El Reglamento General de Protección de Datos, o RGPD, es una ley de la Unión Europea (UE) que rige la forma en que las organizaciones dentro y fuera de la UE manejan los datos personales de los residentes de la UE. El RGPD fue adoptado por el Parlamento Europeo y el Consejo de la UE en 2016 y entró en vigor el 25 de mayo de 2018.
Específicamente, el RGPD
- define formas legalmente aprobadas de transferir y procesar datos personales;
- detalla cómo las organizaciones deben proteger los datos personales en reposo y en tránsito; y
- establece los derechos de los residentes de la UE sobre la recopilación, el uso y la posesión de datos personales.
El RGPD define los datos personales como cualquier información relacionada con un ser humano identificable, incluidos los datos que identifican directa e indirectamente. Los datos de identificación directa son los puntos de datos únicos de una persona, como su nombre o número de tarjeta de crédito. Los datos de identificación indirecta incluyen rasgos no únicos que aún pueden identificar a una persona, como características físicas y fechas de nacimiento.
De acuerdo con la terminología del RGPD, un interesado es la persona de quien se trata un dato. Por ejemplo, si una empresa recopila direcciones de correo electrónico, los propietarios de esas direcciones serían los interesados.
Si bien el RGPD es una ley europea, tiene un alcance global. Se aplica a cualquier organización en cualquier lugar que recopile o utilice los datos personales de los residentes de la UE.
Para ayudar a las organizaciones a cumplir con los requisitos del RGPD, IBM está mejorando su compromiso continuo con la privacidad de datos desde el diseño. IBM está trabajando para integrar los principios de protección de datos de una manera todavía más amplia en sus procesos de negocio. Este trabajo también fortalece las medidas de seguridad existentes para limitar el acceso a los datos personales, incluidas las aplicaciones móviles que evitan el intercambio de datos personales de forma predeterminada.
Como parte de este esfuerzo, muchos productos y servicios de IBM® Cloud tienen la Certificación del Código de Conducta en materia de nube de la Unión Europea (EU Cloud CoC, por sus siglas en inglés) (enlace externo a ibm.com). Los requisitos del EU Cloud CoC proporcionan un marco para que los proveedores de servicios en la nube (PSC) demuestren su capacidad para cumplir con el RGPD. Para obtener más información sobre los productos y servicios específicos de IBM Cloud que obtuvieron la certificación EU Cloud CoC, visite nuestra página EU Cloud CoC o consulte nuestra Verificación de la Declaración de Adherencia (enlace externo a ibm.com).
Para obtener más información sobre seguridad y privacidad de IBM, visite el IBM Trust Center.
Para obtener más información sobre las Condiciones contractuales de privacidad de datos de IBM, puede consultarlos en Condiciones de IBM, en el rubro de Protección de datos.
Si tiene preguntas relacionadas con la privacidad de los datos, póngase en contacto directamente con el equipo de privacidad de IBM en chiefprivacyoffice@ca.ibm.com.
Las normas y principios de tratamiento de datos del RGPD se aplican a todos los responsables y encargados del tratamiento de datos activos en el EEE, que incluye los 27 estados miembros de la UE más Islandia, Liechtenstein y Noruega.
El responsable del tratamiento de datos (el responsable) es cualquier organización, autoridad pública u otro grupo o persona que recopile datos personales y determine cómo se utiliza. Por ejemplo, un sitio de redes sociales que mantiene bases de datos en sus usuarios sería un responsable del tratamiento de datos.
Un encargado del tratamiento de los datos (el encargado) es cualquier organización que actúa de alguna manera en los datos personales, como analizarlos, almacenarlos o modificarlos. Una empresa puede ser tanto un responsable como un encargado. Los encargados también pueden ser organizaciones de terceros que procesan datos en nombre de un responsable, como un proveedor de servicios en la nube que ofrece almacenamiento y analytics de datos.
Todos los responsables y encargados del tratamiento de datos con sede en el EEE están obligados por el RGPD, incluso si almacenan y tratan datos fuera del EEE.
Una empresa con sede fuera del EEE está sujeta al RGPD si se aplica alguna de las siguientes condiciones:
- La empresa ofrece regularmente bienes y servicios a los residentes del EEE, incluso si el dinero no cambia de manos.
- La empresa monitorea regularmente la actividad de los residentes del EEE, como el uso de cookies de seguimiento.
- La empresa realiza el tratamiento de datos en nombre de responsables con sede en el EEE.
Las únicas actividades de tratamiento de datos exentas del RGPD son la seguridad nacional o las actividades policiales y usos puramente personales de los datos.
El RGPD establece varios principios que los responsables y encargados del tratamiento de datos deben seguir en el manejo de datos personales. En términos generales, estos principios establecen que todas las actividades de tratamiento deben estar claramente definidas, ser transparentes y justas.
