Lista de verificación de cumplimiento del RGPD – Blog de IBM

El Reglamento General de Protección de Datos (GDPR) es una ley de la Unión Europea (UE) que regula cómo las organizaciones recopilan y utilizan datos personales. Cualquier empresa que opere en la UE o maneje datos de residentes de la UE debe cumplir con los requisitos del RGPD.

Sin embargo, el cumplimiento del RGPD no es necesariamente una cuestión sencilla. La ley establece un conjunto de privacidad de datos derechos de los usuarios y una serie de principios para el tratamiento de datos personales. Las organizaciones deben defender estos derechos y principios, pero el RGPD deja cierto margen para que cada empresa decida cómo hacerlo.

Hay mucho en juego y el RGPD impone importantes sanciones por incumplimiento. Las infracciones más graves pueden dar lugar a multas de hasta 20,000,000 de euros o el 4% de la facturación global de la organización en el año anterior. Los reguladores del RGPD también pueden poner fin a las actividades ilícitas de procesamiento de datos y obligar a las organizaciones a realizar cambios.

La siguiente lista de verificación cubre las regulaciones básicas del RGPD. La forma en que una organización cumpla con estas regulaciones dependerá de sus circunstancias únicas, incluidos los tipos de datos que recopila y cómo los utiliza.

Conceptos básicos del RGPD

El RGPD se aplica a cualquier organización con sede en el Espacio Económico Europeo (EEE). El EEE incluye los 27 estados miembros de la UE más Islandia, Liechtenstein y Noruega.

El RGPD también se aplica a organizaciones fuera del EEE si:

• La empresa ofrece periódicamente bienes o servicios a residentes del EEE, incluso si no se intercambia dinero.
• La empresa monitorea periódicamente la actividad de los residentes del EEE, por ejemplo, mediante el uso de cookies de seguimiento.
• La empresa procesa datos en nombre de una empresa con sede en el EEE.

El RGPD no sólo se aplica a las empresas que utilizan datos de clientes con fines comerciales. Se aplica a casi cualquier organización que procese datos de residentes del EEE para cualquier fin. Las escuelas, los hospitales y las agencias gubernamentales están sujetos a la autoridad del RGPD.

Las únicas actividades de procesamiento de datos exentas del RGPD son las actividades de seguridad nacional o de aplicación de la ley y los usos puramente personales de los datos.

Definiciones útiles

El RGPD utiliza cierta terminología específica. Para comprender los requisitos de cumplimiento, las organizaciones deben comprender lo que significan estos términos en este contexto.

El RGPD define datos personales como cualquier información relativa a un ser humano identificable. Todo, desde direcciones de correo electrónico hasta opiniones políticas, cuenta como datos personales.

A sujeto de datos es el ser humano el propietario de los datos. Dicho de otra manera, es la persona con la que se relacionan los datos. Supongamos que una empresa recopila números de teléfono para enviar mensajes de marketing mediante SMS. Los titulares de esos números de teléfono serían los interesados.

Cuando el RGPD se refiere a interesados, se refiere a interesados ​​que residen en el EEE. No es necesario que los sujetos sean ciudadanos de la UE para tener derechos de privacidad de datos según el RGPD. Simplemente deben ser residentes del EEE.

A controlador de datos es cualquier organización, grupo o persona que obtiene datos personales y determina cómo se utilizan. Volviendo al ejemplo anterior, una empresa que recopila números de teléfono con fines de marketing sería un responsable del tratamiento. 

Proceso de datos es cualquier acción realizada con los datos, incluida su recopilación, almacenamiento o análisis. A procesador de datos es cualquier organización o actor que realiza tales acciones.

Una empresa puede ser tanto controlador como procesador, como una empresa que recopila números de teléfono y los utiliza para enviar mensajes de marketing. Los procesadores también incluyen terceros que procesan datos en nombre de los controladores, como un servicio de almacenamiento en la nube que aloja una base de datos de números de teléfono para otra empresa.

Autoridades supervisoras son los organismos reguladores que hacen cumplir los requisitos del RGPD. Cada país del EEE tiene su propia autoridad supervisora.

Explore las soluciones de protección y seguridad de datos

La lista de verificación de cumplimiento del RGPD

En un nivel alto, una organización cumple con el RGPD si:

• Se adhiere a los principios de procesamiento de datos.
• Defiende los derechos de los interesados
• Aplica medidas de seguridad de datos adecuadas
• Sigue las reglas para transferencias e intercambio de datos.

La siguiente lista de verificación desglosa aún más estos requisitos. Los pasos prácticos que una organización tome para cumplir con estos requisitos dependerán de su ubicación, recursos y actividades de procesamiento de datos, entre otros factores.

