¿Para qué se creó el RGPD?
Para ofrecer a las personas el control sobre cómo se utilizan sus datos y para proteger “los derechos y las libertades fundamentales de las personas físicas”. El reglamento establece estrictos requisitos sobre el procedimiento de manejo de datos, transparencia, documentación y consentimiento del usuario.
Toda organización debe mantener un registro y supervisar las actividades del procesamiento de datos personales.
Como responsable del tratamiento de datos, toda organización debe mantener un registro y monitorear las actividades del tratamiento de datos personales. Esto incluye no solo los datos personales tratados dentro de la organización, sino también por los encargados del tratamiento, terceros que tratan datos para el responsable del tratamiento de datos.
Los encargados de tratamiento pueden ser desde proveedores de Software-como-Servicio, hasta servicios integrados de terceros, que rastrean y perfilan los visitantes en la web de la organización.
Tanto los responsables como los encargados del tratamiento de datos, deben ser capaces de informar sobre qué tipo de datos se están tratando, con qué propósito y a qué países y terceros se emiten los datos.
Si los datos personales se mandan a otras organizaciones o jurisdicciones que se encuentran fuera del alcance del RGPD (EU) o que no se consideran “adecuadas” para la privacidad por el RGPD, el usuario debe ser claramente informado sobre esta situación y cualquier riesgo que esto pueda implicar.
Todos los consentimientos deben registrarse y almacenarse de forma segura como prueba de que se ha obtenido la autorización.
El 4 de mayo de 2020, el Comité Europeo de Protección de Datos (CEPD) adoptó las directrices para un consentimiento válido bajo el RGPD.
El consentimiento de un individuo ha de ser libre, específico, informado e inequívoco con las intenciones de quien lo concede, es decir, es una afirmación de lo que el usuario quiere.
Las directrices del CEPD clarifican que continuar leyendo o navegando por el sitio web no constituye un consentimiento válido y que los banners no pueden tener casillas premarcadas.
Los muros de cookies (consentimiento forzado) también se han considerado ilegales.
El CEPD es la autoridad supervisora de más alto nivel en la aplicación del RGPD en la UE. Se compone de representantes de todas las autoridades de protección de datos de los países miembro de la UE. Sus directrices y decisiones conforman la base de la interpretación del RGPD a nivel nacional en todos los países.
Más información sobre las directrices del CEPD para un consentimiento válido
Los individuos ahora cuentan con una serie de derechos bajo el RGPD incluyendo derechos de portabilidad de datos, de acceso a datos y al olvido, entre otros. Pueden retirar su consentimiento cuando lo deseen, y esto ha de ser tan fácil como darlo en primera instancia. En tal caso, el responsable de datos debe parar el tratamiento de datos personales una vez haya recibido la solicitud y eliminar los datos personales del individuo si ya no es necesario para el propósito por el cual fueron recogidos.
En el caso de una violación de la seguridad de los datos, la empresa debe de notificar a las autoridades de la protección de datos y a las personas afectadas dentro de un plazo de 72 horas.
El RGPD también obliga a las autoridades públicas, a organizaciones con más de 250 empleados y a empresas que tratan datos personales sensibles a gran escala, a contratar o capacitar a un delegado de protección de datos (DPD). El DPD debe tomar medidas para asegurar y mantener el cumplimiento del RGPD dentro de toda la organización.
¿Cómo puedo cumplir el RGPD?
Si tu sitio web tiene visitantes de la UE y tú — o servicios de terceros como Google y Facebook — estás procesando cualquier tipo de datos personales, necesitas obtener un consentimiento previo del visitante.
Para obtener un consentimiento válido, debes explicar en un lenguaje sencillo cuál es el propósito y en qué medida se realizará el tratamiento de datos previamente a realizar cualquier tratamiento de datos personales.
Esta información debe estar disponible para el visitante en todo momento, por ejemplo, como parte de la política de privacidad. También debes habilitar una manera sencilla para que los visitantes puedan cambiar o retirar su consentimiento.