En virtud del principio de limitación de la finalidad, las empresas deben tener en mente un propósito específico y lícito para los datos que recopilan. Deben transmitir ese propósito a los usuarios y solo recopilar la cantidad mínima de datos necesarios para ese propósito.
Las empresas deben usar los datos de manera justa. Deben mantener informados a los usuarios sobre el tratamiento de datos personales y seguir las reglas de protección de datos. Bajo el principio de limitación de almacenamiento, una empresa solo debe conservar los datos personales hasta que se cumpla su propósito. Los datos deben eliminarse cuando ya no se necesiten.
El RGPD define las bases legales que las empresas pueden utilizar para tratar datos personales. Se debe cumplir al menos una de estas condiciones; de lo contrario, el tratamiento es ilegal.
El interesado acepta que se procesen sus datos. Las empresas pueden tratar los datos de una persona si dan su consentimiento. El consentimiento solo es válido si es informado, afirmativo y otorgado libremente.
Para que el consentimiento sea informado, la empresa debe explicar claramente lo que recopila y cómo utilizará esos datos. Para que el consentimiento sea afirmativo, el usuario debe realizar una acción intencionada para mostrar su consentimiento, como firmar una declaración o marcar una casilla. El consentimiento no puede ser la opción predeterminada, por lo que las casillas premarcadas infringen el RGPD. Para que el consentimiento se otorgue libremente, la empresa no puede influir ni coaccionar al interesado de ninguna manera. La empresa no puede requerir el consentimiento para usar un servicio a menos que el tratamiento sea necesario para que el servicio funcione. Por ejemplo, una empresa puede necesitar el número de tarjeta de crédito de una persona para venderle algo, pero probablemente no necesite su dirección IP.
La empresa no puede agrupar consentimientos si los datos se procesan para múltiples propósitos. El interesado debe poder aceptar o rechazar cada actividad de procesamiento individualmente. Las organizaciones deben mantener registros de consentimiento. Los interesados pueden retirar su consentimiento en cualquier momento. Si lo hacen, el tratamiento debe detenerse.
Debe hacerse el tratamiento de los datos para ejecutar un contrato con el interesado de los datos o en nombre del interesado. Por ejemplo, si alguien solicita un préstamo, es posible que el banco deba realizar el tratamiento de sus datos financieros e historial laboral.
El responsable del tratamiento tiene la obligación legal de realizar el tratamiento de los datos. Por ejemplo, algunas normativas en materia de atención médica exigen a los hospitales mantener archivados los datos de los pacientes.
Debe hacerse el tratamiento de los datos para proteger los intereses vitales del interesado o de otra persona. Esto se refiere a situaciones en las que debe hacerse el tratamiento de los datos para salvar la vida de una persona o evitar daños.
Los datos deben procesarse para llevar a cabo una tarea que sea de interés público o parte de la autoridad oficial del responsable. El periodismo es un ejemplo clásico de una razón de interés público para el procesamiento de datos personales. Las agencias gubernamentales pueden procesar datos personales para ejercer sus funciones oficiales.
Los datos deben tratarse para buscar un interés legítimo del responsable o de un tercero. Un interés legítimo es un beneficio que una empresa podría obtener a través del tratamiento de datos. Algunos ejemplos son la comprobación de los antecedentes de los empleados o el seguimiento de las direcciones IP en una red corporativa con fines de ciberseguridad. El tratamiento debe ser necesario para contar como un interés legítimo. Una empresa no puede alegar un interés legítimo si puede realizar la tarea sin los datos en cuestión. Los interesados también deben esperar razonablemente el tratamiento. Si los interesados se sorprenden al saber que sus datos se utilizan de una determinada manera, es probable que la empresa no tenga motivos de interés legítimo. Los derechos de los interesados generalmente prevalecen sobre los intereses legítimos de una empresa.
Las organizaciones deben establecer y documentar sus bases antes de recopilar datos. Deben comunicar estas bases a los usuarios. Las empresas no pueden cambiar sus bases a posteriori sin el consentimiento del interesado.
El RGPD considera que algunos tipos de datos son especialmente sensibles. Estas categorías especiales incluyen información sobre la raza o etnia de una persona, creencias religiosas, opiniones políticas y datos biométricos, entre otras cosas.
Las empresas solo pueden tratar datos de categorías especiales en circunstancias muy específicas. Estos incluyen, entre otros, los siguientes:
El interesado ha dado su consentimiento explícito.
El tratamiento es necesario para investigaciones científicas o históricas.
Los datos sobre condenas penales solo pueden ser controlados por las autoridades oficiales y tratados bajo su dirección.
Además de seguir los principios de tratamiento y establecer una base legal para todas las actividades de tratamiento, las organizaciones deben seguir algunas otras reglas para cumplir con el RGPD.
