¿Qué es el Reglamento general de protección de datos (RGPD)?

El Reglamento general de protección de datos (RGPD) es una ley integral de protección de datos aprobada por la Unión Europea (UE).

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Explicar los principales requisitos del Reglamento general de protección de datos (RGPD)
  • Describir los derechos que tienen las personas en virtud del RGPD
  • Entender la importancia del RGPD para la privacidad de los datos

Copiar enlace del artículo

¿Qué es el Reglamento general de protección de datos (RGPD)?

El Reglamento general de protección de datos (RGPD), que entró en vigor el 25 de mayo de 2018, es una ley integral de privacidad de datos, que establece un marco para la recopilación, el tratamiento, el almacenamiento y la transferencia de datos personales. Exige que todos los datos personales se procesen de forma segura, e incluye multas y sanciones para las empresas que no cumplan con estos requisitos. También proporciona a los individuos una serie de derechos en relación con sus datos personales.

A medida que la tecnología avanza y la recopilación de datos se hace más frecuente, la privacidad de datos se ha puesto en el punto de mira. En el momento de su aprobación, el RGPD era la normativa de privacidad de datos más completa. Armonizaba las distintas normativas de protección de datos de toda la Unión Europea (UE). También amplió el alcance de esas normas para aplicarlas a las organizaciones no pertenecientes a la UE en caso de que trataran con datos personales recopilados en la UE.

El RGPD se aplica a cualquier empresa u organización, independientemente de su ubicación geográfica, si la empresa u organización ofrece bienes y servicios a personas en la UE o supervisa su comportamiento dentro de la UE.

¿Cómo define el RGPD los "datos personales"?

El RGPD amplió el alcance de lo que se consideraba datos personales para incluir cualquier información relacionada con una persona física identificable. Esto incluye detalles que son obviamente personales, como el nombre y la dirección de alguien, pero también cualquier otra información que pueda utilizarse para identificarlo, incluida su dirección IP y ciertos identificadores de cookies asociados a una sesión de navegación web.

¿Cuáles son los requisitos del RGPD para los controladores de datos y los procesadores de datos?

El RGPD define a los controladores de datos como las entidades que toman decisiones sobre los medios y fines para los que se recopilan y procesan los datos personales, y define a los procesadores de datos como las entidades que procesan datos personales, normalmente en nombre de un controlador de datos.

El RGPD también establece siete principios clave sobre cómo deben tratar los datos personales los controladores y procesadores de datos:

  • Legalidad, equidad y transparencia
  • Limitación de la finalidad
  • Minimización de datos
  • Precisión
  • Limitación de almacenamiento
  • Integridad y confidencialidad (seguridad)
  • Responsabilidad

Además de describir estos principios en detalle, el RGPD requiere que los controladores y procesadores de datos tomen varias acciones específicas. Entre algunas de ellas, se incluyen:

  • Mantenimiento de registros: los procesadores de datos deben mantener registros de sus actividades de procesamiento.
  • Medidas de seguridad: los procesadores y controladores deben utilizar y probar periódicamente las medidas de seguridad adecuadas para proteger los datos que recopilan y procesan.
  • Notificación de fugas de datos: los controladores de datos que sufran una fuga de datos personales tienen que notificarlo a las autoridades competentes en un plazo de 72 horas, con algunas excepciones. Por lo general, también tienen que notificar a las personas cuyos datos personales se hayan visto afectados por la fuga.
  • Delegado de protección de datos (DPO): es posible que las empresas que procesan datos tengan que contratar a un Delegado de protección de datos (DPO). El DPO dirige y supervisa todos los esfuerzos de cumplimiento del RGPD.

Todos los requisitos para los controladores y procesadores de datos se describen en el RGPD.

¿Qué derechos tienen los sujetos de datos en virtud del RGPD?

El RGPD define al sujeto de datos como "una persona física identificada o identificable." Los sujetos de datos tienen los siguientes derechos:

  • Derecho a ser informado: los sujetos de datos deben recibir información fácil de entender sobre cómo se recopilan y tratan sus datos personales
  • Derecho a la portabilidad de los datos: los sujetos de datos pueden transferir sus datos de un controlador de datos a otro
  • Derecho de acceso: los sujetos de datos tienen derecho a obtener una copia de los datos personales recopilados
  • Derecho de rectificación: los sujetos de datos pueden corregir los datos inexactos que haya sobre ellos
  • Derecho de supresión: los sujetos de datos pueden solicitar la supresión de sus datos (también llamado derecho al olvido)
  • Derecho a limitar el procesamiento: en determinadas circunstancias, los sujetos de datos pueden limitar la forma en que se procesan sus datos personales
  • Derecho a oponerse: los sujetos de datos tienen derecho a oponerse al procesamiento de sus datos personales y, en determinadas circunstancias, el controlador de datos o el procesador de datos estarán obligados a cumplir con la oposición del sujeto de datos
  • Derecho a oponerse al procesamiento automatizado: los sujetos de datos pueden oponerse a una decisión que les afecte jurídicamente y que esté basada únicamente en un procesamiento de datos automatizado

¿Cuáles son las sanciones por infringir el RGPD?

El RGPD describe las multas que se impondrán a las empresas que infrinjan sus políticas.

El RGPD establece dos niveles de multas, cada uno de los cuales corresponde a una categoría de infracción diferente:

  • Primer nivel: una infracción tiene como consecuencia una multa máxima de 10 millones de euros o del 2 % de los ingresos anuales de la empresa en todo el mundo, el importe que sea superior.
  • Segundo nivel: una infracción tiene como consecuencia una multa máxima de 20 millones de euros o del 4 % de los ingresos anuales de la empresa en todo el mundo, el importe que sea superior.

Además de estas multas, los sujetos de datos pueden solicitar una indemnización por daños y perjuicios cuando una empresa infrinja el RGPD.

Cloudflare y la privacidad de los datos

La misión de Cloudflare es ayudar a mejorar Internet, y la privacidad de los datos es fundamental para esa misión. Cloudflare desarrolla sus productos con una mentalidad de "privacidad por diseño" y ha lanzado una serie de servicios para aumentar la privacidad de los usuarios (incluido Cloudflare Data Localization Suite). Más información sobre Cloudflare y el RGPD.