Principios de procesamiento de datos

El RGPD crea un conjunto de principios que las organizaciones deben seguir al procesar datos personales. Los principios son los siguientes.

La organización tiene una base legal para el procesamiento de datos.

El RGPD define las circunstancias bajo las cuales las empresas pueden procesar legalmente datos personales. Una organización debe establecer y documentar su base legal antes de recopilar cualquier dato. La organización debe comunicar esta base a los usuarios en el momento de la recogida de datos. No puede cambiar la base después del hecho a menos que tenga el consentimiento del usuario para hacerlo.

Las posibles bases legales incluyen:

• La organización dispone del consentimiento del interesado para tratar sus datos. Tenga en cuenta que el consentimiento del usuario sólo es válido si es informado, afirmativo y otorgado libremente.
  • Consentimiento informado significa que la empresa explica claramente qué datos está recopilando y cómo los utilizará.
  • Consentimiento afirmativo significa que el usuario debe realizar alguna acción intencional para mostrar su consentimiento, como firmar una declaración o marcar una casilla. El consentimiento no puede ser la opción predeterminada.
  • Consentimiento dado libremente significa que la empresa no intenta influir o coaccionar al interesado. El sujeto debe poder retirar su consentimiento en cualquier momento.

• La organización tiene la obligación legal de tratar los datos.

• La organización debe procesar los datos para proteger la vida del interesado o de otra persona.

• La organización está tratando datos por motivos de interés público, como por ejemplo periodismo o salud pública.

• La organización es una autoridad pública que procesa datos para realizar una función oficial.

• La organización está procesando los datos para perseguir un interés legítimo.
  • A interés legítimo es un beneficio que el responsable del tratamiento u otra parte podría obtener al procesar los datos. Los ejemplos incluyen realizar verificaciones de antecedentes de los empleados o rastrear direcciones IP en una red corporativa para la seguridad cibernética propósitos. Para alegar un interés legítimo, la organización debe demostrar que el procesamiento es necesario y no infringe los derechos de los sujetos. 

La organización recopila datos para un propósito específico y solo los utiliza para ese fin.

De acuerdo con el principio de limitación de la finalidad del RGPD, los responsables del tratamiento deben tener una finalidad identificada y documentada para la recopilación de datos. El responsable del tratamiento debe comunicar esta finalidad a los usuarios en el momento de su recogida y sólo puede utilizar los datos para esta finalidad.

La organización sólo recopila la cantidad mínima de datos necesarios.

Los responsables del tratamiento solo pueden recopilar la cantidad mínima de datos necesaria para cumplir el propósito declarado.

La organización mantiene los datos precisos y actualizados.

Los controladores deben tomar medidas razonables para garantizar que los datos personales que poseen sean precisos y estén actualizados. 

La organización elimina datos cuando ya no son necesarios.

El RGPD exige políticas estrictas de retención y eliminación de datos. Las empresas solo pueden conservar los datos hasta que se haya cumplido el propósito especificado para recopilarlos y deben eliminarlos una vez que ya no los necesiten.

La organización toma precauciones adicionales al procesar datos de niños o datos de categorías especiales.

Los controladores y procesadores deben aplicar protecciones adicionales a ciertos tipos de datos personales.

Categoría especial Los datos incluyen datos altamente confidenciales como la raza y la biometría de una persona. Las organizaciones solo pueden procesar datos de categorías especiales en circunstancias muy limitadas, como para prevenir amenazas graves a la salud pública. Las empresas también pueden tratar datos de categorías especiales con el consentimiento explícito del interesado.

Datos de condenas penales Sólo puede ser controlado por las autoridades públicas. Los procesadores sólo pueden procesar esta información bajo la dirección de una autoridad pública.

Los controladores deben obtener el consentimiento de los padres antes de procesar datos de los niños. Deben tomar medidas razonables para verificar las edades de los sujetos y las identidades de los padres. Si recopilan datos de niños, los controladores deben presentar avisos de privacidad en un lenguaje adaptado a los niños.

Cada estado del EEE establece su propia definición de "niño" según el RGPD. Estos van desde “cualquier persona menor de 13 años” hasta “cualquier persona menor de 16 años”. 

La organización documenta todas las actividades de procesamiento de datos.

Las organizaciones con más de 250 empleados deben mantener registros del procesamiento de datos. Las organizaciones con menos de 250 empleados deben mantener registros si procesan datos altamente confidenciales, procesan datos regularmente o procesan datos de una manera que represente un riesgo significativo para los interesados.

