Una lista de verificación de cumplimiento con GDPR de 17 pasos para mantener segura la información personal
En 2015, la Unión Europea aprobó el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés), reformulando cómo las organizaciones de todo el mundo pueden recolectar y procesar datos personales. El objetivo del GDPR es claro: ayudar a los consumidores a entender y controlar qué tipo de datos recopilan las empresas, con quién se comparten y para qué se utilizan.
El cómo del cumplimiento con el GDPR es un poco más confuso. La ley requiere que las organizaciones tomen medidas para proteger los datos personales y mantengan informados a los usuarios sobre sus derechos de privacidad de datos, pero no especifica cuáles deben ser todas esas salvaguardas. Aunque esta flexibilidad está pensada para permitir que las organizaciones adapten su enfoque a sus sistemas, procesos y clientes únicos, puede dificultar que las empresas aseguren que están cumpliendo con la ley.
Para ayudar a clarificar lo que se requiere para cumplir con el GDPR, hemos creado una lista de verificación interactiva que puedes usar para verificar que has implementado las salvaguardas adecuadas.
¿Quién necesita cumplir con el GDPR?
La primera pregunta que hay que hacerse es: ¿aplican las regulaciones del GDPR a tu organización?
El GDPR es una ley de privacidad de datos que otorga a los ciudadanos y residentes de la UE un mayor conocimiento y control sobre los datos personales que recopilan las organizaciones y cómo se procesan.
Aunque el GDPR es una legislación de la UE, tiene implicaciones de gran alcance. El GDPR se aplica a cualquier organización que recopile y procese datos personales de ciudadanos o residentes de la UE, incluso compañías fuera de la UE. Cualquier organización con presencia global debería esforzarse por cumplir con el GDPR.
Lecturas recomendadas
¿Qué es el cumplimiento con GDPR? Entendiendo lo esencial del GDPR
Un resumen de los requisitos del GDPR
El documento actual del GDPR es bastante extenso: 88 páginas de texto legal que incluyen 99 artículos y 173 considerandos. Si estás interesado en profundizar en lo que es necesario para cumplir con el GDPR, echa un vistazo a nuestro artículo que explica en detalle los requisitos del GDPR. Aquí, resumiremos lo esencial antes de entrar en la lista de verificación de cumplimiento.
1. Establecer una base legal para el procesamiento de datos
Ya sea que tu organización sea un procesador de datos o un controlador de datos, debe tener una base legal válida para recopilar y procesar datos personales. Según el GDPR, estas bases legales incluyen:
- Un sujeto de datos otorgó consentimiento claro y sin ambigüedades para el procesamiento de datos personales.
- El procesamiento de datos es necesario para cumplir obligaciones contractuales o legales.
- Procesar los datos salvará la vida de alguien.
- El procesamiento de datos es de interés público.
- La organización tiene un “interés legítimo”, en otras palabras, siempre que una organización use datos personales de una manera que el sujeto de datos ya esperaría. Por ejemplo, una institución financiera que analiza datos personales para detectar y prevenir transacciones fraudulentas.
Las organizaciones están obligadas a documentar su base legal y notificar a los sujetos de datos.
2. Obtén el consentimiento explícito de los sujetos de datos.
Las organizaciones que utilizan el consentimiento de un sujeto de datos como base legal deben poder demostrar que obtuvieron dicho consentimiento de manera justa. Los sujetos de datos deben estar completamente informados sobre cómo se procesan sus datos, y deben aceptar de manera libre y sin ambigüedades el procesamiento de sus datos personales.
En otras palabras, estás obligado a explicar a los sujetos de datos cómo procesas sus datos y los derechos de privacidad de datos bajo el RGPD en términos claros y sencillos. Muchas organizaciones hacen esto a través de un aviso de privacidad que se publica en su sitio web.
No puedes coaccionar o engañar a los usuarios para que den su consentimiento, ni omitir detalles que les impidan ejercer sus derechos bajo el RGPD, como su derecho a optar por no procesar datos o solicitar que se borren sus datos personales.
3. Respeta los derechos de los sujetos de datos.
Los sujetos de datos tienen ciertos derechos bajo el RGPD que las organizaciones están obligadas a respetar. Estos incluyen:
- El derecho a ser informado: Los sujetos de datos deben ser informados sobre cómo procesas los datos personales y con qué propósito. Este requisito se aplica incluso si los datos se transfieren a un tercero.
