• Italiano
  • Deutsch
  • English
  • Français
  • Español
  • Português BR
  • Polski
  • Русский
Vaya al Contenido

RGPD: qué es, qué es lo que cambia, qué hacer


El RGPD es el nuevo reglamento europeo sobre la Privacidad que afectará a todos los ciudadanos y empresas europeas. ¿Ya está conforme? Descubra lo que tiene que hacer.
Estamos hablando de privacidad, estamos hablando del RGPD: un acrónimo cuyo significado es Reglamento General de Protección de Datos (GDPR, General Data Protection Regulation en inglés). Se trata de una normativa europea, el Reglamento UE 2016/679, emanada el 27 de abril de 2016 y que entra en vigor el 25 de mayo de 2018.

"¿Me afecta a mí? ¿Afecta solo a las grandes empresas, o también a las pequeñas? ¿Afecta a los autónomos? ¿Me afecta a mí, aunque solo tengo un blog?": seguramente se lo estará preguntando. El RGPD afecta a cualquier persona que haga tratamiento de datos personales: por lo tanto, si tiene una tienda electrónica, o si tiene un sitio web que guarda las direcciones de email para la newsletter, o también si por razones de atención al cliente le sucede tener que pedir el número de teléfono al cliente al que ayuda, este reglamento le afecta también a usted.

Con este post aprenderá a conocerlo más de cerca, a saber qué hacer y dónde encontrar las fuentes oficiales y útiles.
Hablaremos de:
¡Feliz lectura!

Antes de nada, entendamos el sentido del RGPD

Detrás de cada ley hay una razón de ser: los entendidos la llaman "ratio legis". Entender la ratio legis es útil para encuadrar en su justa perspectiva todos los cambios y mejoras que estará llamado a hacer... y le ayudará a tener menos dolores de cabeza.

El "estatuto de la economía de datos".

La "ratio legis", la razón de ser del RGPD, es en pocas palabras la siguiente: los datos son y serán cada vez más la "materia prima" de una nueva economía basada en el amplio uso de los datos y un elemento estratégico para la producción de productos y servicios innovadores. El RGPD es el estatuto de esta nueva economía. El objetivo del RGPD es romper las barreras jurídicas nacionales y crear un paquete de reglas compartido para el tratamiento de datos personales en territorio europeo, reglas que se aplican a cualquier persona que haga tratamiento de datos en Europa (también a los "gigantes americanos" como Google o Facebook).

De observancia formal a proceso empresarial.

Hasta el RGPD la privacidad era considerada a menudo como un elemento accesorio y un cumplimiento puramente formal ("para evitar la multa de la Agencia de Protección de Datos"). Con el RGPD, en cambio, la privacidad se convierte a todos los efectos en un proceso empresarial, integrado en el negocio de todas las empresas, de las grandes a las medianas, pequeñas y las microempresas.

Principio de minimización.

Los menos datos posibles, solo los datos útiles. No se pueden obtener datos que excedan aquellos por los que se pide el consentimiento explícito: el "nunca se sabe, puede volverse útil en un futuro" ya no es posible. Piense en ello cuando decida los campos de los formularios de contacto y cualquier otro punto en el que quien navega en su sitio web deje datos.

Privacidad desde el diseño.

La protección de los datos personales debe estar garantizada desde el diseño de las actividades empresariales y durante todo el ciclo de vida de la gestión de los datos.

Privacidad por defecto.

La privacidad se convierte en requisito no accesorio sino justamente "por defecto" en el tratamiento de los datos. Por ello se hará necesario contemplar una serie de medidas técnicas para la protección de los datos, como la anonimización, proceso por el que se impide vincular los datos tratados a una persona concreta.

En concreto, ¿qué hay que hacer para cumplir con el RGPD?

Una vez concretada la premisa conceptual, estos son en resumen los principales cambios que el RGPD trae respecto a la manera actual con la que usted gestiona los datos personales de clientes y prospectos.

Nota informativa sobre el tratamiento de datos breve, clara y comprensible.

