GDPR: guía sobre el Reglamento General de Protección de Datos
NEGOCIO, TENDENCIAS ALTO NIVEL.Actualizamos este artículo en 2023 para incluir información sobre las multas y sanciones por incumplimiento del GDPR, su dimensión internacional y una guía empresarial para el manejo de datos.
A partir de mayo del 2018 entró en circulación el Reglamento General de Protección de Datos de la Unión Europea, una regulación con gran impacto a nivel mundial en la manera como las empresas manejan los datos de las personas.
El GDRP (Reglamento General de Protección de Datos, por sus siglas en inglés) afecta a las organizaciones que procesan datos personales de la Unión Europea, generando un impacto en el almacenamiento, acceso, procesamiento, divulgación y transferencia de registros personales de un individuo.
Principios generales del Reglamento General de Protección de Datos
El GDRP, conocido también como “Reglamento 2016/679”, es un estatuto por el que el Parlamento Europeo, la Comisión Europea y el Consejo de la Unión Europea buscan fortalecer y unir la protección de los datos para todos los individuos que están dentro de su territorio.
Tiene como principal objetivo brindar a los ciudadanos y residentes el control sobre sus datos personales, además de simplificar y unificar la regulación de los negocios internacionales.
El Reglamento General de Protección de Datos (GDPR) establece seis principios generales para garantizar la protección adecuada de los datos personales:
1. Legalidad, lealtad y transparencia
Los datos personales deben ser procesados de manera legal, leal y transparente, con el objetivo de garantizar la confianza de las personas.
2. Finalidad limitada
Los datos deben ser recopilados con un propósito específico y no deben ser utilizados para fines incompatibles con los originales.
3. Minimización de datos
Los datos deben ser adecuados, relevantes y limitados a lo necesario para los fines para los que se recopilan y procesan.
4. Exactitud
Los datos deben ser precisos y, cuando sea necesario, actualizados.
5. Limitación de retención
Los datos deben ser retenidos solo por el tiempo necesario para cumplir con los fines para los que se recopilan y procesan.
6. Integridad y confidencialidad
Los datos deben ser protegidos contra accesos no autorizados, manipulaciones, pérdidas y destrucciones mediante la implementación de medidas técnicas y organizativas adecuadas.
*Cualquier incumplimiento de estos principios puede resultar en sanciones administrativas y civiles graves.
Bajo el GDPR ¿qué son datos personales?
Según el Reglamento General de Protección de Datos (GDPR), los datos personales son cualquier información relativa a una persona física identificada o identificable. Esto incluye información como nombre, número de identificación e información de contacto, financiera, de salud, de ubicación, sobre hábitos y preferencias, entre otros.
También incluye información sensorial como imágenes y sonidos, cualquier otra que pueda ser utilizada para identificar a una persona o información indirecta que pueda ser combinada con otros datos para identificar a alguien.
¿A quién se aplica el GDPR?
Si una organización procesa datos de residentes en la Unión Europea, debe cumplir con el GDPR, independiente de donde se encuentre. Esto incluye empresas europeas y no europeas que ofrecen productos o servicios a los ciudadanos de la UE o que realizan monitoreo de sus comportamientos.
El GDPR también se aplica a las autoridades públicas y a cualquier persona que procese datos personales en el marco de su actividad profesional o personal.
Los procesadores y controladores de datos deberán hacer cumplir la regulación del GDPR.
Los controladores de datos son responsables de determinar los fines y los medios del procesamiento de datos personales y tienen la responsabilidad primaria de garantizar el cumplimiento del GDPR como la evaluación de impacto en la privacidad, la documentación de las actividades de procesamiento de datos, la notificación de cualquier incidente de seguridad de datos a la autoridad de control apropiada y la cooperación con la autoridad de control en cualquier investigación.
Por otro lado, los procesadores de datos son responsables de realizar el procesamiento de datos personales en nombre del controlador, cumpliendo con las instrucciones del mismo y con las regulaciones del GDPR.
