Una descripción general de GDPR: ¿Qué está cambiando?

Publicado: 2018-02-15

El nuevo Reglamento General Europeo de Protección de Datos (RGPD) entrará en vigor el 25 de mayo de 2018. Contiene cambios fundamentales en la forma en que se pueden manejar los datos personales. La nueva regulación de datos se convertirá en una de las leyes de privacidad de datos más estrictas del mundo. Existe una gran cantidad de información, interpretaciones y declaraciones sobre este tema en Internet. Aquí hemos resumido los puntos más importantes para ti.

1. Definición de datos personales

GDPR redefine el concepto de datos personales. Según el RGPD, los siguientes datos se clasifican como personales:

Datos personales directos

  • Nombre completo
  • ID o número de seguro social
  • Datos biométricos (por ejemplo, huellas dactilares)
  • Dirección de correo electrónico
  • Dirección
  • Número de teléfono
  • Cumpleaños
  • Inicios de sesión e identificadores en línea

Datos personales indirectos

  • Datos económicos (por ejemplo, números de cuenta, número de tarjeta de crédito, etc.)
  • dirección IP
  • Datos culturales y sociales
  • Datos físicos, genéticos y mentales si se pueden rastrear hasta un individuo.
  • Datos pobremente pseudoanonimizados
  • Datos de geolocalización

Cabe señalar que, en algunos casos, los datos aparentemente no personales pueden identificar claramente a una persona combinándolos con otras fuentes de datos. Por ejemplo, la combinación de género y código postal puede llevar a que una persona sea identificada de forma única. Por lo tanto, estos también deben interpretarse como datos personales.

2. Definición de roles

GDRP define los siguientes tres roles con respecto a la protección de datos.

Asunto de los datos:

El RGPD devuelve el control de los datos personales a las manos de los denominados "sujetos de datos". En el caso de GDPR , se trata de una persona física o particular, más precisamente un ciudadano europeo.

Controlador de datos:

Un controlador de datos es una persona física o jurídica, como una agencia, autoridad pública o cualquier otro organismo que, solo o junto con otros, decida sobre el propósito de recopilar y procesar datos personales. En el caso de un sitio web, este es el operador del sitio web.

Procesador de datos:

El Procesador de datos es una persona física o jurídica que procesa datos personales en nombre del Controlador de datos. Por ejemplo, esto sería: un proveedor de servicios, una agencia, una herramienta de marketing, un socio comercial, etc.

Una nueva característica de GDPR es que tanto el procesador de datos como el controlador de datos se tienen en cuenta y pueden ser procesados ​​legalmente. También es importante tener en cuenta que, aunque el RGPD regula la recopilación y el procesamiento de información personal de los ciudadanos de la UE, esto también afecta a los controladores y procesadores de datos fuera de la UE si recopila datos sobre ciudadanos de la UE.

3. Principales obligaciones de los responsables del tratamiento y los encargados del tratamiento

  • Protección de datos personales por diseño y por defecto.
  • La recopilación, el almacenamiento y el procesamiento de información personal deben comunicarse de manera clara y comprensible.
  • Obligación de almacenar y procesar datos personales solo con el consentimiento explícito del interesado.
  • Obligación de proteger los datos personales frente a manipulaciones, robos y accesos no autorizados.
  • Obligación de nombrar un Delegado de Protección de Datos (para actividades comerciales en la UE).
  • Obligación de reportar las filtraciones de datos a las autoridades e informar a los interesados.
  • Obligación, de facilitar al interesado información sobre sus datos almacenados previa solicitud (hasta un máximo de 30 días).
  • Obligación de garantizar que los datos puedan ser eliminados, anonimizados o destruidos por completo si así se solicita.
  • Obligación de mantener actualizada la base de datos (esto conlleva una fecha de caducidad automática, por así decirlo).
  • Obligación de realizar una DPIA (Data Protection Impact Assessment) para datos muy sensibles.
  • Obligación de definir procesos a seguir en caso de violación de datos.
  • Obligación de informar al interesado sobre las transferencias de datos a otros países, especialmente fuera de la UE.
  • Obligación de utilizar los datos únicamente para la finalidad para la que el interesado ha dado su consentimiento.
  • Obligación de conocer la fuente de todos los datos personales.

4. Derechos pertinentes de los interesados

  • Derecho a la información y comunicación transparentes sobre el uso de datos personales
  • Derecho a saber cuándo se recopilan y procesan los datos personales
  • Derecho a inspeccionar los datos almacenados
  • Derecho a que se corrijan los datos
  • Derecho a que se eliminen los datos (derecho al olvido)
  • Derecho a prohibir el procesamiento / uso de datos
  • Derecho a recibir los datos en formato portátil
  • Derecho a oponerse (por ejemplo, en una fecha posterior)
  • El derecho a que los datos no se procesen automáticamente sin consentimiento si esto tiene consecuencias legales (por ejemplo, al contratar un seguro o solicitar una tarjeta de crédito).
  • Restricciones a los derechos: Siempre que existen "leyes superiores", estas restringen los derechos del interesado. (Por ejemplo, períodos de retención de facturas y contratos, seguridad nacional, investigaciones policiales, etc.)

5. Directiva de privacidad electrónica (también conocida como Ley de cookies)

Si las obligaciones y los derechos mencionados anteriormente se aplican en absoluta conformidad con GDPR, cualquier recopilación y procesamiento de datos personales está prohibido sin consentimiento. Esto también prohibiría las cookies, entre otras cosas. Sin embargo, la actual Directiva europea sobre privacidad electrónica de 2002 (Directiva de privacidad electrónica, Ley de cookies) reconoce que el uso de cookies para operar y medir el rendimiento del sitio web y para mejorar los servicios en línea es extremadamente importante. Por lo tanto, se permite obtener un consentimiento implícito para el procesamiento de estos datos. Esto se ha tenido en cuenta durante muchos años por los "banners de cookies" en numerosos sitios web. GDPR no reemplaza la directiva de privacidad electrónica existente, por lo que sigue siendo válida. Sin embargo, actualmente se está revisando y se espera que se publique una nueva versión en 2018. En términos de contenido, es probable que el uso de las cookies mencionadas anteriormente continúe estando permitido por consentimiento implícito. Sin embargo, esto no se aplica a las cookies de marketing que se pueden utilizar para la reorientación.

Como puede ver, GDPR trae consigo muchos desarrollos, obligaciones y derechos nuevos. Debido a la amenaza de multas graves, se recomienda encarecidamente verificar su sitio web y canales en línea para verificar el cumplimiento de GDPR. Podemos ayudarlo a alcanzar el cumplimiento de GDPR. Solicite ahora su cotización individual para una auditoría de cumplimiento de GDPR .

Si tiene alguna pregunta sobre la nueva política de privacidad, envíeme un correo electrónico .