Serie A LITTLE BEE BOOK

“Cómo funciona”
GDPR
 Serie A LITTLE BEE BOOK
Este libro pertenece a:
“Cómo funciona”
GDPR
Adaptación de varias fuentes, por Bob
Yelland

Nota: Los clientes son responsables de garantizar el cumplimiento de las leyes y

normativas aplicables, incluyendo el Reglamento General de Protección de Datos de
la Unión Europea. Los clientes son los únicos responsables de obtener
asesoramiento legal competente a fin de identificar e interpretar cualquier ley y
normativa que pudiera afectar a su negocio, así como cualquier medida que debieran
tomar para cumplir con dichas leyes y normativas. Los productos, servicios y otras
funcionalidades descritas en este documento no son los indicados para todas las
situaciones del cliente y podrían estar sujetas a disponibilidad. IBM no proporciona
asesoramiento legal, de contabilidad ni de auditoría, ni declara ni garantiza que sus
servicios o productos son garantía de que los clientes cumplen con las leyes o
normativas vigentes.

Para obtener más información, visite ibm.com/es-es/GDPR

Para obtener más copias de este libro o leer otros libros de la serie, visite:
littlebeelibrary.com
 Tras cuatro años de debate, la Unión Europea
aprobó el Reglamento General de Protección de
Datos (General Data Protection Regulation -
GDPR) en abril de 2016. El GDPR está ya en vigor,
si bien no será de aplicación hasta el 25 de mayo
de 2018, fecha en la que se espera su pleno
cumplimiento por parte de las empresas.
El GDPR está diseñado para otorgar mayor control a
las personas sobre sus datos personales y
establecer unas reglas comunes en toda Europa de
protección de los mismos. Las empresas fuera de la
UE estarán sujetas a esta normativa cuando lleven a
cabo actividades de tratamiento de datos
personales de individuos que residan en la UE en
relación con la oferta de bienes o servicios a los
mismos o con el control de su comportamiento (en la
medida en que este tenga lugar en la UE).
El 50% de las compañías internacionales1 afirman
que será complejo aplicar estas reglas, a menos que
implementen cambios significativos en su forma de
operar, lo que puede conducir a la designación de un
Delegado de Protección de Datos (DPO).
4
 Los datos personales se definen como
toda información relacionada con una persona
física identificada o identificable (el “interesado”).
Esto incluye identificadores online, como direcciones
IP e información recogida por cookies, si pueden
vincularse con el interesado.
Asimismo incluye cualquier otra información que
directa o indirectamente permita determinar la
identidad de un interesado, como por ejemplo
elementos propios de la identidad física, fisiológica,
genética, psíquica, económica, cultural o social.
No existe ninguna distinción entre los datos
personales de un interesado que pudieran
corresponder a distintos ámbitos (privado, público o
laboral), estando todos ellos cubiertos por este
reglamento.

6
 Se producirá un incremento sustancial de las
sanciones para aquellas organizaciones que no
cumplan con este nuevo reglamento.

Dichas sanciones pueden alcanzar los diez millones

de euros, o un dos por ciento de la facturación
global anual del ejercicio financiero anterior, en
caso de infracciones en materia de, entre otros
aspectos, medidas técnicas y organizativas para la
protección de datos, mantenimiento de registros,
notificación de violaciones de seguridad de los
datos personales y obligaciones de evaluación de
impacto relativa a la protección de los mismos.

Estas sanciones podrían duplicarse a veinte millones

de euros o un cuatro por ciento de la facturación por
infracciones relacionadas con la licitud del
tratamiento, la falta del adecuado consentimiento,
los derechos de los interesados y la transferencia de
datos personales a un tercer país (fuera de la UE).

8
 Las empresas deberán “implementar las medidas
organizativas y técnicas adecuadas teniendo en
cuenta la naturaleza, el alcance, el contexto y los fines
del tratamiento de datos personales, así como los
riesgos de diversa probabilidad y gravedad para los
derechos y libertades de las personas físicas”. Las
garantías de la protección de datos deben integrarse
en los productos y servicios desde las primeras
etapas del desarrollo.

