Saber si necesitas cumplir con las regulaciones de privacidad del GDPR es bastante sencillo. Si atiendes a clientes de la UE, lo más probable es que se te aplique. Pero saber exactamente qué necesitas hacer para cumplir es otra historia.

Si estás buscando orientación sobre cómo cumplir con el GDPR, te tenemos cubierto. Este artículo desglosa conceptos clave y explica lo que se requiere bajo el GDPR.

Una visión general de los requisitos de cumplimiento del GDPR

El documento legal del GDPR tiene más de 85 páginas e incluye 99 artículos y 173 considerandos. Define varios puntos clave de enfoque para la privacidad de los datos:

• Datos personales: Cualquier información que se relacione con un individuo que pueda ser identificado, ya sea directa o indirectamente. Ejemplos incluyen nombres, direcciones de correo electrónico, datos de ubicación, etnia, género, direcciones IP, afiliación política o religiosa, y datos biométricos.
• Procesamiento de datos: Cualquier acción automatizada o manual realizada sobre datos personales. Ejemplos son la recopilación, almacenamiento, uso, transferencia o eliminación de datos.
• Sujetos de los datos: El individuo cuyos datos están siendo procesados, como clientes, suscriptores, usuarios y visitantes del sitio.
• Controladores de datos: El individuo, organización o entidad que decide cómo y por qué se procesarán los datos personales. Un ejemplo son los empleados que gestionan o manejan datos.
• Procesadores de datos: Cualquier tercero que procese datos personales en nombre de un controlador de datos, como los proveedores de servicios en la nube y los proveedores de servicios de correo electrónico.

Lista de requisitos del GDPR

Para cumplir con el GDPR, las organizaciones deben seguir ciertos requisitos para el procesamiento de datos personales. A continuación, resumimos algunos requisitos clave para el cumplimiento del GDPR.

1. Establecer una base legal para el procesamiento de datos

Bajo el Artículo 6 del GDPR, las organizaciones deben tener una base legal válida para recopilar y procesar datos personales. Estas incluyen:

• Un sujeto de datos dio su consentimiento libre, claro y sin ambigüedades. El consentimiento no puede ser coaccionado, y la solicitud debe ser claramente presentada en un lenguaje claro. En otras palabras, no puedes enterrarlo en unos Términos de Servicio largos o usar jerga legal confusa. El consentimiento también debe ser documentado. Los sujetos de datos pueden retirar su consentimiento cuando lo deseen, y los niños menores de 13 años solo pueden dar su consentimiento con el permiso expreso de un padre.
• El procesamiento de datos es necesario para cumplir con obligaciones contractuales o legales.
• Procesar los datos salvará la vida de alguien.
• El procesamiento de los datos es de interés público.
• Tienes un interés legítimo para procesar los datos. Esta es la más flexible de las bases legales y se aplica siempre que una organización use datos personales de una manera que el sujeto de los datos ya esperaría. Un ejemplo sería una compañía de seguros que analiza datos personales para detectar reclamaciones fraudulentas. Es importante notar que cuando el derecho fundamental a la privacidad de un sujeto de datos está en conflicto, este derecho prevalece sobre los intereses legítimos.

Si cumples con uno de los requisitos anteriores, tienes una base legal para el procesamiento de datos. Necesitarás documentar esta base y notificarlo a los sujetos de datos.

Si necesitas cambiar tu justificación legal necesitarás una razón suficiente y bien documentada, y tendrás que notificarlo a tus sujetos de datos.

2. Obtener el consentimiento explícito de los sujetos de datos

Debes explicar cómo procesas los datos de “forma concisa, transparente, inteligible y de fácil acceso”. Muchas organizaciones lo hacen a través de un aviso de privacidad claramente escrito.

Si tu justificación legal para procesar datos personales es que tienes el consentimiento de ese sujeto de datos, entonces debes haber obtenido ese consentimiento de una manera que sea “clara, específica, informada y sin ambigüedades”.

El RGPD proporciona algunas condiciones que deben cumplirse para que el consentimiento sea válido.

