LosReglamento General de Protección de Datos (RGPD)establece directrices que abarcan diversos aspectos de la protección de datos y privacidad para las personas dentro de la Unión Europea (UE) y el Espacio Económico Europeo (EEE), incluida la forma en que las organizaciones deben manejar, procesar y proteger los datos personales. A continuación se muestra una visión general de los principales elementos cubiertos por las directrices del RGPD:

1. 1. 1.Alcance y aplicabilidad

El RGPD se aplica a:

• Todas las organizaciones(incluidas empresas, organizaciones sin fines de lucro y gobiernos) que procesan datos personales de individuos en la UE o el EEE, independientemente del lugar donde se encuentre la organización.
• Controladores de datos(quién determina la finalidad y los medios de tratamiento) yprocesadores de datos(quién procesa datos en nombre de los controladores).

Se aplica a cualquier tipo de procesamiento de datos personales, incluyendo recopilación, registro, almacenamiento, alteración, recuperación, consulta, uso, divulgación, eliminación y destrucción.

2. 2. 2.Definiciones clave

• Datos personales: Cualquier información que pueda identificar directa o indirectamente a un individuo (por ejemplo, nombre, dirección de correo electrónico, dirección IP, datos de ubicación, etc.).
• Datos personales sensibles: Categorías especiales de datos que requieren protección adicional, como origen racial o étnico, opiniones políticas, creencias religiosas, datos de salud, datos biométricos y orientación sexual.
• Asunto de datos: El individuo a quien pertenecen los datos personales.
• Responsable del tratamiento: La entidad que determina los fines y medios del tratamiento de los datos personales.
• Procesador de datos: La entidad que procesa los datos en nombre del responsable del tratamiento.

3. 3. 3.Principios del tratamiento de datos

El RGPD se basa en lo siguientesiete principios fundamentalesdel tratamiento de datos:

1. Licitud, equidad y transparencia: Los datos deben tratarse de manera lícita, justa y transparente. Las personas deben ser informadas sobre el tratamiento de sus datos.
2. Limitación de propósitoLos datos personales deben ser recogidos para fines específicos, explícitos y legítimos, y no utilizarse de manera incompatible con dichos fines.
3. Minimización de datos: Los datos recogidos deben ser adecuados, pertinentes y limitarse a lo necesario para el propósito previsto.
4. Precisión: Los datos personales deben ser exactos y actualizados.
5. Limitación de almacenamiento: Los datos no deben almacenarse más tiempo del necesario para los fines para los que fueron recogidos.
6. Integridad y confidencialidad: Los datos deben procesarse de forma segura, garantizando la protección contra el acceso, la pérdida o los daños no autorizados o ilegales.
7. Rendición de cuentas: Los responsables del tratamiento son responsables de garantizar el cumplimiento de los principios anteriores y deben poder demostrar su cumplimiento.

4. 4. 4.Bases legales para el procesamiento

Los datos personales solo pueden tratarse si existe una base jurídica válida, tales como:

• Consentimiento: El individuo ha dado su consentimiento explícito para un propósito específico.
• Contrato: El procesamiento es necesario para el cumplimiento de un contrato con el individuo.
• Obligación legal: El procesamiento es necesario para cumplir con la ley.
• Intereses vitales: El procesamiento es necesario para proteger la vida de alguien.
• Tarea pública: El procesamiento es necesario para realizar una tarea de interés público.
• Intereses legítimos: El tratamiento es necesario para los intereses legítimos del responsable del tratamiento a menos que sea anulado por los derechos del individuo.

5. 5. 5.Derechos del sujeto de los datos

El RGPD otorga varios derechos a las personas con respecto a sus datos personales:

1. Derecho a ser informado: Las personas tienen derecho a saber cómo se recopilan, utilizan y comparten sus datos (a través de una política de privacidad).
2. Derecho de acceso: Las personas pueden solicitar el acceso a sus datos personales y cómo se están procesando.
3. Derecho a la rectificación: Las personas pueden solicitar que se corrijan datos inexactos o incompletos.
4. Derecho a ser olvidado ("Derecho a ser olvidado"): Las personas pueden solicitar la eliminación de sus datos personales en determinadas circunstancias (por ejemplo, cuando los datos ya no sean necesarios).
5. Derecho a restringir el procesamiento: Las personas pueden solicitar que sus datos sean restringidos del procesamiento en ciertas condiciones.
6. Derecho a la portabilidad de los datos: Las personas pueden solicitar que sus datos se transfieran a otra organización o directamente a sí mismas en un formato estructurado, comúnmente utilizado y legible por máquina.
7. Derecho a oponerse: Las personas pueden oponerse al tratamiento de sus datos personales para ciertos fines, incluido el marketing directo.
8. Derechos relacionados con la toma de decisiones automatizadas y la elaboración de perfiles: Las personas tienen derecho a no estar sujetas a una decisión basada únicamente en el procesamiento automatizado, incluida la elaboración de perfiles, a menos que se cumplan ciertas condiciones.

6. 6. 6.Evaluaciones de impacto en la protección de datos (DPIA)

Los DPIA deben llevarse a cabo cuando es probable que las actividades de procesamiento de datos den lugar a un alto riesgo para los derechos y libertades de las personas. Esto normalmente se aplica al procesamiento, elaboración de perfiles o procesamiento a gran escala de datos sensibles.

7. 7. 7.Notificaciones de violación de datos

Las organizaciones deben notificar a la autoridad de protección de datos pertinente (en el Reino Unido, esta es la Oficina del Comisionado de Información o ICO) dentro72 horasde tomar conciencia de una violación de los datos personales que supone un riesgo para los derechos y libertades de las personas. Si es probable que la violación produzca altos riesgos, también se debe informar a las personas afectadas.

8. 8. 8.Transferencias de datos fuera de la UE/EEE

Las transferencias de datos personales a países fuera de la UE/EEE solo están permitidas si:

• El país receptor ofrece unanivel adecuado de protecciónsegún lo determinado por la Comisión Europea.
• Salvaguardias apropiadas, comoCláusulas contractuales estándar (CCS)oReglas corporativas vinculantes (BCR), están en su lugar.
• El interesado ha dado su consentimiento explícito.

9. 9. 9.Protección de datos por diseño y por defecto

Las organizaciones deben incorporar medidas de protección de datos desde el inicio de cualquier proyecto o proceso que implique el tratamiento de datos personales. Este principio se conoce comoprivacidad por diseño y de forma predeterminada, lo que significa que la privacidad debe considerarse en la etapa de diseño y durante todo el ciclo de vida del procesamiento de datos.

10. 10. 10.Responsable de Protección de Datos (DPO)

Se debe nombrar un DPO si:

• La organización es una autoridad pública.
• Las actividades básicas consisten en una supervisión periódica y sistemática de las personas a gran escala.
• La organización procesa grandes cantidades de datos personales sensibles.

Las responsabilidades del DPO incluyen:

• Supervisión del cumplimiento del RGPD.
• Asesoramiento sobre obligaciones de protección de datos.
• Actuar como punto de contacto con las autoridades de protección de datos.

11. 11. 11.Multas y sanciones

Las organizaciones que no cumplen con el RGPD pueden enfrentarse a multas significativas:

• Hasta20 millones de euroso4% de la facturación anual global de la empresa, lo que sea más alto, para las violaciones más graves.
• Las violaciones menores pueden dar lugar a multas de hasta10 millones de euroso2% de la facturación anual.

12. 12. 12.Rendición de cuentas y mantenimiento de registros

Las organizaciones deben mantener la documentación que demuestre el cumplimiento del RGPD, incluyendo:

• Registros de actividades de procesamiento.
• Políticas y procedimientos de protección de datos.
• DPIA cuando sea necesario.
• Registros de solicitudes y respuestas del interesado.

13. 13. 13.Requisitos de consentimiento

Cuando se basa en el consentimiento como base jurídica para el tratamiento de los datos personales, deben seguirse las siguientes directrices:

• El consentimiento debe ser libremente dado, específico, informado e inequívoco.
• El consentimiento debe darse mediante una acción afirmativa clara (por ejemplo, optar por entrar) y no a través de cajas precargadas.
• Las organizaciones deben poder demostrar que se obtuvo el consentimiento.
• Las personas deben tener derecho a retirar su consentimiento en cualquier momento.

El RGPD establece altos estándares para la protección de datos y tiene por objeto dar a las personas más control sobre sus datos personales. Al cumplir con estas directrices, las organizaciones pueden garantizar el cumplimiento y evitar el riesgo de sanciones.