Cumplimiento del RGPD

Glossary category

Cumplimiento del RGPD

¿Qué es el cumplimiento del RGPD?

El cumplimiento del RGPD consiste en alinear las prácticas de una organización en materia de datos personales con el Reglamento (UE) 2016/679, conocido como Reglamento General de Protección de Datos, y, cuando proceda, con las normas nacionales relacionadas, incluido el marco polaco de protección de datos y la práctica del Presidente de la Oficina de Protección de Datos Personales. En la práctica, no se limita a contar con una política de privacidad o a obtener el consentimiento. Requiere un enfoque estructurado para recopilar, utilizar, conservar, compartir y suprimir datos personales de forma lícita, transparente y segura.

Una organización cumple con el RGPD cuando puede demostrar que los datos personales se tratan sobre una base jurídica válida, para fines específicos, de manera proporcional y con las garantías adecuadas. El cumplimiento también incluye permitir que los interesados ejerzan sus derechos, como el derecho de acceso, rectificación, supresión, limitación del tratamiento, oposición y portabilidad de los datos, cuando resulte aplicable. El RGPD se basa en el principio de responsabilidad proactiva, lo que significa que no basta con cumplir las normas en la práctica: la organización también debe poder probarlo.

El cumplimiento del RGPD se aplica a una amplia variedad de entidades, incluidas empresas, empleadores, proveedores de servicios en línea, negocios de comercio electrónico, entidades sanitarias, instituciones financieras y organismos públicos. También puede aplicarse a organizaciones situadas fuera de la UE si ofrecen bienes o servicios a personas en la UE o supervisan su comportamiento. Según las circunstancias, una entidad puede actuar como responsable del tratamiento, encargado del tratamiento o ambas cosas en distintas operaciones de tratamiento, lo que afecta directamente al alcance de sus obligaciones.

¿Qué implica el cumplimiento del RGPD?

El cumplimiento del RGPD suele comenzar con la identificación de qué datos personales se tratan, con qué finalidad, sobre qué base jurídica, durante cuánto tiempo y con quién se comparten. Esto a menudo exige mapear los flujos de datos entre departamentos, sistemas, proveedores de servicios y entidades del grupo. Una evaluación adecuada también debe determinar si la organización trata únicamente datos personales ordinarios o también categorías especiales de datos, datos relativos a condenas e infracciones penales, datos de empleados o datos de menores, lo que puede activar requisitos adicionales.

Desde un punto de vista práctico, el cumplimiento del RGPD suele incluir la elaboración o actualización de avisos de privacidad, normas de conservación, procedimientos internos, registros de actividades de tratamiento, contratos con encargados del tratamiento, marcos de autorización y procesos de respuesta ante incidentes. También puede requerir la revisión de documentación de recursos humanos, procesos de selección, sitios web, cookies, prácticas de marketing directo, canales de denuncia, videovigilancia, gestión de accesos informáticos y transferencias internacionales de datos. En algunos casos, debe realizarse una evaluación de impacto relativa a la protección de datos antes de iniciar tratamientos de mayor riesgo.

La seguridad es otro elemento clave. El RGPD no impone un conjunto universal de medidas técnicas, sino que exige una seguridad adecuada al riesgo. Esto puede incluir controles de acceso, cifrado, procedimientos de copia de seguridad, registros de actividad, autenticación multifactor, seudonimización, diligencia debida de proveedores y formación del personal. Cuando se produce una brecha de seguridad de los datos personales, el responsable del tratamiento puede tener que notificarla a la autoridad de control sin dilación indebida y, cuando sea posible, en un plazo de 72 horas desde que haya tenido constancia de ella, salvo que sea improbable que dicha brecha constituya un riesgo para los derechos y libertades de las personas físicas. Este plazo procede directamente del artículo 33.1 del RGPD.

También existen áreas en las que la interpretación puede diferir en la práctica. Esto afecta, por ejemplo, a la distinción entre las funciones de responsable y encargado del tratamiento, a la base jurídica correcta para determinadas operaciones de recursos humanos o marketing, o a las condiciones para las transferencias internacionales de datos. En estas cuestiones, deben analizarse conjuntamente el texto del RGPD, la jurisprudencia del Tribunal de Justicia de la Unión Europea, las directrices del Comité Europeo de Protección de Datos y la práctica de la autoridad de control local.

¿Cuándo conviene buscar asesoramiento legal sobre el cumplimiento del RGPD?

El asesoramiento legal resulta especialmente útil cuando una organización está implementando los requisitos del RGPD por primera vez, se expande a nuevos mercados, introduce nuevas tecnologías o responde a un incidente. También se recomienda en relación con auditorías, inspecciones, reclamaciones de particulares, negociaciones con proveedores, acuerdos de intercambio de datos, externalización, investigaciones internas, fusiones, adquisiciones y reorganizaciones de grupos empresariales. En estas situaciones, las cuestiones de protección de datos suelen cruzarse con el derecho laboral, el derecho mercantil, el gobierno corporativo, la seguridad informática y la regulación sectorial.

Las personas físicas también pueden necesitar asesoramiento legal cuando sus datos personales se han divulgado ilícitamente, utilizado sin una base válida, conservado durante demasiado tiempo o tratado de una forma que afecta a su privacidad o reputación. Las empresas, por su parte, suelen solicitar asesoramiento cuando necesitan evaluar riesgos, formalizar su documentación, responder a solicitudes de los interesados o verificar si sus prácticas existentes son defendibles ante una posible revisión regulatoria.

Una consulta temprana con un abogado puede ayudar a prevenir errores evitables, disputas, responsabilidades y pérdidas económicas. Conforme al artículo 83 del RGPD, las multas administrativas pueden alcanzar hasta 20 millones de euros o, en el caso de una empresa, hasta el 4% del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la cuantía más elevada. No toda infracción conlleva una multa en el nivel máximo, y las autoridades de control evalúan múltiples factores antes de imponer sanciones. Aun así, una actuación regulatoria, la interrupción del negocio, la exposición contractual y el daño reputacional pueden generar un riesgo significativo mucho antes de que se dicte una decisión definitiva.

La asistencia legal en materia de cumplimiento del RGPD puede incluir, en particular:

  • auditorías RGPD y evaluaciones de brechas de cumplimiento,
  • elaboración y revisión de avisos de privacidad, políticas y procedimientos internos,
  • registros de actividades de tratamiento y marcos de conservación de datos,
  • contratos de tratamiento de datos y apoyo en el cumplimiento de proveedores,
  • evaluación de bases jurídicas para el tratamiento y las actividades de marketing,
  • asistencia en solicitudes de ejercicio de derechos de los interesados,
  • respuesta ante brechas de seguridad de datos personales y análisis de notificación,
  • evaluaciones de impacto relativas a la protección de datos,
  • análisis de transferencias internacionales de datos,
  • representación en procedimientos ante la autoridad de control y apoyo en disputas relacionadas con datos personales.

¿Necesita apoyo con el cumplimiento del RGPD? Póngase en contacto con nosotros.

Véase también

  • Derecho mercantil
  • Contrato de trabajo
  • Derechos del consumidor
  • Información financiera