¿Qué significa RGPD?

Definición del RGPD El RGPD (nombre completo: Reglamento General de Protección de Datos), el Reglamento General de Protección de Datos, es una nueva ley que estipula cómo las empresas recopilan, utilizan y procesan los datos personales de los ciudadanos de la UE. Este reglamento fue redactado en octubre de 2012. Después de cuatro años de discusiones y consultas, la UE adoptó oficialmente el reglamento en abril de 2016 y anunció que se pondrá en funcionamiento a prueba y se implementará en su totalidad el 25 de mayo de 2018.

Ámbito de aplicación del RGPD 1. Objetos protegidos:

El RGPD sólo protege "datos personales" y no implica otros datos distintos a los personales.

Según el artículo 4 del RGPD, los datos personales se refieren a cualquier información relativa a una persona física identificada o identificable, una persona física identificable es aquella que puede ser identificada, directa o indirectamente, en particular por su nombre, Número de identificación, ubicación geográfica, identificación en línea y otros medios de identificación, o por uno o más factores vinculados a su identidad física, fisiológica, genética, psicológica, económica o social. Los datos personales aquí referidos se limitan a los datos personales de personas físicas vivas, excluyendo personas fallecidas, fetos, etc.

Asimismo, la protección de datos personales no implica información anónima, ni tampoco datos personales que hayan sido anonimizados para que no puedan ser identificados. El RGPD establece disposiciones especiales para la recopilación y el uso de datos personales especiales que representan origen racial o étnico, opiniones políticas, creencias religiosas o filosóficas, afiliación a sindicatos, genes, datos biométricos, salud, vida sexual y otros asuntos (datos personales sensibles). En lo que respecta a la protección de datos personales, el RGPD se aplica principalmente al procesamiento informático de datos personales (automatización) y no implica otros tipos de procesamiento.

El artículo 4 del RGPD estipula que el tratamiento automático de datos personales incluye:

(1) recogida, registro, disposición, organización y almacenamiento;

(2) Adaptar, ajustar, recuperar, consultar y utilizar;

(3) Divulgar y proporcionar mediante transmisión o difusión;

(4) Combinación coincidente;

(5 ) restricción, supresión y destrucción.

La protección de datos personales por GDPR no es absoluta. Su "preámbulo" requiere que los derechos de libertad de prensa, libertad de expresión y libertad comercial deben estar equilibrados, lo cual está en línea con los principios básicos de la ley. como el principio de proporcionalidad y el principio de equilibrio de intereses jurídicos.

2. Jurisdicción:

El artículo 3 del RGPD estipula que el RGPD se aplica a las tres situaciones siguientes:

(1) Cuando el responsable del tratamiento o el encargado del tratamiento el controlador de datos o el procesador de datos tiene un establecimiento comercial en la UE, independientemente de si el procesamiento de datos se produce en la UE o en el extranjero (2) el controlador de datos o el procesador de datos no tiene un establecimiento comercial en la UE, pero proporciona bienes o servicios; al interesado en la UE, o se rastrea el comportamiento en línea ocurre dentro de la UE;

(3) Aunque el controlador de datos o el procesador de datos no tiene una ubicación comercial en la UE, las leyes de la UE Los estados miembros de la UE deben aplicar de acuerdo con el derecho internacional público. La segunda situación es una jurisdicción extraterritorial típica, dirigida principalmente a empresas de Internet estadounidenses.

3. Titular de los datos:

En el RGPD se denomina interesado al sujeto que disfruta de los derechos sobre los datos, y es interesado a la persona física a la que apuntan los datos personales. El interesado debe ser residente de la UE y normalmente se requiere la nacionalidad de un estado miembro.

4. Sujetos obligados:

El RGPD se dirige principalmente a dos tipos de sujetos obligados, a saber, los responsables del tratamiento y los encargados del tratamiento. Responsable se refiere a la persona física, jurídica u otra organización que sola o conjuntamente con otros determina los fines y medios del procesamiento de datos personales. El procesador es una organización natural, jurídica o de otro tipo que procesa datos personales en nombre del controlador.

Los siete principios básicos del RGPD son la legalidad, la equidad y la transparencia: la información relacionada con los interesados ​​debe procesarse de manera legal, justa y transparente;

La recopilación de datos debe ser clara Finalidad: La recopilación de información personal debe ser específica, clara y legal. Cualquier método que no cumpla con las finalidades anteriores ya no podrá procesar los datos;

Principios mínimos de recopilación de datos: La recopilación de datos personales debe. limitarse al propósito del procesamiento de datos todos los datos necesarios

Exactitud: los datos personales deben ser exactos y tratar de mantener los datos más recientes cuando sea necesario

Limitación de almacenamiento: durante el tiempo; ya que no excede la necesidad para el propósito de procesar los datos personales, se permite almacenarlos en una forma identificable como el interesado;

Integridad y confidencialidad: los datos personales se procesan de una manera que garantice la adecuada seguridad, incluido el uso de medidas técnicas u organizativas apropiadas para evitar el procesamiento no autorizado e ilegal, pérdida accidental, pérdida o daño ("Integridad y confidencialidad");

Responsabilidad: el controlador (empresa u organización) debe poder demostrar que su negocio cumple con los requisitos del RGPD.