Multas y sanciones por incumplimiento del GDRP
El incumplimiento del Reglamento General de Protección de Datos (GDPR) puede resultar en sanciones administrativas y civiles graves. Las multas por incumplimiento pueden ser impuestas por las autoridades supervisoras de protección de datos de la Unión Europea.
Las sanciones incluyen multas y sanciones con un límite máximo de hasta 20 millones de euros o hasta el 4% del volumen de negocios global anual de la empresa, lo que sea mayor.
Estas multas pueden ser impuestas por cualquier incumplimiento de las obligaciones establecidas en el GDPR, como la falta de cumplimiento de las normas generales, de las solicitudes de acceso y derechos de privacidad de los titulares de datos o las normas de transferencia de datos.
Además de las sanciones administrativas, también pueden imponerse sanciones civiles, incluyendo responsabilidad civil y daños y perjuicios.
Las personas afectadas por el incumplimiento del GDPR tienen derecho a reclamar indemnización por daños y perjuicios sufridos como resultado del incumplimiento.
Última actualización del GDRP
El Reglamento General de Protección de Datos (GDPR) fue adoptado en abril de 2016 y entró en vigor en mayo de 2018. Desde entonces, no se ha realizado una actualización completa, pero se han adoptado algunas decisiones y directrices adicionales para mejorar su aplicación y aclarar ciertas disposiciones.
Algunas de estas directrices incluyen:
Sobre privacidad en el trabajo que clarifica la aplicación del GDPR a la gestión de los datos personales en el entorno laboral.
Sobre el ejercicio de derechos de los titulares de datos que aclaran cómo los titulares de datos pueden ejercer sus derechos en virtud del GDPR.
Sobre la evaluación de impacto en la protección de datos.
Sobre la transferencia de datos fuera de la UE.
Sobre la privacidad por diseño y por defecto.
Dimensión internacional de la protección de datos
La protección de datos personales es un tema global y su dimensión internacional es importante para garantizar que los derechos de privacidad se respeten en todo el mundo.
Aunque el Reglamento General de Protección de Datos (GDPR) se aplica específicamente en la Unión Europea (UE), su alcance puede ser mucho más amplio y abarcar a organizaciones que procesan datos personales de ciudadanos de la UE, independientemente de su ubicación geográfica.
Además, muchos países fuera de la UE han adoptado o están adoptando leyes similares.
Cómo se aplica en Colombia el Reglamento General de Protección de Datos
En Colombia, la protección de datos personales está regulada por la Ley Estatutaria 1581 de 2012 y su Decreto Reglamentario 1377 de 2013. Esta legislación se aplica a todas las empresas y organizaciones que procesan datos personales de ciudadanos colombianos.
Aunque Colombia no está dentro del ámbito geográfico de aplicación del Reglamento General de Protección de Datos (GDPR) de la Unión Europea (UE), algunas organizaciones pueden estar sujetas a las regulaciones del GDPR si procesan datos personales de ciudadanos de la UE.
En ese caso, estas deben cumplir tanto con las regulaciones colombianas como con las regulaciones del GDPR.
Es importante que las empresas comprendan la protección de datos en Colombia y cumplan con las regulaciones aplicables para garantizar la protección adecuada de los derechos de privacidad de los ciudadanos colombianos.
En caso de incumplimiento, pueden ser objeto de sanciones y multas establecidas por la Superintendencia de Industria y Comercio (SIC), organismo encargado de supervisar el cumplimiento de la Ley Estatutaria 1581 de 2012 y su Decreto Reglamentario 1377 de 2013.
Además, la SIC brinda orientación y asesoramiento a las empresas y organizaciones sobre cómo cumplir con las regulaciones de protección de datos personales en Colombia.
Qué es la Ley Orgánica de Protección de Datos en España (LOPD)
España, al ser un Estado miembro de la Unión Europea, está sujeto a sus regulaciones, incluido el GDPR.
