Documentos de Académico
Documentos de Profesional
Documentos de Cultura
“Cómo funciona”
GDPR
Serie A LITTLE BEE BOOK
Este libro pertenece a:
“Cómo funciona”
GDPR
Adaptación de varias fuentes, por Bob
Yelland
Para obtener más copias de este libro o leer otros libros de la serie, visite:
littlebeelibrary.com
Tras cuatro años de debate, la Unión Europea
aprobó el Reglamento General de Protección de
Datos (General Data Protection Regulation -
GDPR) en abril de 2016. El GDPR está ya en vigor,
si bien no será de aplicación hasta el 25 de mayo
de 2018, fecha en la que se espera su pleno
cumplimiento por parte de las empresas.
El GDPR está diseñado para otorgar mayor control a
las personas sobre sus datos personales y
establecer unas reglas comunes en toda Europa de
protección de los mismos. Las empresas fuera de la
UE estarán sujetas a esta normativa cuando lleven a
cabo actividades de tratamiento de datos
personales de individuos que residan en la UE en
relación con la oferta de bienes o servicios a los
mismos o con el control de su comportamiento (en la
medida en que este tenga lugar en la UE).
El 50% de las compañías internacionales1 afirman
que será complejo aplicar estas reglas, a menos que
implementen cambios significativos en su forma de
operar, lo que puede conducir a la designación de un
Delegado de Protección de Datos (DPO).
4
Los datos personales se definen como
toda información relacionada con una persona
física identificada o identificable (el “interesado”).
Esto incluye identificadores online, como direcciones
IP e información recogida por cookies, si pueden
vincularse con el interesado.
Asimismo incluye cualquier otra información que
directa o indirectamente permita determinar la
identidad de un interesado, como por ejemplo
elementos propios de la identidad física, fisiológica,
genética, psíquica, económica, cultural o social.
No existe ninguna distinción entre los datos
personales de un interesado que pudieran
corresponder a distintos ámbitos (privado, público o
laboral), estando todos ellos cubiertos por este
reglamento.
6
Se producirá un incremento sustancial de las
sanciones para aquellas organizaciones que no
cumplan con este nuevo reglamento.
8
Las empresas deberán “implementar las medidas
organizativas y técnicas adecuadas teniendo en
cuenta la naturaleza, el alcance, el contexto y los fines
del tratamiento de datos personales, así como los
riesgos de diversa probabilidad y gravedad para los
derechos y libertades de las personas físicas”. Las
garantías de la protección de datos deben integrarse
en los productos y servicios desde las primeras
etapas del desarrollo.
10
Un aspecto clave del reglamento reside en requerir
el consentimiento de la persona cuyos datos son
tratados.
El consentimiento significa “toda manifestación de
voluntad libre específica, informada e inequívoca
por la que el interesado acepta, ya sea mediante
una declaración o una clara acción afirmativa, el
tratamiento de sus datos personales”.
12
Cuando una empresa obtiene datos de una
persona, estos son algunos de los aspectos de los
que se debe informar claramente al interesado:
14
El reglamento exige que los interesados dispongan
de acceso completo a la información sobre cómo se
procesan sus datos. Dicha información deberá
presentarse de forma clara y comprensible.
16
Las empresas deberán notificar las violaciones de
seguridad que ocasionen la destrucción, pérdida, o
la alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma,
o la comunicación o acceso no autorizados a
dichos datos.
En caso de una violación de seguridad, las
empresas deberán notificarla a la autoridad
supervisora competente sin dilación indebida y, de
ser posible, en las 72 horas posteriores a que se
haya tenido constancia de ella, a menos que sea
improbable que constituya un riesgo para los
derechos y las libertades de los interesados.
18
Algunas de las recomendaciones clave de esta lista:
1. Legitimación: ¿Tiene establecida claramente cuál
es la base legal de los tratamientos que realiza y ha
documentado de alguna forma el modo en que la ha
establecido?
2. Información y derechos: La información que se
proporciona a los interesados, ¿contiene todos los
elementos que prevé el RGPD? ¿Tiene establecidos
procedimientos que le permitan responder a los
ejercicios de derechos en los plazos previstos por el
RGPD?
3. Medidas de responsabilidad proactiva: ¿Ha hecho
una valoración de los riesgos que los tratamientos
que desarrolla implican para los derechos y
libertades de los ciudadanos? ¿Ha determinado qué
medidas de responsabilidad activa corresponden a
su situación de riesgo y cómo debe aplicarlas? ¿Ha
revisado las medidas de seguridad que aplica a sus
tratamientos a la luz de los resultados del análisis de
riesgo de los mismos? ¿Ha valorado si los
tratamientos que realiza requieren una Evaluación
de Impacto sobre la Protección de Datos porque
supongan un alto riesgo para los derechos y
libertades de los interesados?
20
IBM ofrece un enfoque completo para prepararse
para el cumplimiento del GDPR con soluciones y
servicios, desde la evaluación hasta su
implementación completa. Nuestro enfoque cubre
todas las actividades necesarias para dar soporte
al GDPR en cinco dominios: gobierno de GDPR,
comunicación y formación de los empleados,
procesos, datos y seguridad.
IBM Information Lifecycle Governance
proporciona información sobre todos los datos
personales y las herramientas y metodología para
sindicar, instrumentar y aplicar políticas. IBM
Security proporciona defensas de redes internas
y externas de forma amplia e inteligente,
respuesta ante incidentes y restricciones de
seguridad. Nuestro Centro de interacción con el
ciudadano juega un papel clave para ayudar a
cumplir los derechos del GDPR de los
ciudadanos, y nuestra solución Optim aporta el
método, las herramientas y la tecnología
innovadora para controlar y desensibilizar los
datos personales.
Prepárese para el GDPR con IBM.
22
Fuentes:
(1) Preparing for the EU GDPR: What You Need To Know: James Walker. SC Media. 4 de marzo de 2016.
www.scmagazineuk.com/preparing-for-the-eu-gdpr-what-you-need-to-know/article/531492/
(2) Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento. 26 de enero de 2017
www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf