El Reglamento General de Protección de Datos (RGPD), la ley histórica de privacidad de datos de la Unión Europea, entró en vigor en 2018. Sin embargo, muchas organizaciones siguen teniendo dificultades para cumplir con los requisitos de cumplimiento, y las autoridades de protección de datos de la UE no dudan en imponer sanciones.
Incluso las empresas más grandes del mundo no están libres de los problemas por el RGPD. Los entes reguladores de Irlanda impusieron a Meta una multa de 1200 millones de euros (enlace externo a ibm.com) en 2023. Las autoridades italianas están investigando OpenAI (enlace externo a ibm.com) por presuntas violaciones, llegando incluso a prohibir brevemente ChatGPT.
A muchas empresas les resulta difícil implementar los requisitos del RGPD porque la ley no solo es compleja sino que también deja mucho en manos de la discreción. El RGPD establece una letanía de reglas sobre cómo las organizaciones dentro y fuera de Europa manejan los datos personales de los residentes de la UE. Sin embargo, da a las empresas cierto margen de maniobra a la hora de aplicar esas normas.
Los detalles del plan de cualquier organización para cumplir plenamente con el RGPD variarán en función de los datos que la organización recopile y de lo que haga con esos datos. Dicho esto, hay algunas medidas básicas que todas las empresas pueden adoptar al aplicar el RGPD:
El RGPD se aplica a cualquier organización que procese datos personales de residentes europeos, independientemente de dónde tenga su sede esa organización. Dada la naturaleza interconectada e internacional de la economía digital, eso incluye a muchas, tal vez incluso a la mayoría, de las empresas actuales. Incluso las organizaciones que no entran en el ámbito del RGPD pueden adoptar sus requisitos para fortalecer la protección de datos.
Más específicamente, el RGPD se aplica a todos los responsables y encargados del procesamiento de datos con sede en el Espacio Económico Europeo (EEE). El EEE incluye los 27 estados afiliados a la UE más Islandia, Liechtenstein y Noruega.
Un encargado del procesamiento de datos es cualquier organización, grupo o persona que recopila datos personales y determina cómo se utilizan. Piense: un minorista en línea que almacena las direcciones de correo electrónico de los clientes para enviar actualizaciones de pedidos.
Un procesador de datos es cualquier organización o grupo que realiza actividades de procesamiento de datos. El RGPD define ampliamente el “procesamiento” como cualquier acción realizada sobre los datos: almacenarlos, analizarlos, modificarlos, etc. Los procesadores incluyen a terceros que procesan datos personales en nombre de un encargado, como una empresa de marketing que analiza datos de los usuarios para ayudar a una empresa a comprender la demografía clave de los clientes.
El RGPD también se aplica a los responsables y encargados del procesamiento situados fuera del EEE si cumplen con al menos una de las siguientes condiciones:
Hay algunos aspectos más que vale la pena señalar sobre el alcance del RGPD. En primer lugar, solo se ocupa de los datos personales de personas físicas, también llamados interesados en el jerga del RGPD. Una persona natural es un ser humano vivo. El RGPD no protege los datos de personas jurídicas, como corporaciones, o de personas fallecidas.
En segundo lugar, una persona no necesita ser ciudadana de la UE para tener las protecciones del RGPD. Simplemente necesitan ser residente formal del EEE.
Por último, el RGPD se aplica al procesamiento de datos personales por prácticamente cualquier motivo: comercial, académico, gubernamental o de otro tipo. Las empresas, hospitales, escuelas y autoridades públicas están sujetos al GDPR. Las únicas operaciones de procesamiento exentas del RGPD son las actividades de seguridad nacional y de aplicación de la ley y los usos puramente personales de datos.
No existe un plan de cumplimiento del RGPD único para todos, pero sí algunas prácticas fundamentales que las organizaciones pueden emplear para guiar los esfuerzos de implementación del RGPD.
Para obtener una lista de los requisitos clave del RGPD, consulte la lista de verificación de cumplimiento del RGPD.
Si bien el RGPD no requiere explícitamente un inventario de datos, muchas organizaciones comienzan aquí por dos razones. En primer lugar, saber qué datos tiene la empresa y cómo se procesan ayuda a la organización a comprender mejor sus cargas de cumplimiento. Por ejemplo, una empresa que recopila datos de salud de los usuarios necesita protecciones más sólidas que una que recopila solo direcciones de correo electrónico.
En segundo lugar, un inventario completo facilita el cumplimiento de las solicitudes de los usuarios para compartir, actualizar o eliminar sus datos.
Un inventario de datos puede registrar detalles, tales como:
Puede ser difícil rastrear los datos personales que están dispersos por toda la red de la organización en varios flujos de trabajo, bases de datos, endpoints e incluso activos de TI en la sombra. Para que los inventarios de datos sean más manejables, las organizaciones pueden considerar el uso de soluciones de protección de datos que descubran y clasifiquen automáticamente los datos.
Al inventariar los datos, las organizaciones deben tomar nota de cualquier dato especialmente sensible que requiera protección adicional. Los mandatos del RGPD agregaron precauciones para tres tipos de datos en particular: datos de categorías especiales, datos de condenas penales y datos de menores de edad.
Durante el inventario de datos, las organizaciones registran todas las operaciones de procesamiento a las que se someten los datos. A continuación, las organizaciones deben garantizar que estas operaciones cumplen con las normas de tratamiento del RGPD. Algunos de los principios más importantes del RGPD son los siguientes:
Para obtener una lista completa de las bases jurídicas aprobadas, consulte la página de cumplimiento del RGPD.
Para obtener una lista completa de los principios de procesamiento del RGPD, consulte la lista de verificación de cumplimiento del RGPD.
El consentimiento del usuario es una base jurídica común para el procesamiento. Sin embargo, el consentimiento solo es válido en virtud del RGPD si está fundamentado y es afirmativo, y se otorga libremente. Es posible que las organizaciones tengan que actualizar los formularios de consentimiento para cumplir con estos requisitos.
Las organizaciones con más de 250 empleados y las empresas de cualquier tamaño que procesan regularmente datos o manejan datos de alto riesgo, deben mantener registros electrónicos escritos de sus actividades de procesamiento.
Sin embargo, todas las organizaciones pueden querer mantener dichos registros. Esto no solo ayuda a rastrear los esfuerzos de privacidad y seguridad, sino que también puede demostrar el cumplimiento si se produce una auditoría o una filtración. Las empresas pueden reducir o evitar las sanciones si pueden demostrar que hicieron un esfuerzo de buena fe para cumplir.
Es posible que los controladores de datos deseen mantener registros particularmente sólidos, ya que el RGPD los hace responsables del cumplimiento de sus asociados y proveedores.
Todas las autoridades públicas y cualquier organización que procese regularmente datos de categorías especiales o supervisen temas a gran escala deben nombrar a un oficial de protección de datos (DPO). Un DPD es un funcionario corporativo independiente a cargo del cumplimiento del RGPD. Las responsabilidades comunes incluyen monitorear las evaluaciones de riesgos, capacitar a los empleados sobre los principios de protección de datos y trabajar con las autoridades gubernamentales.
Aunque solo algunas organizaciones están obligadas a designar DPO, todas pueden considerar la posibilidad de hacerlo. La designación de un responsable del cumplimiento del RGPD puede ayudar a agilizar la aplicación.
Los DPO pueden ser empleados de una empresa o consultores externos que ofrecen sus servicios por contrato. Deben informar directamente al más alto nivel de gestión. La empresa no puede tomar represalias contra un DPO por cumplir con sus deberes.
Las organizaciones fuera del EEE deben designar a un representante dentro del EEE si procesan de manera regular los datos de los residentes del EEE o manejan datos altamente confidenciales. El principal deber del representante del EEE es coordinar con las autoridades de protección de datos en nombre de la empresa durante las investigaciones. El representante puede ser un empleado, una empresa afiliada o un servicio contratado.
El DPO y el representante del EEE son funciones diferentes con responsabilidades distintas. En particular, el representante actúa bajo la dirección de la organización, mientras que el DPD debe ser un funcionario independiente. Una organización no puede designar a una de las partes (enlace externo a ibm.com) para que se desempeñe como representante del DPO y del EEE.
Si una organización opera en varios estados del EEE, debe identificar una autoridad de supervisión líder. Es la principal autoridad de protección de datos (DPA) que monitorea el cumplimiento del RGPD para esa empresa en toda Europa.
Por lo general, la autoridad de supervisión líder es la DPA en el estado miembro donde la organización tiene su sede o lleva a cabo sus actividades principales de procesamiento.
El RGPD exige que las organizaciones mantengan a las personas informadas sobre cómo usan sus datos. Las empresas pueden cumplir con este requisito mediante políticas de privacidad que describan claramente sus operaciones de procesamiento, incluido lo que recopila la empresa, las políticas de retención y eliminación, los derechos de los usuarios y otros detalles relevantes.
Las políticas de privacidad deben emplear un lenguaje sencillo que cualquiera pueda entender. Ocultar información importante detrás de una jerga densa puede infringir el RGPD. Las organizaciones pueden cerciorarse de que los usuarios vean sus políticas compartiendo avisos de privacidad en el punto de recopilación de datos. Las organizaciones también pueden alojar sus políticas de privacidad en páginas públicas y fáciles de encontrar en sus sitios web.
Los encargados son responsables en última instancia de los datos personales que recopilan, incluida la forma en que sus procesadores, proveedores y otros terceros los emplean. Si los asociados no cumplen, los encargados pueden ser sancionados.
Las organizaciones deben revisar sus contratos con cualquier tercero que tenga acceso a sus datos. Estos contratos deben detallar claramente los derechos y responsabilidades de todas las partes con respecto al RGPD de forma jurídicamente vinculante.
Si una organización trabaja con procesadores fuera del EEE, dichos procesadores aún deben cumplir con los requisitos del RGPD. De hecho, las transferencias de datos fuera del EEE están sujetas a normas estrictas. Los encargados en el EEE solo pueden compartir datos con encargados fuera del EEE si se cumple uno de los siguientes criterios:
Una forma de garantizar que todas las asociaciones y transferencias de datos cumplan con el RGPD es mediante cláusulas contractuales tipo. Estas cláusulas prescritas fueron aprobadas previamente por la Comisión Europea y están a disposición de cualquier organización que desee emplearlas. La inserción de estas cláusulas en un contrato lo hace conforme al RGPD, siempre que cada parte las respete. Para obtener más información sobre las cláusulas contractuales tipo, consulte el sitio web de la Comisión Europea (enlace externo a ibm.com).
El RGPD requiere que las organizaciones realicen evaluaciones de impacto de la protección de datos (DPIA) antes de cualquier procesamiento de alto riesgo. Si bien el RGPD ofrece algunos ejemplos (uso de nuevas tecnologías, procesamiento a gran escala de datos confidenciales), no enumera exhaustivamente todas las actividades de alto riesgo.
Las organizaciones pueden considerar realizar una DPIA antes de cualquier nueva operación de procesamiento para estar seguras. Otras pueden emplear una preselección simplificada para determinar si el riesgo es lo suficientemente alto como para justificar una DPIA.
Como mínimo, una DPIA debe describir el procesamiento y su propósito, valorar la necesidad del procesamiento, evaluar los riesgos para los interesados e identificar las medidas de mitigación. Si el riesgo sigue siendo alto después de la mitigación, la organización debe consultar con una autoridad de protección de datos antes de seguir adelante.
Las organizaciones deben informar la mayoría de las filtraciones de datos personales a la autoridad de supervisión correspondiente dentro de las 72 horas. Si la filtración supone un riesgo para los interesados, como el robo de identidad, la empresa también debe notificarlo a los interesados. Las notificaciones deben enviarse directamente a las víctimas, a menos que hacerlo resulte inviable. En ese caso, la notificación pública es suficiente.
Las organizaciones necesitan planes efectivos de respuesta ante incidentes que identifiquen rápidamente las infracciones en curso, erradiquen las amenazas y notifiquen a las autoridades. Los planes de respuesta ante incidentes deben incluir herramientas y tácticas para recuperar sistemas y restaurar la seguridad de la información. Cuanto más rápido una organización recupere el control, menos probabilidades tendrá de ser objeto de medidas regulatorias graves.
Las organizaciones también pueden aprovechar esta oportunidad para reforzar las medidas de seguridad de los datos. Si es poco probable que una filtración perjudique a los usuarios (por ejemplo, si los datos robados tienen una seguridad de cifrado tal que los hackers no pueden usarlos), la empresa no necesita notificar a los interesados. Esto puede ayudar a evitar el daño a la reputación y los ingresos que puede seguir a una filtración de datos.
El RGPD otorga a los interesados derechos sobre cómo las organizaciones emplean sus datos. Por ejemplo, el derecho de rectificación permite a los usuarios corregir datos inexactos o desactualizados. El derecho de borrado permite que los usuarios eliminen sus datos.
En términos generales, las organizaciones deben cumplir con las solicitudes de los interesados en un plazo de 30 días. Para que las solicitudes sean más manejables, las organizaciones pueden crear portales de autoservicio donde los interesados pueden acceder a sus datos, realizar cambios y restringir su uso. Los portales deben incluir una forma de verificar las identidades de los interesados. El RGPD impone a las organizaciones la carga de verificar que los solicitantes sean quienes dicen.
Los interesados tienen derechos especiales respecto al procesamiento automatizado. En concreto, las organizaciones no pueden usar la automatización para tomar decisiones importantes sin el consentimiento de un usuario. Los usuarios tienen derecho a cuestionar decisiones automatizadas y solicitar que un humano las revise.
Las organizaciones pueden emplear portales de autoservicio para ofrecer a los interesados una forma de cuestionar las decisiones automatizadas. Las empresas también deben estar preparadas para nombrar revisores humanos según sea necesario.
Los interesados tienen derecho a transferir sus datos a cualquier lugar que deseen, y las organizaciones deben facilitar esas transferencias.
Además de facilitar a los usuarios la solicitud de transferencias, las organizaciones deben almacenar los datos en un formato que se pueda compartir. El uso de formatos propietarios puede dificultar las transferencias e impedir los derechos de los usuarios.
Para obtener una lista completa de los derechos de los interesados, consulte la página de cumplimiento del RGPD.
El RGPD exige que las organizaciones empleen medidas razonables de protección de datos para cerrar las vulnerabilidades del sistema y evitar el acceso no autorizado o el uso ilegal. El RGPD no impone medidas específicas, pero sí establece que las organizaciones necesitan controles tanto técnicos como organizacionales.
Los controles técnicos de seguridad incluyen software, hardware y otras herramientas tecnológicas, como SIEM y soluciones de prevención de pérdida de datos. El RGPD fomenta en gran medida el cifrado y la seudonimización, por lo que las organizaciones pueden querer implementar estos controles en particular.
Las medidas organizacionales incluyen procesos, como la capacitación de los empleados sobre las normas del RGPD y la implementación de políticas formales de gobernanza de datos.
El RGPD también ordena a las empresas que adopten el principio de protección de datos por diseño y por defecto. “Por diseño” significa que las empresas deben incorporar la privacidad de los datos en los sistemas y procesos desde el principio. "Por defecto" significa que la configuración predeterminada para cualquier sistema debe ser la que mantenga la mayor privacidad del usuario.
Cualquier organización que quiera operar en el Espacio Económico Europeo (EEE) debe cumplir con el RGPD. El incumplimiento puede tener consecuencias graves. Las infracciones más significativas pueden dar lugar a multas de hasta 20 000 000 EUR o el 4 % de los ingresos mundiales de la organización en el año anterior, lo que sea mayor.
Pero el cumplimiento de datos no se trata solo de evitar consecuencias. También tiene beneficios. Además de que el cumplimiento del RGPD permite a las organizaciones acceder a uno de los mercados más grandes del mundo, los principios del RGPD pueden fortalecer significativamente las medidas de seguridad de los datos. Las organizaciones pueden detener más filtraciones de datos antes de que ocurran, evitando un costo promedio de 4.45 millones de dólares por filtración.
El cumplimiento del RGPD también puede impulsar la reputación de una empresa y generar confianza con los consumidores. Por lo general, las personas prefieren hacer negocios con organizaciones que protegen de manera significativa los datos de los clientes (enlace externo a ibm.com).
El RGPD fue motivo para la creación de leyes de protección de datos similares en otras regiones, incluida la California Consumer Privacy Act y la Ley de Protección de Datos Personales Digitales de la India. El RGPD a menudo se considera una de las leyes más estrictas, por lo que su cumplimiento puede posicionar a las organizaciones para cumplir también con otras regulaciones.
Por último, si una empresa infringe el RGPD, demostrar cierto nivel de cumplimiento puede ayudar a mitigar las repercusiones. Los organismos reguladores ponderan factores como los controles de ciberseguridad existentes y la cooperación con las autoridades de supervisión al determinar las sanciones.
Explorar IBM Guardium Data Protection