Reglamento General de Protección de Datos (GDPR)

Andrew Dancy

By Andrew Dancy

Published

Actualizado

See how I'm qualified to write this article

El Reglamento General de Protección de Datos (" GDPR " para abreviar) ha estado en las noticias mucho recientemente. Pero, ¿cuáles son las nuevas reglas y cómo afectan a su negocio?

El fondo

En 1995 la Comisión Europea publicó la Directiva de protección de datos . Esto requería que todos los estados miembros de la UE implementaran su propia legislación de protección de datos para garantizar que los datos personales de sus ciudadanos estuvieran protegidos adecuadamente, y para garantizar que los ciudadanos tuvieran derechos específicos garantizados tanto para saber qué datos les estaban guardando los terceros como para para poder requerir que los datos sean corregidos o eliminados cuando sea apropiado.

Sin embargo, en años posteriores, el rápido desarrollo de las redes sociales, los teléfonos inteligentes y la continua evolución de Internet mostraron que las protecciones legales existentes no eran adecuadas. Como resultado, la Comisión Europea propuso un nuevo reglamento: el Reglamento General de Protección de Datos. A diferencia de la Directiva de protección de datos anterior, que permitía a los miembros individuales de la UE implementar las reglas a su manera, los Reglamentos GDPR debían implementarse como un único reglamento a escala de la UE en una sola fecha: el 25 de mayo de 2018.

Uno de los objetivos clave de GDPR era extender el régimen de protección de datos existente en Europa para garantizar que todos los ciudadanos de la UE tuvieran el mismo nivel de protección, independientemente de si sus datos estaban siendo manejados o procesados por una empresa de la UE o una empresa no perteneciente a la UE. La comisión afirmó que su objetivo era garantizar que todos los ciudadanos tuvieran un conjunto estándar de "derechos digitales" en una época en que los datos personales eran cada vez más clave para la economía digital del futuro.

¿Por qué es importante GDPR?

GDPR es importante para todas las empresas, tanto por el amplio alcance de los Reglamentos como por las importantes sanciones en caso de incumplimiento. En el caso de infracciones graves, las multas pueden alcanzar los 20 millones de euros o el 4% de la facturación global .

GDPR también extiende el alcance de la responsabilidad potencial por cualquier incumplimiento de datos. Anteriormente, existía una distinción entre los "controladores" de datos que realmente poseían datos y los "procesadores" de datos contratados por el controlador para hacer algo con esos datos. El primero podría ser responsable por cualquier pérdida o mal uso de los datos personales, pero no por el segundo. Sin embargo, bajo GDPR, tanto el controlador como el procesador serán solidarios y solidarios. Esto significa que una o ambas partes pueden ser demandadas por individuos afectados o multadas por los reguladores.

Dado que es probable que muchas empresas en el sector de la tecnología sean procesadoras, esto significa que bajo GDPR esas empresas ahora tendrán una responsabilidad potencial que no tenían anteriormente.

¿Qué requiere realmente GDPR?

GDPR establece una serie de obligaciones para cualquier persona que esté controlando o procesando datos. Esto no pretende ser una guía exhaustiva, pero los requisitos básicos son los siguientes:

  • Sepa qué datos controla y de dónde los obtuvo
  • Para cualquier información que usted controle o procese, asegúrese de hacerlo de manera "legal" (esto se explica más adelante)
  • Tome las medidas adecuadas para proteger cualquier dato que controle o procese e imite los riesgos de esos datos.
  • Cuando subcontrate cualquier procesamiento de datos que controle, debe asegurarse de que el procesador funcione con estándares de protección equivalentes.
  • Cuando tenga datos "personales" o "confidenciales", debe tomar medidas adicionales para garantizar la protección de esos datos. Los datos personales se extraen ampliamente, ¡incluso una dirección de correo electrónico o una dirección IP pueden considerarse datos personales!
  • Cuando un individuo así lo solicite, debe proporcionar una copia de cualquier información que tenga almacenada en forma rápida y en una forma adecuada legible por la máquina ("portabilidad de datos")
  • Cuando un individuo lo solicite, debe eliminar cualquier dato que tenga en ellos (el "derecho a ser olvidado")

"Bases Legales"

La "base legal" es una de las partes más importantes de GDPR. Esencialmente, requiere que cualquier información que se recopile o procese debe hacerse de manera legal. Si no hay una base legal, entonces los datos no pueden ser recopilados o procesados y deben ser destruidos.

