GDPR Reglamento General de Protección de Datos.

El GDPR regula los datos personales en la UE y en cualquier ámbito que atienda a residentes europeos. Base jurídica, derechos de los interesados, responsabilidad proactiva, notificación de brechas, supervisión y sanciones. Las multas máximas (20 millones de euros o el 4% de la facturación mundial anual) acaparan titulares; la mayoría de las actuaciones de control se resuelven a través del diálogo con la autoridad supervisora, no mediante el máximo legal.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyPrivacy & data protectionAll entries

La perspectiva de Cyber Academy

El GDPR regula los datos personales en la UE y en cualquier ámbito que atienda a residentes europeos. Base jurídica, derechos de los interesados, responsabilidad proactiva, notificación de brechas, supervisión y sanciones. Las multas máximas (20 millones de euros o el 4% de la facturación mundial anual) acaparan titulares; la mayoría de las actuaciones de control se resuelven a través del diálogo con la autoridad supervisora, no mediante el máximo legal.

Un reglamento sobre responsabilidad proactiva, no solo sobre consentimiento

El RGPD suele reducirse, en las conversaciones, a los avisos de cookies y a las ventanas emergentes de consentimiento, pero esa imagen pasa por alto dónde reside realmente su peso. El consentimiento es solo una de las varias bases jurídicas para el tratamiento de datos personales y, para la mayoría de las operaciones de una organización, ni siquiera es aquella en la que se apoya. La ejecución de un contrato, la obligación legal y el interés legítimo soportan, en la práctica, muchos más tratamientos.

El cambio más profundo que introdujo el RGPD es la responsabilidad proactiva (accountability): no basta con cumplir, hay que poder demostrar el cumplimiento. Ese único principio es lo que transforma la protección de datos, que pasa de ser una opinión jurídica a una disciplina operativa, con registros, evaluaciones y pruebas detrás de cada afirmación.

Por tratarse de un reglamento y no de una directiva, el RGPD se aplica directamente en toda la UE y, más ampliamente, en el EEE, sin que cada país tenga que transponerlo a su derecho nacional, razón por la que sus obligaciones fundamentales son idénticas en Francia, Alemania e Irlanda. Su alcance también se extiende más allá de Europa. Una organización establecida fuera de la UE sigue entrando en su ámbito de aplicación cuando ofrece bienes o servicios a personas que se encuentran en la Unión o cuando controla su comportamiento en dicho territorio. Este alcance territorial explica que una empresa sin oficina europea pueda, aun así, tener que responder ante una autoridad de control europea.

Base jurídica, derechos de los interesados y deberes que de ellos se derivan

Todo tratamiento de datos personales necesita una base jurídica elegida antes de que comience el tratamiento, y la base que se escoja determina los derechos que las personas pueden ejercer. Los interesados pueden solicitar acceder a sus datos, que se rectifiquen o supriman, limitar el tratamiento u oponerse a él y, en algunos casos, recibirlos en un formato portátil. Ninguno de estos derechos es absoluto; cada uno conlleva condiciones y excepciones.

En torno a los derechos se sitúan los deberes del responsable y del encargado del tratamiento: protección de datos desde el diseño y por defecto, llevar un registro de las actividades de tratamiento, proteger los datos con medidas técnicas y organizativas apropiadas, y establecer contratos por escrito siempre que un encargado trate datos por cuenta de un responsable.

Dos deberes merecen destacarse porque rigen el trabajo del día a día. Cuando es probable que un tratamiento entrañe un alto riesgo para las personas, el responsable lleva a cabo una evaluación de impacto relativa a la protección de datos antes de seguir adelante, documentando el riesgo y la forma de mitigarlo. Y cuando se produce una violación de la seguridad de los datos personales, el responsable se enfrenta a un deber de notificación ante la autoridad de control dentro de un plazo corto y definido, informando también a las personas afectadas cuando el riesgo para ellas es alto. No son rituales de papeleo. Son los puntos en los que el principio de responsabilidad proactiva se convierte en una obligación concreta y sujeta a plazos.