En este sentido, la LOPD y el GDPR establecen reglas similares para la protección de datos personales en España, pero el GDPR tiene un alcance más amplio y es más estricto. Por lo tanto, las empresas y organizaciones españolas deben cumplir con ambas regulaciones.
La Ley Orgánica de Protección de Datos (LOPD) establece principios como la legitimidad, calidad, transparencia, accesibilidad, limitación de finalidad, minimización de datos, exactitud, conservación limitada, integridad y confidencialidad.
También establece derechos como el derecho de acceso, rectificación, cancelación y oposición a la utilización de datos personales.
Además, la LOPD establece la figura del Encargado de Protección de Datos (DPO, por sus siglas en inglés) y la Agencia Española de Protección de Datos (AEPD) como autoridad encargada de supervisar y hacer cumplir las regulaciones de protección de datos personales en España.
Las empresas y organizaciones que incumplen con las regulaciones de la LOPD pueden ser objeto de sanciones y multas por parte de la AEPD.
Guía empresarial para el manejo de datos
Las empresas deben determinar qué datos de la UE tienen en este momento, así como cómo y dónde se almacenan estos datos. Además, deben proponer políticas legales de cómo se recogerán, gestionarán y eliminarán esos datos.
Una organización puede poseer grandes cantidades de datos estructurados y no estructurados, que pueden estar alejados en diversos dispositivos: servidores de producción, aplicaciones en la nube, copias de seguridad dentro y fuera del sitio, entre otros.
Es importante definir un plan de acción a medida con el fin de implementar estrategias para ordenar los datos GDPR. Esto también ayudará a acercarse a GDPR como un ejercicio en la gestión de riesgos. Conocer dónde se encuentran las brechas más significativas en el esquema de seguridad debe ser su principal objetivo para concretar un acuerdo con GDPR.
Se puede pedir también que se establezca un oficial de protección de datos (OPD) que debe estar presente en todos los asuntos que tengan relación con la protección de datos. La designación de una OPD es una situación arriesgada porque requiere un profundo nivel de investigación y seguridad.
A continuación, se describen algunos pasos clave para que las empresas cumplan con la regulación de la GDPR:
1. Identificación del procesamiento de datos
Identificar todas las actividades de procesamiento de datos personales que realiza, incluyendo la recopilación, almacenamiento, uso y transferencia de datos.
2. Evaluación de riesgos
Evaluar los riesgos asociados con cada actividad de procesamiento de datos e implementar medidas de seguridad apropiadas para proteger los datos personales.
3. Documentación
Documentar las actividades de procesamiento de datos, incluyendo políticas y procedimientos para cumplir con la GDPR.
4. Nombrar un Encargado de Protección de Datos (DPO)
5. Información al titular de los datos
Proporcionar información clara y precisa sobre el procesamiento de datos personales a los titulares de los datos, incluyendo el fin y la base jurídica para realizar este procesamiento.
6. Evaluación de terceros
Evaluar a terceros que procesan datos en nombre de la empresa y asegurarse de que cumplan con la GDPR.
7. Cumplimiento con los derechos de los titulares de los datos
Incluyendo el derecho de acceso, rectificación, cancelación y oposición.
8. Seguridad de los datos
Implementar medidas de seguridad adecuadas para proteger los datos personales, incluyendo la cifrado y la autenticación de usuarios.
9. Comunicación de incidencias
Tener un plan de acción para la comunicación de incidencias de seguridad de datos y cumplir con los requisitos de notificación de incidencias.
10. Revisión y actualización periódicas
Revisar y actualizar regularmente políticas y procedimientos para asegurarse de que cumplen con el GDPR.
Aplyca y la implementación del GDRP
Si su organización tiene interés en implementar proyectos que cumplan con los reglamentos de protección de datos de la mano de expertos, lo invitamos a contactarnos.