También la nota informativa deja de ser un cumplimiento formal: su objetivo es hacer consciente al interesado sobre qué datos serán tratados, y en general de qué se trata. Para ello la nota informativa debe ser breve, transparente, siempre accesible y comprensible para todo el mundo, también para los menores de edad. El lenguaje debe ser claro y eficaz, se puede informar al interesado también por voz (pero solo si lo requiere explícitamente y si su identidad está verificada) y se pueden proporcionar las informaciones de forma gradual, una cada vez (nota informatica por capas). Además del texto escrito, se pueden usar iconos estándar para aumentar la comprensibilidad.

Conformidad: sí al ser consciente.

La conformidad debe ser positiva e inequívoca: ya no puede existir una conformidad tácita o pasiva. Además, la conformidad debe ser específica para cada finalidad del tratamiento de datos: si obtiene datos - por ejemplo nombre, apellidos y email - para hacer un presupuesto, este es el primer nivel de servicio para el que debe tener la conformidad. Si además - algo muy probable que suceda - estos datos irán a formar parte de la base de datos con la que piensa hacer acciones comerciales - por ejemplo informar a las personas de una promoción navideña - esto es ya un segundo nivel de tratamiento de datos, para el que debe tener un punto específico en la nota informativa.

Un ejemplo de acción positiva e inequívoca es aquella en la que el usuario continúa navegando tras haber visto el banner informativo sobre el empleo de cookies.

Gestionar los riesgos en la privacidad: nace la EIPD.

El RGPD introduce como obligatoria la redacción de una Evaluación de Impacto en la Proteccion de Datos (EIPD, cuyas siglas en inglés son DPIA, Data Protection Impact Assessment). Con el EIPD la gestión de la privacidad entra de lleno en la gestión empresarial y se cruza con la gestión de la seguridad, cuyos cimientos maestros son el concepto de riesgo y la gestión preventiva de los riesgos.

El proceso de gestión de riesgos en la privacidad, del que el EIPD es el documento de actuación, se desarrolla en 3 fases:
  • análisis de riesgos en la privacidad
  • redacción de la lista de puntos críticos en la gestión actual respecto a los riesgos (lista de grietas)
  • definición de un plan de intervención para reducir al mínimo los riesgos (plan de acción)

Qué hacer cuando "funciona mal": notificación de filtración de datos.

En el caso en el que se produzca una filtración de datos, es decir una grieta en la seguridad a causa de la cual los datos resultan perdidos, destruidos, modificados, divulgados o accesibles para personas no autorizadas, es obligatorio hacer inmediatamente una notificación de filtración de datos a la persona directamente interesada y a la Agencia de Protección de Datos antes de que transcurran 72 horas desde la filtración. La notificación debe contener ciertas informaciones como:
  • Nombre y datos de contacto del Delegado de Protección de Datos (DPO por sus siglan en inglés Data Protection Officer) o de la persona a la que pedir información
  • Descripción de la filtración
  • Descripción de las medidas adoptadas o que se adoptarán para remediar la grieta en la protección de datos y sus eventuales consecuencias para el interesado.

Ya no existe la notificación a la Agencia de Protección de Datos, pero existe el registro del tratamiento.

La obligación (válida para algunas empresas y algunos tipos de datos) de la información preventiva a la Agencia de Protección de Datos ha sido abolida y sustituida por un nuevo documento, el registro del tratamiento. Podemos considerarlo la "fase 2" de la gestión de la privacidad, consiguiente a la valoración de impacto y que se usa como herramienta de planificación interna. No es obligatorio para empresas con menos de 250 empleados, a menos que "el tratamiento que estas efectúan
  • pueda representar un riesgo para los derechos y libertades del interesado,
  • el tratamiento no sea ocasional
  • o incluya el tratamiento de categorías particulares de datos (N. del R.: los llamados datos sensibles),
  • o los datos personales relacionados con condenas penales y delitos (N. del R.: los llamados datos judiciales)."

También este documento debe contener toda una serie de datos: al final del post le sugerimos un servicio para crear el registro de los tratamientos de datos y gestionar su nota informativa sobre la privacidad.

Nace el DPO (Data Privacy Officer).

Aplicar el RGPD quiere decir no solo tener los documentos, sino también los roles empresariales apropiados. En esto el RGPD es muy claro: se mantienen las figuras que hasta hoy conocemos, es decir titular, responsable y encargado y a estas se añade el responsable del tratamiento de datos personales, es decir el Data Privacy Officer o DPO, una figura de auditor interno independiente, con competencias legales e informáticas, dotado de autonomía de gasto y poderes de decisión. Como en el caso del registro de los tratamientos de datos, no todo el mundo deberá tener un DPO, sino solo quienes tratan notables cantidades de datos personales de manera no ocasional, quienes tratan datos sensibles o judiciales, y los entes públicos.