Derechos de los interesados ​​Los interesados ​​se refieren a usuarios, clientes, empleados, etc.

Transparencia informativa y mecanismo de información: Los encargados o responsables del tratamiento deben garantizar la transparencia, la comunicación y los métodos para que los interesados ​​ejerzan sus derechos, es decir, hacer saber a los usuarios qué datos están recabando, por qué los recibe, y con qué finalidad, también permite a los usuarios controlar sus propios datos en cualquier momento;

Derechos de acceso a los datos, los responsables del tratamiento deben garantizar que los interesados ​​puedan acceder a sus datos en cualquier momento;

Corrección derechos: Los interesados ​​deben tener derecho a solicitar que el responsable del tratamiento corrija los datos personales inexactos sin demora indebida.

Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, incluso mediante una declaración complementaria;

Derecho al olvido: el interesado tendrá derecho a solicitar al responsable del tratamiento la supresión de sus datos. Por ejemplo, los usuarios de Google pueden pedir a Google que elimine los resultados de búsqueda que les sean desfavorables;

Derecho a restringir el procesamiento: los interesados ​​tienen derecho a restringir el procesamiento de sus datos personales;

Corrección o supresión de datos personales Obligación de comunicación de los datos o limitación del tratamiento: El responsable del tratamiento comunicará cualquier corrección, supresión o limitación del tratamiento basada en datos personales a los destinatarios a quienes los datos personales hayan sido comunicados, salvo que resulte imposible o implique una carga de trabajo desproporcionada. El responsable del tratamiento deberá notificar a estos destinatarios del interesado, si así lo solicita el interesado;

Objeción: Si el tratamiento de datos personales es para marketing directo, el interesado tendrá derecho a oponerse en cualquier momento. al procesamiento de datos personales para dicho marketing, incluye la elaboración de perfiles relevantes para este marketing directo. Si el interesado se opone al tratamiento con fines de marketing directo, los datos personales no serán tratados para estos fines;

Derecho de oposición y toma de decisiones autónomas;

Perfilado de personas autónomas decisiones.

Obligaciones de los responsables o encargados del tratamiento. Los responsables y encargados del tratamiento se refieren generalmente a empresas que almacenan y procesan datos de los usuarios.

Al determinar los medios de procesamiento, el controlador deberá implementar medidas técnicas y organizativas apropiadas, como la anonimización, es decir, con el objetivo de implementar principios de protección de datos, como la minimización de datos, e implementar las salvaguardias necesarias de manera Medidas para satisfacer los requisitos legales y proteger los derechos del interesado;

El responsable del tratamiento implementará medidas técnicas y organizativas apropiadas para garantizar que, por defecto, sólo se reciban los datos personales necesarios para cada finalidad específica. procesamiento son procesados. Esta obligación se aplica a la cantidad de datos personales recopilados, el alcance del procesamiento de datos, el período de retención de los datos y la accesibilidad de los datos. En particular, estas medidas deberían garantizar que los datos personales no sean accesibles por defecto sin intervención personal para un número ilimitado de personas físicas;

El nombramiento de un representante de la UE dentro de los Estados miembros de la UE, que puede ser co- socios de operación, clientes o terceros intermediarios;

El procesador de datos procesará los datos en nombre del controlador de datos;

Las actividades de procesamiento de datos se registrarán;

Cooperar y cooperar con agencias supervisoras y cooperar activamente con las investigaciones de las agencias supervisoras;

Seguridad del procesamiento:

Anonimización y cifrado de datos personales;

(b ) Datos La capacidad del sistema para mantener confidencialidad, integridad, disponibilidad y flexibilidad continuas;

(c) La capacidad de almacenar información útil y obtener información personal de manera oportuna en caso de accidentes naturales o tecnológicos;

(d) La eficacia de las medidas técnicas y organizativas debe probarse, accederse y evaluarse periódicamente para garantizar la seguridad del proceso de tratamiento;

Obligación de informar sobre violaciones de datos las 72 horas: en En caso de violación de datos personales, el responsable del tratamiento deberá notificarlo a la autoridad de control sin demora injustificada y al menos dentro de las 72 horas siguientes al momento en que tuvo conocimiento de ello, a menos que la violación de datos personales no suponga un riesgo para los derechos y libertades de las personas naturales. personas. Si la notificación es posterior a las 72 horas, se deberá indicar el motivo del retraso.

Comunicación con los interesados: Cuando la divulgación de datos personales pueda suponer un alto riesgo para los derechos y libertades de las personas físicas; , el responsable del tratamiento deberá comunicar con prontitud la comunicación de los datos personales Cuerpo principal de la comunicación;

Evaluación de impacto en materia de protección de datos y consulta previa;

Empresas con más de 250 empleados o empresas que procesen cantidades masivas de datos debe designar un responsable principal de protección de datos.

########################################## # #######

Experto en consultoría de control de riesgos digitales

Profundamente comprometido con la consultoría digital en los campos de control de riesgos, control interno y cumplimiento.

Brindar consultoría en cumplimiento de GDPR y sistemas de control de sistemas.