- El derecho de acceso: Los sujetos de datos tienen derecho a saber qué datos personales has recopilado sobre ellos, dónde y cómo se recopilan, por qué se procesan y cuánto tiempo se conservarán.
- El derecho de rectificación: Los sujetos de datos tienen derecho a corregir cualquier dato personal inexacto o incompleto.
- El derecho de supresión: Los sujetos de datos pueden solicitar la eliminación de su información personal.
- El derecho a restringir el procesamiento: En ciertas situaciones, los sujetos de datos pueden solicitar que cambies la forma en que procesas su información personal.
- El derecho a la portabilidad de datos: Si un sujeto de datos solicita sus datos personales, debes proporcionárselos de forma gratuita y en un formato de fácil acceso.
- El derecho de oposición: Los sujetos de datos pueden oponerse al procesamiento de sus datos personales. Debes respetar esa objeción a menos que puedas demostrar que tienes una base legal para procesarlos.
4. Implementa salvaguardias técnicas y organizativas.
Las organizaciones deben establecer “medidas técnicas y organizativas apropiadas” para asegurar que cualquier dato de cliente que se procese esté debidamente protegido.
El RGPD no especifica una lista exacta de medidas de seguridad, lo que permite a las organizaciones una cierta flexibilidad para construir una postura de seguridad de la información que se adapte a sus necesidades únicas. Ejemplos de controles de seguridad de datos son la autenticación multifactor, el cifrado de datos, los firewalls, los controles de acceso de usuarios y la formación en concienciación sobre seguridad.
5. Envía notificaciones de violación.
En caso de una violación de datos, el RGPD requiere que las organizaciones notifiquen a los sujetos de datos afectados dentro de las 72 horas (o tener una justificación adecuada para un retraso).
Las notificaciones de violación deben explicar cuántas personas y registros de datos se vieron afectados, las posibles consecuencias y lo que el controlador de datos ha hecho para mitigar los efectos de la violación. Las notificaciones también deben incluir el nombre y la información de contacto del oficial de protección de datos de la organización.
6. Nombra un oficial de protección de datos (si corresponde).
Los oficiales de protección de datos (DPO, por sus siglas en inglés) supervisan la estrategia general de protección de datos de la organización. Son responsables de asegurar que los empleados estén capacitados en los requisitos del RGPD, de realizar auditorías de cumplimiento regulares y de mantener la documentación para demostrar el cumplimiento.
Los oficiales de protección de datos también actúan como el principal punto de contacto tanto para las autoridades de supervisión como para los sujetos de datos. Si un sujeto de datos solicita que se borren sus datos personales, el oficial de protección de datos debe responder a esa solicitud dentro de un mes calendario.
7. Diseña con la privacidad en mente.
Las organizaciones deben tener en cuenta la privacidad y protección de datos al diseñar cualquier nuevo producto o servicio. En cada etapa del desarrollo, las empresas deben limitar la recopilación de datos personales a lo que sea absolutamente necesario para ofrecer el producto o servicio, y detallar los pasos específicos que tomarán para mantener esos datos seguros.
8. Realiza una evaluación de impacto en la protección de datos.
Siempre que un sujeto de datos consiente la recopilación o el procesamiento de datos, está asumiendo un cierto nivel de riesgo. Sus datos podrían ser robados o filtrados en una violación de datos personales y utilizados con fines fraudulentos. Una Evaluación de Impacto en la Protección de Datos (DPIA) explica cómo su organización identifica y minimiza esos riesgos.
9. Restringir las transferencias de datos personales
El RGPD incluye condiciones estrictas para transferir datos personales fuera de la UE. Cuando se permiten las transferencias de datos, el RGPD requiere que tanto el importador de datos como el exportador de datos tomen medidas adecuadas para proteger los datos personales que se transfieren.
10. Completar la formación regular en privacidad de datos
Dado que la legislación del RGPD es bastante compleja, se requiere formación regular en privacidad de datos para ayudar a los empleados a manejar de manera segura diferentes categorías de datos personales. La formación sobre el RGPD debe explicar qué es la ley y dónde se aplica, los derechos de los sujetos de datos, las responsabilidades de los controladores de datos y los procesadores de datos, y cómo responder a un incidente de ciberseguridad.
Lectura recomendada
¿Qué necesita saber sobre los requisitos de cumplimiento del RGPD en 2023?
Lista de verificación del RGPD: Evalúe el enfoque de su organización hacia la privacidad de los datos
Para ayudarle a medir el nivel de cumplimiento del RGPD de su organización, hemos creado esta lista de verificación interactiva. Consulte los pasos a continuación para verificar que está completamente conforme, o para identificar y remediar cualquier brecha.