• Los sujetos de datos no pueden ser coaccionados para dar su consentimiento. Por ejemplo, no puedes negar el acceso a productos o servicios en función de si han dado su consentimiento para actividades de procesamiento de datos. Tampoco puedes engañar a las personas para que den su consentimiento. Por ejemplo, agrupar varias solicitudes de consentimiento juntas pero tener sólo una casilla de verificación “Estoy de acuerdo” que consienta todas ellas. Tienes que explicar cada caso de uso para el procesamiento de datos y dar a los sujetos de datos la oportunidad de consentir (o no) en cada uno de ellos. Por último, el consentimiento debe ser claro y sin ambigüedades. No puedes cargar una página con casillas de consentimiento preseleccionadas, y no puedes diseñar una página de manera que el consentimiento se otorgue por inacción. Todo esto se reduce a una idea principal: los sujetos de datos deben tomar una decisión libre e informada para consentir el procesamiento de datos.
• Debes explicar exactamente a los sujetos de datos a qué están consintiendo. Necesitan saber quién eres, cómo vas a procesar sus datos, con qué propósito y si tienes intención de compartirlos con terceros.
• El controlador de los datos debe ser capaz de probar que el sujeto de datos ha consentido el procesamiento de datos.
• Si la solicitud de consentimiento al sujeto de datos está en un documento escrito que contiene otra información, la solicitud de consentimiento debe estar separada de la otra información y presentarse en un lenguaje claro.
• Estás obligado a decirles a los sujetos de datos que tienen derecho a revocar el consentimiento en cualquier momento, y tienes que ponerlo fácil para que lo hagan. Esto incluye publicar información de contacto para ejercer los derechos del consumidor bajo el RGPD en un lugar de fácil acceso.

3. Honrar los derechos de los sujetos de datos

Los sujetos de datos tienen ciertos derechos bajo el RGPD. Estos incluyen:

• El derecho a ser informado: Tienes que explicar claramente cómo procesas los datos personales y con qué propósito. También debes facilitar a las personas la posibilidad de optar por no participar y/o solicitar la eliminación de sus datos y responder a esas solicitudes de manera oportuna. Al recopilar datos de un sujeto de datos, también debes explicar cómo y por qué. Este requisito se aplica incluso si los datos se transfieren a un tercero.
• El derecho de acceso: Los sujetos de datos tienen derecho a saber qué datos personales has recogido sobre ellos, dónde y cómo se están recogiendo, por qué se están procesando y cuánto tiempo se conservarán.
• El derecho de rectificación: Los sujetos de datos tienen derecho a corregir cualquier dato personal inexacto o incompleto.
• El derecho de supresión: También conocido como el derecho al olvido, los interesados pueden solicitar que se elimine su información personal (con algunas excepciones especiales) y debe ser fácil para los usuarios realizar estas solicitudes de supresión.
• El derecho a restringir el procesamiento: Los interesados también pueden solicitar que se cambie la forma en que se procesa su información personal si tienen razones para creer que los datos son inexactos, se están utilizando ilegalmente o ya no son necesarios para la base legal declarada.
• El derecho a la portabilidad de los datos: El RGPD requiere que se almacenen los datos personales de manera que puedan ser fácilmente compartidos con otros en caso de que lo solicite un interesado. Si un interesado solicita sus datos personales, debe proporcionárselos de forma gratuita y en un formato fácilmente accesible.
• El derecho a oponerse: Los interesados pueden oponerse al procesamiento de sus datos personales. Debe respetar esa objeción a menos que pueda demostrar que tiene una base legal para procesarlos.

4. Implementar salvaguardas técnicas y organizativas

Las organizaciones deben implementar “medidas técnicas y organizativas adecuadas” para garantizar que los datos de los clientes se manejen de manera segura.

El RGPD no especifica exactamente qué medidas de seguridad deben tomar las empresas. Sin embargo, requiere que la organización evalúe los riesgos inherentes al procesamiento de datos personales de la UE e implemente niveles adecuados de medidas de seguridad que mitiguen tales riesgos teniendo en cuenta la confidencialidad, integridad y disponibilidad de los sistemas y procesos de procesamiento.

Cada organización debe establecer un conjunto de controles de seguridad más adecuados para sus sistemas y procesos únicos. Esto puede incluir medidas como habilitar la autenticación de múltiples factores, utilizar el cifrado de datos de extremo a extremo, implementar firewalls, establecer controles de acceso de usuarios y completar entrenamientos periódicos de concienciación sobre seguridad para el personal.

5. Enviar notificaciones de violaciones

Similar a la regla de notificación de violaciones de HIPAA, el RGPD requiere que notifique a los interesados afectados dentro de las 72 horas posteriores a una violación de datos. Si no puede enviar una notificación dentro de las 72 horas, deberá tener una justificación adecuada por el retraso.

