¿Qué es el RGPD?
Reglamento general de protección de datos (RGPD) en la UE
El Reglamento general de protección de datos (RGPD) es un reglamento dentro del marco de la UE que controla la forma en la que empresas y otras organizaciones tratan datos personales. Es la iniciativa más importante sobre protección de datos en 20 años y tiene implicaciones importantes para cualquier organización en el mundo que sirva a individuos de la Unión Europea.
Para ofrecer a las personas el control sobre cómo se utilizan sus datos y para proteger «los derechos y las libertades fundamentales de las personas físicas», la legislación establece estrictos requisitos sobre el procedimiento de manejo de datos, transparencia, documentación y consentimiento del usuario.
Toda organización debe mantener un registro y supervisar las actividades del procesamiento de datos personales.
Como responsable del tratamiento de datos, toda organización debe mantener un registro y monitorear las actividades del tratamiento de datos personales. Esto incluye no solo los datos personales tratados dentro de la organización, pero también por terceros – llamados encargados del tratamiento datos.
Los encargados de tratamiento pueden ser desde proveedores de Software-como-Servicio, hasta servicios integrados de terceros, rastreando y perfilando visitantes en la web de la organización.
Tanto los responsables como los encargados del tratamiento de datos, deben ser capaces de informar qué tipo de datos se están tratando, con qué propósito y a qué países y terceros se emiten los datos.
Si los datos se mandan a otras organizaciones o jurisdicciones que se encuentren fuera del alcance del RGPD (EU) o que no se consideren “adecuadas” por el RGPD, el usuario debe ser informado sobre esta situación y sobre los riesgos que esto puede implicar.
Todos los consentimientos deben registrarse como prueba de que se ha obtenido la autorización.
No está permitido el tratamiento de datos personales sensibles sin el consentimiento explícito del individuo. Para datos no sensibles, un consentimiento implícito es suficiente. En cualquier caso, el consentimiento debe ser otorgado libremente con base a información clara y específica tanto de los tipos de datos que se manejarán como de su propósito, y siempre antes de que se lleve a cabo cualquier tratamiento (también conocido como consentimiento previo). Todos los consentimientos deben registrarse como prueba de que se ha obtenido un consentimiento.
Los individuos ahora cuentan con «el derecho de portabilidad de datos «, «el derecho de acceso a datos » y «el derecho al olvido » y pueden retirar su consentimiento cuando así lo deseen. En tal caso, el responsable de datos debe eliminar los datos personales del individuo si ya no es necesario para el propósito por el cual fue recogido.
En el caso de una violación de la seguridad de los datos, la empresa debe de notificar a las autoridades de la protección de datos y a las personas afectadas dentro de un plazo de 72 horas.
Además, el RGPD impone una obligación a las autoridades públicas, a organizaciones con más de 250 empleados y a empresas que tratan datos personales sensibles a gran escala, a contratar o capacitar a un delegado de protección de datos (DPD). El DPD debe tomar medidas para asegurar el cumplimiento del RGPD dentro de toda la organización.
En cuanto a Brexit, el gobierno del Reino Unido tiene previsto aplicar una legislación equivalente que también seguirá en gran medida el RGPD.