Si una empresa desea tratar datos de una manera que suponga un riesgo significativo para los interesados de los datos, primero debe realizar una evaluación de impacto en la protección de datos. Las situaciones que podrían desencadenar una evaluación pueden incluir cualquier tratamiento automatizado o cualquier tratamiento a gran escala de datos confidenciales.
La evaluación debe describir el tratamiento, explicar por qué es necesario, evaluar los riesgos y buscar formas de mitigarlos. Si la evaluación muestra que existe un riesgo no mitigado significativo, la empresa debe consultar con la autoridad de protección de datos pertinente antes de avanzar.
Conforme al RGPD, algunas empresas deben nombrar delegados de protección de datos (DPD). El DPD es un funcionario corporativo independiente a cargo del cumplimiento del RGPD. Las empresas no pueden tomar represalias contra un DPD por el desempeño de sus funciones.
Las responsabilidades del DPD incluyen asesorar a las organizaciones sobre el RGPD y otras leyes de protección de datos, supervisar las evaluaciones de impacto de la protección de datos y actuar como punto de contacto para los entes reguladores gubernamentales y los interesados.
Todas las autoridades públicas deben designar DPD. Las empresas privadas deben designar DPD si controlan a gran escala a los interesados o tratan datos de categoría especial como actividad principal. Además, las empresas fuera de Europa deben designar representantes dentro del EEE si procesan regularmente los datos de los residentes del EEE o datos particularmente confidenciales.
Los responsables del tratamiento son responsables de los datos que comparten con encargados del tratamiento y terceros. Los responsables y encargados del tratamiento suelen celebrar acuerdos formales de procesamiento de datos para cumplir con el RGPD. Estos contratos vinculantes describen detalles como los tipos de tratamiento que puede realizar un encargado y los tipos de medidas de seguridad que debe emplear.
Los encargados de terceros solo pueden procesar datos bajo la dirección del responsable. No pueden utilizar los datos de un responsable del tratamiento de datos para sus propios fines.
Los responsables del tratamiento en el EEE solo pueden transferir datos a encargados en los llamados "terceros países" fuera del EEE bajo determinadas condiciones. Pueden transferir libremente datos a cualquier tercer país que la Comisión Europea considere que tiene leyes adecuadas de privacidad de datos. Los responsables del tratamiento también pueden transferir datos a encargados del tratamiento individuales cuyas garantías la Comisión considere suficientes. Si ni el país ni el encargado del tratamiento tienen la aprobación de la Comisión, la transferencia aún puede permitirse si el responsable puede garantizar que los datos estarán protegidos.
Los responsables y encargados del tratamiento deben establecer medidas de seguridad tanto organizativas como técnicas para la protección de los datos personales.
Las medidas organizativas incluyen procesos como capacitar a los empleados sobre las reglas del RGPD e implementar políticas formales de gobernanza de datos.
Los controles de seguridad técnicos incluyen software, hardware y otras herramientas tecnológicas. Por ejemplo, el cifrado y otras técnicas de seudoaanimización pueden dificultar que los hackers intercepten datos personales. Por ejemplo:
- La gestión de identidad y acceso, prevención contra la pérdida de datos y otras herramientas de seguridad de datos pueden aplicar permisos para que solo las personas adecuadas puedan acceder a datos personales por los motivos correctos. Las soluciones de copia de seguridad de datos puedan restaurar datos dañados o eliminados.
- Las plataformas de gestión de eventos e información de seguridad (SIEM) pueden rastrear la actividad de la red y detectar filtraciones de datos o usos indebidos, lo que permite a las organizaciones responder a los incidentes con mayor rapidez.
- Si bien es posible que la mera presencia de vulnerabilidades de red no viole el RGPD, pueden conducir a infracciones al facilitar que los hackers accedan a los datos protegidos. Las soluciones de gestión de vulnerabilidades y gestión de la superficie de ataque pueden ayudar a las empresas a encontrar y cerrar estas vulnerabilidades.
El RGPD obliga a las empresas a adoptar el principio de protección de datos desde el diseño y de forma predeterminada. En otras palabras, las organizaciones deben hacer de la seguridad de los datos un factor clave en cada proceso, producto y sistema que diseñen o desplieguen. Los principios de protección de datos deben ser fundamentales en todo lo que hace la empresa, en lugar de añadirse a posteriori.
Los responsables del tratamiento de datos deben notificar la mayoría de las filtraciones de datos personales a una autoridad de control en un plazo de 72 horas. Si una filtración plantea riesgos para los interesados, como el robo monetario o de identidad, la empresa debe notificarlo a los interesados que fueron afectados.
Las notificaciones de filtración deben enviarse directamente a las víctimas. Un anuncio público no es suficiente a menos que la comunicación directa sea irrazonable. Las notificaciones deben incluir detalles sobre los tipos de datos robados, los riesgos para los interesados y cómo la empresa está abordando la situación. La notificación también debe indicar a los sujetos cómo comunicarse con el DPD u otro representante con inquietudes. La empresa no necesita notificar a los sujetos si es poco probable que una filtración suponga un riesgo real para ellos. Por ejemplo, no se requiere notificación si los datos robados están encriptados de forma segura y quedan inutilizables para los hackers.
El RGPD establece una serie de derechos para los interesados en su jurisdicción.
Los interesados tienen derecho a saber quién tiene sus datos, cómo los obtuvo y qué hace con ellos.
Los interesados de los datos tienen derecho a acceder a cualquiera de sus datos que tenga una empresa.
Los interesados de los datos tienen derecho a corregir datos personales inexactos o obsoletos.
A veces denominado "derecho al olvido", esto se refiere al derecho de un interesado de solicitar a las empresas que eliminen sus datos. Las empresas deben cumplir a menos que su interés en los datos (por ejemplo, una obligación legal de mantener ciertos registros) supere este derecho.
Si un interesado cree que sus datos son inexactos, se utilizan ilegalmente o ya no son necesarios para el propósito de la empresa, puede pedirle a la empresa que limite la forma en que se utilizan sus datos. La empresa debe cumplir a menos que pueda demostrar que tiene un interés excesivo en procesar los datos.
Los sujetos tienen derecho a transferir sus datos de una empresa a otra. Las empresas deben facilitar la transferencia de datos personales almacenando los datos en un formato compartible o enviándolos a un tercero a petición del interesado.
Los interesado de los datos pueden oponerse al procesamiento de sus datos en cualquier momento. La empresa debe dejar de procesar a menos que y hasta que pueda demostrar que tiene motivos legítimos para hacerlo.
El RGPD define la elaboración de perfiles como el uso del tratamiento automatizado para evaluar algún aspecto de una persona, como la predicción de su rendimiento laboral o su comportamiento de navegación web. Las empresas no pueden utilizar el tratamiento automatizado para tomar decisiones significativas sin el consentimiento de las personas afectadas. Los sujetos tienen derecho a impugnar las decisiones tomadas únicamente sobre la base del procesamiento automatizado. Pueden ofrecer información sobre la decisión y exigir que la empresa designe a un empleado humano para que revise la decisión.
El RGPD es aplicado por organismos reguladores públicos llamados autoridades de protección de datos (APD), también conocidas como autoridades de supervisión. Cada Estado miembro tiene su propia APD, que tiene jurisdicción sobre las empresas con sede en ese estado. Las autoridades supervisoras pueden auditar a las empresas, escuchar las quejas de los interesados e investigar las infracciones. Si una posible infracción afecta a interesados de varios Estados, la investigación la dirige la autoridad supervisora del Estado en el que tiene su sede la empresa o su representante.
En caso de incumplimiento, las autoridades supervisoras pueden expedir multas y obligar a las organizaciones a realizar cambios específicos. Pueden obligar a las empresas a cumplir con las solicitudes de los interesados de datos y poner fin a las actividades ilícitas de procesamiento de datos.
La Junta Europea de Protección de Datos (EDPB, por sus siglas en inglés) facilita la coordinación entre las APD y garantiza una aplicación constante de las reglas del RGPD en todo el EEE.
Las multas por incumplimiento pueden ser sustanciales. Las infracciones menores, como el procesamiento de los datos de un menor sin consentimiento de los padres, pueden resultar en multas de hasta EUR 10 000 000 o 2 % de los ingresos mundiales de la organización en el año anterior, lo que sea mayor.
Las infracciones importantes, como el procesamiento de datos para un propósito ilegal, pueden resultar en multas de hasta EUR 20 000 000 o 4 % de los ingresos mundiales de la organización en el año anterior, lo que sea mayor.
Proteja los datos críticos y simplifique los flujos de trabajo de cumplimiento. Guardium Insights fortalece la seguridad de los datos con capacidades sólidas que ayudan a descubrir datos ocultos, proteger la información confidencial, proporcionar visibilidad central en las nubes híbridas y automatizar la aplicación de políticas de cumplimiento.
Construya una infraestructura segura y escalable a un costo menor. Despliegue nuevas aplicaciones al instante y escale cargas de trabajo críticas y confidenciales en función de la demanda, todo dentro de una plataforma rica en seguridad.
Al comprender las causas y los factores que aumentan o reducen los costos de las filtraciones, usted estará mejor preparado para enfrentarlas. Aprenda de las experiencias de más de 550 organizaciones que se vieron afectadas por una filtración de datos.
La información de identificación personal (PII) es cualquier información que pueda usarse para descubrir la identidad de esa persona, como su número de seguro social, nombre completo o dirección de correo electrónico.
El proceso comienza con un marco de gobernanza de datos multimodal, sustentado por una sólida arquitectura de datos, como tejido de datos.