Bajo el RGPD, las notificaciones de violaciones deben:

• Describir el alcance y la naturaleza de la violación de datos, incluido el número de personas y registros de datos afectados
• Explicar las probables consecuencias de la violación de datos personales
• Compartir los pasos tomados por el controlador de datos para abordar la violación
• Indicar el nombre y los datos de contacto del oficial de protección de datos donde los interesados pueden solicitar información adicional

6. Designar un oficial de protección de datos (si corresponde)

Las organizaciones están obligadas a designar un oficial de protección de datos (DPO) si:

• Actúa como una autoridad pública (distinta de un tribunal que actúa en una capacidad judicial)
• Sus actividades principales requieren que monitoree personas a gran escala
• Sus actividades principales implican el procesamiento de categorías especiales de datos, o datos relacionados con condenas y delitos penales

Los oficiales de protección de datos son responsables de supervisar la estrategia de protección de datos de la organización. Esto generalmente implica asegurarse de que los empleados estén capacitados en los requisitos del RGPD, completar auditorías regulares de cumplimiento y mantener la documentación y los registros de cumplimiento.

Los oficiales de protección de datos también actúan como el principal punto de contacto tanto para las autoridades supervisoras como para los interesados. Si un interesado consulta sobre cómo se están procesando sus datos o presenta una solicitud de supresión, el oficial de protección de datos debe responder dentro de un mes calendario.

7. Diseñar con la privacidad en mente

El artículo 25 del RGPD establece que las organizaciones deben considerar la privacidad y protección de los datos al diseñar cualquier nuevo producto o servicio. En cada etapa del desarrollo, las empresas deben pensar en qué datos personales necesitan recopilar absolutamente de los clientes o usuarios y cómo mantendrán esos datos seguros.

8. Realizar una evaluación de impacto en la protección de datos

Siempre que un interesado consiente la recopilación o el procesamiento de datos, asume un cierto nivel de riesgo. Sus datos podrían ser robados o filtrados y utilizados con fines fraudulentos. Una Evaluación de Impacto en la Protección de Datos (EIPD) explica cómo su organización identifica y minimiza esos riesgos.

Estas evaluaciones son obligatorias siempre que el procesamiento probablemente resultará en un alto riesgo para los derechos y libertades de los individuos, pero realizarlas para otros tipos de procesamiento de datos puede ayudar a desbloquear beneficios clave.

Las EIPD ayudan a mejorar la conciencia organizacional sobre los riesgos de protección de datos para que pueda diseñar completamente con la privacidad en mente. Y pueden ayudarle a comunicar claramente a los clientes y usuarios los pasos exactos que está tomando para asegurar sus datos personales.

9. Restringir las transferencias de datos personales

El RGPD incluye condiciones estrictas para transferir datos personales fuera de la UE o del Espacio Económico Europeo (EEE). En los casos en que los datos personales se transfieren fuera de la UE o del EEE, el RGPD requiere que las organizaciones relevantes (es decir, las organizaciones importadoras y exportadoras de datos) adopten salvaguardias de protección de datos apropiadas que incluyan medidas técnicas y organizativas.

Las transferencias de datos están permitidas en los siguientes casos:

• La Comisión Europea (CE) emitió una decisión de adecuación sobre el país donde se encuentra el receptor
• La transferencia está cubierta por las salvaguardias apropiadas enumeradas en el artículo 46 del RGPD
• Ha informado al interesado de los posibles riesgos y tiene su consentimiento explícito
• La transferencia de datos es necesaria para cumplir obligaciones contractuales con el interesado
• La transferencia de datos es de interés público o protegerá los intereses vitales de una persona
• La transferencia de datos es requerida para establecer o defender un reclamo legal
• La transferencia se realiza desde un registro público
• Es una transferencia única que está en su interés legítimo

10. Completar regularmente la capacitación sobre conciencia de privacidad

Debido a que la legislación RGPD es bastante compleja, se requiere capacitación para ayudar a los empleados a manejar los datos personales de manera segura. Aunque la ley no especifica requisitos exactos de capacitación, la capacitación en RGPD que elija debe cubrir qué es la ley y dónde se aplica, los principios básicos de la protección de datos, los derechos de los interesados, las responsabilidades de los controladores y procesadores de datos, y cómo responder a un incidente de ciberseguridad o violación de datos.

La capacitación debe completarse regularmente, al menos anualmente, tanto para los nuevos empleados como para los existentes involucrados en el manejo de datos personales.