Los controladores deben documentar cosas como los datos que recopilan, lo que hacen con esos datos, los mapas de flujo de datos y las salvaguardas de los datos. Los procesadores deben documentar los controladores para los cuales trabajan, los tipos de procesamiento que realizan para cada controlador y los controles de seguridad que utilizan.

El responsable último del tratamiento es el responsable de garantizar el cumplimiento. 

Según el RGPD, la responsabilidad final del cumplimiento recae en el responsable del tratamiento de los datos. Esto significa que el responsable del tratamiento debe garantizar (y poder demostrar) que sus procesadores externos cumplan con todos los requisitos pertinentes del RGPD. 

Derechos de los interesados

El RGPD otorga a los interesados ​​ciertos derechos sobre sus datos. Los controladores y procesadores deben respetar estos derechos.

La organización ofrece a los interesados ​​formas sencillas de ejercer sus derechos.

Las organizaciones deben brindar a los interesados ​​un medio sencillo para hacer valer sus derechos sobre sus datos. Estos derechos incluyen:

• El derecho de acceso: Los sujetos deben poder solicitar y recibir copias de sus datos, así como información relevante sobre cómo la empresa utiliza los datos.

• El derecho a la rectificación: Los sujetos deben poder corregir o actualizar sus datos.

• El derecho de borrado: Los sujetos deben poder solicitar la eliminación de sus datos. 

• El derecho a restringir el procesamiento: Los sujetos deben poder restringir la forma en que se utilizan sus datos si sospechan que son inexactos, ya no son necesarios o se están utilizando de forma indebida. 

• El derecho a oponerse: Los sujetos deben poder oponerse al procesamiento. Los sujetos que hayan otorgado previamente su consentimiento deberán poder retirarlo fácilmente en cualquier momento.

• El derecho a la portabilidad de los datos: Los sujetos tienen derecho a transferir sus datos, y los responsables y procesadores deben facilitar estas transferencias.

En general, las organizaciones deben responder a todas las solicitudes de acceso de los interesados ​​en un plazo de 30 días. Por lo general, las empresas deben cumplir con la solicitud de un sujeto a menos que puedan demostrar que tienen una razón legítima e imperiosa para no hacerlo.

Si una organización rechaza una solicitud, debe explicar el motivo. La organización también debe indicar al sujeto cómo apelar la decisión ante el delegado de protección de datos de la empresa o la autoridad de control correspondiente.

La organización ofrece a los interesados ​​una forma de impugnar las decisiones automatizadas.

Según el RGPD, los interesados ​​tienen derecho a no estar sujetos a procesos automatizados de toma de decisiones que puedan tener un impacto significativo en ellos. Esto incluye la elaboración de perfiles, que el RGPD define como el uso de la automatización para evaluar algún aspecto de una persona, como predecir su desempeño laboral.

Si una organización utiliza decisiones automatizadas, debe brindar a los interesados ​​una forma de impugnar esas decisiones. Los sujetos también pueden solicitar que un empleado humano revise cualquier decisión automatizada que los afecte.

La organización es transparente sobre cómo utiliza los datos personales.

Los controladores y procesadores deben informar de manera proactiva y clara a los interesados ​​sobre las actividades de procesamiento de datos, incluidos los datos que recopilan, qué hacen con ellos y cómo los interesados ​​pueden ejercer sus derechos sobre los datos.

Por lo general, esta información debe comunicarse a través de un aviso de privacidad presentado al sujeto durante la recopilación de datos. Si la empresa no recopila datos personales directamente de los interesados, los avisos de privacidad deben enviarse a los interesados ​​en el plazo de un mes. Las empresas también pueden incluir estos detalles en políticas de privacidad a las que se puede acceder públicamente en sus sitios web. 

Medidas de privacidad y protección de datos

El RGPD exige que los controladores y procesadores tomen medidas para evitar el uso indebido de datos personales y proteger a los interesados ​​de daños.

La organización ha implementado controles de ciberseguridad adecuados.

Los controladores y procesadores deben implementar medidas de seguridad para proteger la confidencialidad e integridad de los datos personales. El RGPD no exige ningún control particular, pero sí establece que las empresas deben adoptar medidas tanto técnicas como organizativas.

Medidas técnicas incluir soluciones tecnológicas, como Gestión de identidad y acceso. (IAM), copias de seguridad automatizadas y herramientas de seguridad de datos. Si bien el RGPD no exige explícitamente cifrado datos, recomienda que las organizaciones utilicen seudonimización y anonimización siempre que sea posible.

Medidas organizativas incluir capacitación de empleados, evaluaciones de riesgo y otras políticas y procesos de seguridad. Las empresas también deben seguir el principio de protección de datos desde el diseño y por defecto al crear o implementar nuevos sistemas y productos.