Hay varios escenarios diferentes que cuentan como base legal:

  • Cuando el usuario haya dado su consentimiento explícito a la recopilación y el procesamiento de sus datos. Esta es la base legal más común y también es bastante fácil de satisfacer. Debe decirle al usuario de forma clara e inequívoca qué datos recopilará y por qué lo hace. Luego debe darle al usuario la oportunidad de optar por dicha colección (tenga en cuenta que debe ser opcional y no voluntaria)
  • Donde necesita recopilar datos para cumplir un contrato. Es probable que esto también sea una base legal común y está destinado a permitir la recopilación y el procesamiento de datos para situaciones comunes, como una tienda en línea que vende bienes o servicios. En esta situación, el cliente ha firmado un contrato al comprar bienes o servicios, por lo que sería legítimo recopilar información de facturación y envío y transmitirla a un procesador de tarjetas de crédito, ya que esto es necesario para cumplir realmente ese contrato. Sin embargo, el uso de estos datos para un propósito diferente (como la comercialización) no sería una base legal, ya que no sería necesario para cumplir el contrato.
  • Donde sea requerido por la ley. Puede haber algunas situaciones en las que los datos deben recopilarse y procesarse porque así lo exige la ley. Un buen ejemplo sería que a los bancos y las instituciones financieras a menudo se les exige por ley mantener ciertos registros por hasta 6 años
  • Donde hay un interés vital. Es poco probable que esta base legal se encuentre en el mundo de los negocios, ya que está destinada a emergencias de vida o muerte y cubriría el procesamiento de datos por parte de instituciones como los servicios de emergencia.
  • Donde se requiera para una tarea pública. Es poco probable que esto ocurra, ya que está destinado a permitir que los departamentos gubernamentales u otros organismos oficiales puedan recopilar y procesar datos para realizar su trabajo. Los ejemplos pueden incluir bufetes de abogados que necesitan recopilar y procesar datos para brindar un servicio como ir a la corte
  • Finalmente hay "interés legítimo". Esto se ha diseñado deliberadamente para que sea bastante impreciso, pero esencialmente permite la recopilación y el procesamiento de datos si existe un interés legítimo fundamental en hacerlo. Un buen ejemplo sería si una persona ha pedido que no reciba correos electrónicos de marketing de una empresa, entonces habría un interés legítimo en mantener la dirección de correo electrónico de esa persona para garantizar que no se le envíen correos electrónicos de marketing a esa persona, en lugar de eliminar por completo los datos de esa persona. y así arriesgarse accidentalmente enviándolos por correo electrónico en el futuro. Sin embargo, hay un alto nivel de interés legítimo: debe ser de interés primordial para el individuo y no solo porque es conveniente para la empresa

También vale la pena señalar que cuando los datos que se recopilan o procesan son "confidenciales" (básicamente cualquier cosa que tenga que ver con la raza, la religión, la preferencia sexual, la afiliación política, los registros médicos o la afiliación sindical), se aplica un conjunto mucho más estricto de requisitos de base legal. - básicamente, solo puede recopilar o procesar dichos datos cuando exista un consentimiento explícito del usuario, sea de interés público abrumador o lo exija la ley.

¿Qué hay de reincubar?

Para obtener más información sobre los derechos y obligaciones de Reincubate en virtud de GDPR, consulte nuestra política de privacidad .

About the author

Andrew Dancy co-founded Reincubate in 2008 and pioneered techniques with recovery of location data from iOS. He sits on the company's board, with a law-tech background and a particular interest in privacy and security.

Reincubate's CEO at Buckingham Palace

Pictured above are members of Reincubate’s team meeting HM Queen Elizabeth Ⅱ at Buckingham Palace, after being awarded the UK’s highest business award for our work with Apple technology. Read our position on privacy, safety and security.

Can we improve this article?

We love hearing from users: why not drop us an email, leave a comment, or tweet @reincubate?

© 2008 - 2019 Reincubate Ltd. Todos los derechos reservados. Registered in England and Wales #5189175, VAT GB151788978. Reincubate® is a registered trademark. Términos y privacidad. Recomendamos la autenticación de múltiples factores. Construido con en Londres.