Dónde se sitúa el RGPD entre los conceptos vecinos

Conviene separar el RGPD de los roles y las herramientas que orbitan a su alrededor. Un DPO es una persona o función que algunas organizaciones deben designar para supervisar el cumplimiento; una DPIA es el proceso de evaluación para los tratamientos de alto riesgo; un ROPA es el inventario de las actividades de tratamiento; las cláusulas contractuales tipo son uno de los mecanismos para transferir datos fuera de la UE de forma lícita. El RGPD es el reglamento que exige o habilita cada uno de estos elementos. Las autoridades de control nacionales, como la CNIL en Francia, lo aplican y emiten directrices, y el Comité Europeo de Protección de Datos las coordina para que una interpretación única se mantenga a través de las fronteras.

Como señala la shortDefinition, las cifras destacadas de hasta 20 millones de euros o el 4 por ciento del volumen de negocios anual mundial dominan la cobertura de prensa, y sin embargo la mayor parte de la aplicación de la norma transcurre a través del diálogo con la autoridad de control en lugar de mediante multas máximas. Las autoridades investigan, formulan preguntas, exigen subsanaciones y a menudo resuelven los asuntos mediante medidas correctivas muy por debajo del límite máximo.

Para los profesionales, la lección práctica es que una buena fe demostrable y una postura de cumplimiento respaldada por pruebas cambian el rumbo de ese diálogo. Las organizaciones que peor salen paradas suelen ser las que no pueden demostrar qué hacían con los datos, no las que tomaron una decisión honesta y documentada.

Cómo lo ponen en práctica los profesionales

Convertir el reglamento en trabajo rutinario suele empezar por la cartografía. Se construye y mantiene un registro de las actividades de tratamiento para saber qué datos se poseen, por qué, sobre qué base jurídica y hacia dónde fluyen. A partir de ahí, los equipos integran la privacidad desde el diseño en los nuevos proyectos, realizan DPIA allí donde el riesgo es alto, refuerzan los contratos con los encargados y ensayan el recorrido de notificación de violaciones para que el reloj no los pille desprevenidos.

Muchos anclan esto en un sistema de gestión en lugar de en una carpeta de políticas, que es donde normas como ISO 27701 y las directrices de apoyo de las autoridades de control se ganan su lugar. El objetivo es una prueba en régimen permanente: en cualquier momento se puede demostrar una base jurídica, un registro y un control para los datos personales que se tratan.

Frequently asked questions

01¿Se aplica el RGPD a empresas situadas fuera de la UE?

Sí, puede aplicarse. El reglamento alcanza a las organizaciones establecidas fuera de la UE cuando ofrecen bienes o servicios a personas que se encuentran en la Unión o controlan su comportamiento en dicho territorio. No tener oficina europea no le deja fuera de su ámbito de aplicación; el factor decisivo es si usted dirige su actividad a personas en la UE o realiza un seguimiento de ellas.

02¿Es siempre necesario el consentimiento para tratar datos personales?

No. El consentimiento es solo una de las varias bases jurídicas. Muchas operaciones se apoyan, en cambio, en la ejecución de un contrato, una obligación legal o el interés legítimo. Debe elegir y documentar una base apropiada antes del tratamiento, pero con frecuencia no es el consentimiento.

03¿Cuál es la diferencia entre un responsable y un encargado del tratamiento?

Un responsable del tratamiento decide por qué y cómo se tratan los datos personales y asume la responsabilidad principal. Un encargado del tratamiento trata los datos por cuenta del responsable, en virtud de un contrato por escrito y dentro de las instrucciones del responsable. Los dos roles conllevan deberes diferentes pero que se solapan en virtud del reglamento.

04¿Cuándo debe notificarse una violación?

Un responsable del tratamiento debe notificar toda violación de la seguridad de los datos personales a la autoridad de control competente dentro del breve plazo que fija el reglamento, salvo que sea improbable que la violación entrañe un riesgo para las personas. Cuando el riesgo para las personas afectadas es alto, también debe informarse a dichas personas.

05¿Cómo se relaciona el RGPD con ISO 27701?

El RGPD fija las obligaciones legales; ISO/IEC 27701 le ofrece un sistema de gestión de la información de privacidad certificable para cumplirlas de manera estructurada y auditable. Disponer de la certificación no le hace, por sí solo, legalmente conforme, pero institucionaliza los registros, las evaluaciones y los controles que el reglamento espera.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.