de la información. Cuanto más rápido una organización recupere el control, menos probabilidades tendrá de ser objeto de medidas regulatorias graves.

Las organizaciones también pueden aprovechar esta oportunidad para reforzar las medidas de seguridad de los datos. Si es poco probable que una filtración perjudique a los usuarios (por ejemplo, si los datos robados tienen una seguridad de cifrado tal que los hackers no pueden usarlos), la empresa no necesita notificar a los interesados. Esto puede ayudar a evitar el daño a la reputación y los ingresos que puede seguir a una filtración de datos.

Facilitar a los interesados el ejercicio de sus derechos 

El RGPD otorga a los interesados derechos sobre cómo las organizaciones emplean sus datos. Por ejemplo, el derecho de rectificación permite a los usuarios corregir datos inexactos o desactualizados. El derecho de borrado permite que los usuarios eliminen sus datos.

En términos generales, las organizaciones deben cumplir con las solicitudes de los interesados en un plazo de 30 días. Para que las solicitudes sean más manejables, las organizaciones pueden crear portales de autoservicio donde los interesados pueden acceder a sus datos, realizar cambios y restringir su uso. Los portales deben incluir una forma de verificar las identidades de los interesados. El RGPD impone a las organizaciones la carga de verificar que los solicitantes sean quienes dicen.

Decisiones y perfiles automatizados 

Los interesados tienen derechos especiales respecto al procesamiento automatizado. En concreto, las organizaciones no pueden usar la automatización para tomar decisiones importantes sin el consentimiento de un usuario. Los usuarios tienen derecho a cuestionar decisiones automatizadas y solicitar que un humano las revise. 

Las organizaciones pueden emplear portales de autoservicio para ofrecer a los interesados una forma de cuestionar las decisiones automatizadas. Las empresas también deben estar preparadas para nombrar revisores humanos según sea necesario. 

Portabilidad de datos 

Los interesados tienen derecho a transferir sus datos a cualquier lugar que deseen, y las organizaciones deben facilitar esas transferencias. 

Además de facilitar a los usuarios la solicitud de transferencias, las organizaciones deben almacenar los datos en un formato que se pueda compartir. El uso de formatos propietarios puede dificultar las transferencias e impedir los derechos de los usuarios. 

Para obtener una lista completa de los derechos de los interesados, consulte la página de cumplimiento del RGPD.

Desplegar medidas de seguridad de la información

El RGPD exige que las organizaciones empleen medidas razonables de protección de datos para cerrar las vulnerabilidades del sistema y evitar el acceso no autorizado o el uso ilegal. El RGPD no impone medidas específicas, pero sí establece que las organizaciones necesitan controles tanto técnicos como organizacionales.

Los controles técnicos de seguridad incluyen software, hardware y otras herramientas tecnológicas, como SIEM y soluciones de prevención de pérdida de datos. El RGPD fomenta en gran medida el cifrado y la seudonimización, por lo que las organizaciones pueden querer implementar estos controles en particular. 

Las medidas organizacionales incluyen procesos, como la capacitación de los empleados sobre las normas del RGPD y la implementación de políticas formales de gobernanza de datos

El RGPD también ordena a las empresas que adopten el principio de protección de datos por diseño y por defecto. “Por diseño” significa que las empresas deben incorporar la privacidad de los datos en los sistemas y procesos desde el principio. "Por defecto" significa que la configuración predeterminada para cualquier sistema debe ser la que mantenga la mayor privacidad del usuario. 

Descubra cómo las soluciones de seguridad y protección de datos de IBM protegen los datos en las nubes híbridas y simplifican los requerimientos de cumplimiento de normas.

Por qué es importante el cumplimiento del RGPD

Cualquier organización que quiera operar en el Espacio Económico Europeo (EEE) debe cumplir con el RGPD. El incumplimiento puede tener consecuencias graves. Las infracciones más significativas pueden dar lugar a multas de hasta 20 000 000 EUR o el 4 % de los ingresos mundiales de la organización en el año anterior, lo que sea mayor.

Pero el cumplimiento de datos no se trata solo de evitar consecuencias. También tiene beneficios. Además de que el cumplimiento del RGPD permite a las organizaciones acceder a uno de los mercados más grandes del mundo, los principios del RGPD pueden fortalecer significativamente las medidas de seguridad de los datos. Las organizaciones pueden detener más filtraciones de datos antes de que ocurran, evitando un costo promedio de 4.45 millones de dólares por filtración.

El cumplimiento del RGPD también puede impulsar la reputación de una empresa y generar confianza con los consumidores. Por lo general, las personas prefieren hacer negocios con organizaciones que protegen de manera significativa los datos de los clientes (enlace externo a ibm.com).

El RGPD fue motivo para la creación de leyes de protección de datos similares en otras regiones, incluida la California Consumer Privacy Act y la Ley de Protección de Datos Personales Digitales de la India. El RGPD a menudo se considera una de las leyes más estrictas, por lo que su cumplimiento puede posicionar a las organizaciones para cumplir también con otras regulaciones.

Por último, si una empresa infringe el RGPD, demostrar cierto nivel de cumplimiento puede ayudar a mitigar las repercusiones. Los organismos reguladores ponderan factores como los controles de ciberseguridad existentes y la cooperación con las autoridades de supervisión al determinar las sanciones.

 
Autor
Matt Kosinski Writer