La organización lleva a cabo evaluaciones de impacto de la protección de datos (DPIA) según sea necesario.

Si una empresa planea procesar datos de una manera que suponga un alto riesgo para los derechos de los interesados, primero debe realizar una evaluación de impacto de la protección de datos (DPIA). Los tipos de procesamiento que podrían desencadenar una EIPD incluyen la elaboración de perfiles automatizados y el procesamiento a gran escala de categorías especiales de datos personales, entre otros.

Una EIPD debe describir los datos que se utilizan, el procesamiento previsto y el propósito del procesamiento. Debe identificar los riesgos del procesamiento y las formas de mitigarlos. Si existe un riesgo significativo no mitigado, la organización debe consultar a una autoridad supervisora ​​antes de seguir adelante.

La organización ha designado un delegado de protección de datos (DPO) si es necesario.

Una organización debe nombrar un delegado de protección de datos (DPO) si monitorea sujetos a gran escala o procesa datos de categorías especiales como actividad principal. Todas las autoridades públicas deben nombrar también DPO.

El DPO es responsable de garantizar que la organización siga cumpliendo con el RGPD. Las tareas clave incluyen coordinar con las autoridades de protección de datos, asesorar a la organización sobre los requisitos del RGPD y supervisar las EIPD.

El DPO debe ser un funcionario independiente que reporte directamente al nivel más alto de gestión. La organización no puede tomar represalias contra el DPO por el desempeño de sus funciones.

La organización notifica a las autoridades supervisoras y a los interesados ​​cuando se producen violaciones de datos.

Las organizaciones deben informar la mayoría violaciones de datos personales a la autoridad de control correspondiente en un plazo de 72 horas. Si la violación supone un riesgo para los interesados, la organización también debe notificarlos. Las organizaciones deben notificar a los sujetos directamente a menos que la comunicación directa no sea razonable, en cuyo caso un aviso público es aceptable.

Los encargados del tratamiento que sufran un incumplimiento deberán notificarlo a los responsables del tratamiento pertinentes sin demora indebida.

Si está ubicada fuera del EEE, la organización ha designado un representante en el EEE.

Cualquier empresa fuera del EEE que procese regularmente datos de residentes del EEE o procese datos especialmente sensibles debe nombrar un representante dentro del EEE. El representante coordina con las autoridades gubernamentales en nombre de la empresa y actúa como punto de contacto para asuntos de cumplimiento del RGPD.

Transferencias de datos e intercambio de datos.

El RGPD establece reglas sobre cómo las organizaciones comparten datos personales con otras empresas dentro y fuera del EEE.

La organización utiliza acuerdos formales de procesamiento de datos para regular las relaciones con los procesadores.

Un controlador puede compartir datos personales con procesadores y otros terceros, pero estas relaciones deben regirse por acuerdos formales de procesamiento de datos. Estos acuerdos deben describir los derechos y responsabilidades de todas las partes con respecto al RGPD.

Los procesadores externos solo pueden procesar datos de acuerdo con las instrucciones del controlador. No pueden utilizar los datos de un responsable del tratamiento para sus propios fines. Un procesador debe obtener la aprobación del controlador antes de compartir datos con un subprocesador.

La organización solo realiza transferencias de datos aprobadas fuera del EEE.

Un controlador solo puede compartir datos con un tercero ubicado fuera del EEE si la transferencia de datos cumple al menos uno de los siguientes criterios:

• La Comisión Europea ha considerado adecuadas las leyes de privacidad de datos del país donde se encuentra el tercero.
• La Comisión Europea ha considerado que el tercero tiene políticas y controles de protección de datos adecuados.
• El responsable del tratamiento ha adoptado todas las medidas necesarias para garantizar la seguridad y privacidad de los datos transferidos.

Explora las soluciones de cumplimiento del RGPD

El cumplimiento del RGPD es un proceso continuo y los requisitos de una organización pueden cambiar a medida que recopila nuevos datos y participa en nuevos tipos de actividades de procesamiento.

Las soluciones de cumplimiento y seguridad de datos como IBM Security® Guardium® pueden ayudar a agilizar el proceso de alcanzar y mantener el cumplimiento del RGPD. Guardium puede descubrir automáticamente datos regulados por GDPR, hacer cumplir reglas de cumplimiento para esos datos, monitorear el uso de datos y capacitar a las organizaciones para responder a las amenazas a la seguridad de los datos.

Obtenga más información sobre el conjunto de productos de cumplimiento y seguridad de datos de IBM.