Todo consentimiento se debe registrar y almacenar de forma segura como prueba y todo el rastreo de datos personales, incluso el realizado por servicios de terceros, se debe documentar, incluyendo a qué países se están transmitiendo los datos.
Consulta Protección de datos: Mejores normas para las pequeñas empresas.
¿Cómo ayuda Cookiebot CMP?
Usando la Plataforma de Gestión del Consentimiento Cookiebot CMP, puedes automatizar el cumplimiento del RGPD en tu sitio web en cuanto a los requisitos de rastreadores y cookies.
Cookiebot CMP te permite monitorear y documentar cookies y otras tecnologías de seguimiento en uso en tu sitio web, mostrar la información relevante a los visitantes del sitio, y obtener y registrar de manera segura y automática todos los consentimientos de los usuarios.
¿Cuál es la definición de datos personales?
El RGPD define los datos personales como “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona”.
Los identificadores en línea, como las direcciones IP, ahora también se clasifican como datos personales, a menos que se anonimicen.
Los datos personales seudonimizados también se encuentran sometidos al RGPD si es posible reidentificarlos mediante ingeniería reversa.
Fecha de entrada en vigor del RGPD: 25 de mayo de 2018
La reforma de la protección de datos de la UE fue adoptada por el Parlamento Europeo y el Consejo Europeo el 27 de abril de 2016. El Reglamento General de Protección de Datos se lleva aplicando desde el 25 de mayo de 2018, sustituyendo la Directiva de Protección de Datos.
Multas y sanciones del RGPD
Las organizaciones que no cumplan con el reglamento pueden enfrentarse a multas de hasta 20 millones de euros o de un 4% de la facturación anual global de la organización, dependiendo del importe que sea mayor, en caso de violaciones severas o repetidas.
Checklist del RGPD: 6 cosas que tienes que hacer
1. Prepara tu organización
Introduce a todas las partes interesadas de tu organización a los requisitos del RGPD. Organiza cursos de entrenamiento para los empleados en principios de ciberseguridad, privacidad por diseño y privacidad por defecto. Asigna a un delegado de protección de datos (DPD) en caso necesario, por ejemplo, si el número de empleados de la empresa es superior a 250 personas.
2. Audita tus datos
Asegúrate de saber dónde se almacenan todos los datos que hayas recopilado y estés procesando, quién tiene acceso y a través de qué plataformas o dispositivos. Identifica el lugar donde se tratan los datos personales y con qué propósito, incluyendo los servicios de terceros. Documenta los fundamentos para operaciones de tratamiento lícitas y actualiza las políticas de privacidad.
3. Audita los servicios que ofrecen tus proveedores
Asegúrate de que los servicios que ofrecen tus proveedores, por ejemplo, los servicios integrados de terceros en tu sitio web o proveedores de Software-como-Servicio, también cumplen con el RGPD o que se encuentran bajo una jurisdicción considerada como “adecuada”. Revisa y mapea los flujos de datos internacionales de tus proveedores.
4. Obtén consentimiento
Implementa métodos para solicitar, obtener y almacenar de forma segura consentimientos que permitan conseguir y mantener el cumplimiento. Mantén un claro registro sobre lo que cada sujeto individual de datos haya consentido y proporciona opciones para que el sujeto de dichos datos pueda retirar o modificar su autorización en cualquier momento.
5. Responde a las solicitudes de derechos de datos de los sujetos
Implementa procedimientos para que tu organización pueda responder a las solicitudes de derechos de los sujetos o interesados, es decir, acceso, rectificación y supresión de datos, a tiempo. Documenta cómo se gestionarán tanto en el contexto del cliente como del empleado.
6. Prepárate para violaciones de la seguridad de datos
Asegúrate de que existan procedimientos para protegerte, pero también para detectar, investigar y denunciar cualquier violacióne la seguridad de datos personales y así poder cumplir con el periodo límite de notificación de 72 horas del RGPD.
Fuentes
Oficina del Comisionado de Información del RU (ICO): la reforma de la protección de datos en el RU
Privacidad desde el diseño: los 7 principios básicos (PDF)