*Esta lista de verificación se ofrece solo como guía y no sustituye el asesoramiento legal. Siempre consulte con un abogado para asegurarse de que su organización cumple completamente con el RGPD.
GDPR Compliance Checklist
Comply with data processing requirements
Inform users of data privacy practices
Implement data security safeguards
Obtenga 100% de confianza en su cumplimiento del RGPD con Secureframe
Hacemos que el proceso de cumplimiento del RGPD sea simple y directo. Obtenga una biblioteca de políticas revisadas por expertos en RGPD, capacitación exclusiva en RGPD para empleados y acceso a expertos internos en cumplimiento que lo mantendrán al día con las últimas regulaciones del RGPD. Obtendrá la seguridad de un cumplimiento total del RGPD para que pueda centrarse en servir a sus clientes y hacer crecer su negocio.
Obtenga más información sobre nuestra oferta de cumplimiento del RGPD, o programe una demostración para ver nuestra plataforma de automatización de cumplimiento en acción.
Preguntas frecuentes
¿Debo cumplir con el RGPD?
Si su organización recopila o procesa la información personal de ciudadanos o residentes de la UE, debe cumplir con el RGPD.
¿Cuáles son los 7 principios del RGPD?
El artículo 5.1-2 del documento RGPD describe siete principios de protección y responsabilidad que las organizaciones deben cumplir al procesar datos personales. Son:
- Licitud, equidad y transparencia: El tratamiento de datos debe ser lícito, justo y transparente para el interesado.
- Limitación de la finalidad: El tratamiento de datos debe limitarse a los fines explícitamente declarados al interesado cuando fueron recabados.
- Minimización de datos: Las organizaciones solo pueden tratar la cantidad de datos absolutamente necesaria para los fines especificados.
- Exactitud: Los datos personales deben mantenerse exactos y actualizados.
- Limitación del almacenamiento: Los datos personales solo pueden almacenarse durante el tiempo necesario para el fin especificado.
- Integridad y confidencialidad: Los datos deben tratarse de manera que se garantice la seguridad, integridad y confidencialidad.
- Responsabilidad: Los responsables del tratamiento de datos deben ser capaces de demostrar que sus actividades de tratamiento de datos cumplen con todos estos principios del GDPR.
¿Cuáles son las sanciones por incumplimiento del GDPR?
Las autoridades de protección de datos (DPAs) emiten dos niveles de sanciones por incumplimiento del GDPR. Las violaciones menos graves resultan en multas de hasta 10 millones de euros o el 2% de los ingresos anuales globales de la empresa del año financiero anterior, lo que sea mayor.
El segundo nivel de sanciones es por violar los principios fundamentales del GDPR y puede resultar en multas de hasta 20 millones de euros o el 4% de los ingresos anuales globales de la empresa del año financiero anterior, lo que sea mayor. Las personas afectadas por la violación también tienen derecho a buscar compensación por daños.
¿Qué es un oficial de protección de datos?
Los oficiales de protección de datos supervisan la estrategia de protección de datos de la organización y su implementación. También actúan como el principal punto de contacto tanto para las autoridades de supervisión como para los interesados. Si un interesado consulta sobre cómo se están tratando sus datos o presenta una solicitud de borrado, el oficial de protección de datos debe responder.
¿Cuáles son las diferentes categorías de datos personales?
El GDPR especifica ciertas 'categorías especiales de datos personales'. Estas categorías incluyen datos sensibles que requieren mayores niveles de protección:
- Datos raciales o étnicos
- Afiliación o opiniones políticas
- Creencias religiosas
- Afiliaciones a sindicatos
- Datos biométricos
- Datos de salud
- Orientación o actividad sexual
- Datos genéticos
¿Qué es un responsable del tratamiento vs un encargado del tratamiento?
El GDPR diferencia entre un responsable del tratamiento y un encargado del tratamiento, y no todas las organizaciones involucradas en el tratamiento de datos tienen las mismas responsabilidades.
- Responsables del tratamiento: La persona que decide cómo y por qué se tratarán los datos personales. Ejemplo: Empleados de la organización que gestionan o manejan datos.
- Encargados del tratamiento: Cualquier tercero que trate datos personales en nombre de un responsable del tratamiento. Ejemplos: Proveedores de servicios en la nube, proveedores de servicios de correo electrónico.