¿Qué sucede a quien no respeta el RGPD?

Las violaciones son más bien consistentes: se puede llegar hasta el 4% de la facturación con un techo máximo de 20 millones de euros.

¿Qué hacer? Una lista de cosas por hacer para el RGPD en 5 puntos

Primero: tome la nota informativa de su sitio web y compruébela.

Verifique que contiene todos los elementos necesarios (más abajo, una herramienta que puede ayudarle a gestionarla). Después léala o haga que alguien la lea y pregunte: ¿se entiende? ¿Qué no está claro?

Segundo: haga un mapeado de todos los puntos en los que obtiene datos de los usuarios.

Formularios de contacto, formularios para la newsletter, página de registro, etc.; compruebe que cumplen con todo lo que acaba de leer.

Tercero: describa el modo en el que efectivamente trata los datos.

Empiece por el momento de la obtención y llegue hasta los modos de conservación. Para hacerlo, aqui tiene una serie de preguntas-guía:
  • ¿Qué herramienta o servicio usa para obtener direcciones de email? ¿Qué tipo de tratamiento de datos tienen? ¿Dónde acaban los datos una vez que los ha obtenido?
  • Una vez que ha obtenido los datos, ¿dónde se conservan todos los datos que trata? ¿En qué tipo de base de datos? ¿En qué servidor se apoya la base de datos? ¿El proveedor del servicio cumple con el RGPD? Y así sucesivamente.
  • ¿Quién se ocupa de analizar los datos (por ejemplo, o de extrapolar los emails con los que hacer promoción comercial)?

Cuarto: con todos estos datos, redacte la EIPD, el análisis de impacto de los riesgos.

En el sitio web de la Agencia Española de Protección de Datos encontrará una guía que le ayudará en la redacción. Si tiene dudas, consulte a un experto.

Quinto: revise, cambie, implemente.

Siempre con la ayuda de un experto, revise el texto de la nota informativa sobre la privacidad y todas las partes de su sitio web en donde recoge datos personales. Revise el proceso de tratamiento de datos y los proveedores de los servicios que usa. Valore con el experto si hay que cambiarlos. Valore con el experto si su caso se incluye en la lista del RGPD de aquellos en los que se debe tener un DPO y un registro del tratamiento. Y después, pase a la implementación.

Recursos útiles

Su primera fuente debe ser el sitio web de la Agencia Española de Protección de Datos, que ha puesto a disposición de empresas, autónomos y pequeñas empresas una una página especial con toda una serie de herramientas e informaciones.


Aquí encontrará una guía para la aplicación práctica del RGPD > Guía de la AGPD

Aquí encontrará una antología de los reglamentos de diferentes países europeos > The General Data Protection Regulation (GDPR)

Aquí puede encontrar la aplicación-guía para la redacción del EIPD ofrecido por el Gobierno francés, que está disponible en varios idiomas > Aplicación para la redacción del EIPD

Finalmente, el sitio web de la agencia de protección de datos inglesa, el ICO – Information Commissioner’s Office – tiene una serie de listas de control que le ayudarán a saber en qué punto está usted y qué debe hacer > Data protection self assessment

Un consejo más

¿Está buscando herramientas sencillas que le permitan documentar las actividades de tratamiento de datos, gestionar la privacidad interna y conservar la prueba del consentimiento? Pruebe las 2 nuevas soluciones Internal Privacy Management y Consent Solution propuestas por iubenda.
Para saber si su caso se incluye o no en la lista de casos contemplada por el RGPD, y en general para saber cómo cumplir con este, naturalmente es aconsejable y diríamos que es hasta necesario dirigirse a un experto en temas de privacidad. Este post sirve como síntesis para estar informado y consciente, además de proponer preguntas específicas y claras al experto con el que usted contacte
Pruebe ahora gratis y sin límites de tiempo

Permanezca informado
Copyright © 2018 Incomedia s.r.l. Todos los derechos reservados. NIF-IVA IT07514640015. Condiciones de uso y Política de Privacidad de Incomedia.
Regreso al contenido