Dichas medidas, pueden incluir, entre otras:

• Seudonimización y/o cifrado de datos personales
• Capacidad de garantizar la confidencialidad, la
integridad, la disponibilidad y la resiliencia de los
sistemas de forma continua
• Capacidad de restaurar la disponibilidad y el
acceso a los datos de forma puntual tras un
incidente técnico o físico
• Introducción de un proceso para realizar pruebas
y evaluar la efectividad de estos sistemas
periódicamente

10
 Un aspecto clave del reglamento reside en requerir
el consentimiento de la persona cuyos datos son
tratados.
El consentimiento significa “toda manifestación de
voluntad libre específica, informada e inequívoca
por la que el interesado acepta, ya sea mediante
una declaración o una clara acción afirmativa, el
tratamiento de sus datos personales”.

Las empresas deberán poder mostrar cómo y

cuándo han obtenido el consentimiento.

Adicionalmente, los datos obtenidos deben tener

una finalidad específica, explícita y legítima.

Las personas deberán poder retirar su

consentimiento en cualquier momento.

12
 Cuando una empresa obtiene datos de una
persona, estos son algunos de los aspectos de los
que se debe informar claramente al interesado:

• Los detalles de contacto e identidad de la

organización que solicita los datos
• La finalidad del tratamiento de los datos y la base
jurídica de dicho tratamiento
• Si los datos se transferirán a un tercer país y la
existencia o ausencia de las garantías adecuadas
• El periodo durante el cual se conservarán los
datos
• El derecho del interesado a acceder, rectificar, y
suprimir sus datos personales, a limitar y
oponerse al tratamiento de los mismos, y el
derecho a la portabilidad de sus datos
• El derecho del interesado a retirar el
consentimiento en cualquier momento
• El derecho del interesado a presentar una
reclamación ante una autoridad de control

14
 El reglamento exige que los interesados dispongan
de acceso completo a la información sobre cómo se
procesan sus datos. Dicha información deberá
presentarse de forma clara y comprensible.

Los interesados pueden realizar solicitudes, que

deberán ejecutarse “sin dilación y a más tardar en el
plazo de un mes desde la recepción de la solicitud”.

En caso de que las solicitudes de acceso a los datos

sean manifiestamente infundadas o excesivas, las
empresas podrán cobrar un canon razonable por
proporcionar la información.

Por otro lado, los interesados tienen derecho a

obtener la supresión de sus datos personales
(derecho al olvido), si los mismos ya no son de
utilidad para los fines por los que fueron recogidos,
y deben eliminarse.

16
 Las empresas deberán notificar las violaciones de
seguridad que ocasionen la destrucción, pérdida, o
la alteración accidental o ilícita de datos personales
transmitidos, conservados o tratados de otra forma,
o la comunicación o acceso no autorizados a
dichos datos.
En caso de una violación de seguridad, las
empresas deberán notificarla a la autoridad
supervisora competente sin dilación indebida y, de
ser posible, en las 72 horas posteriores a que se
haya tenido constancia de ella, a menos que sea
improbable que constituya un riesgo para los
derechos y las libertades de los interesados.

El 26 de enero de 2017, la Agencia Española de

Protección de Datos publico la Guía del Reglamento
General de Protección de Datos para Responsables
de Tratamiento2, que incluye una lista de verificación
que pretende ayudar a las organizaciones a llevar a
cabo una valoración de su situación frente a las
principales obligaciones del GDPR.

18
 Algunas de las recomendaciones clave de esta lista:
1. Legitimación: ¿Tiene establecida claramente cuál
es la base legal de los tratamientos que realiza y ha
documentado de alguna forma el modo en que la ha
establecido?
2. Información y derechos: La información que se
proporciona a los interesados, ¿contiene todos los
elementos que prevé el RGPD? ¿Tiene establecidos
procedimientos que le permitan responder a los
ejercicios de derechos en los plazos previstos por el
RGPD?
3. Medidas de responsabilidad proactiva: ¿Ha hecho
una valoración de los riesgos que los tratamientos
que desarrolla implican para los derechos y
libertades de los ciudadanos? ¿Ha determinado qué
medidas de responsabilidad activa corresponden a
su situación de riesgo y cómo debe aplicarlas? ¿Ha
revisado las medidas de seguridad que aplica a sus
tratamientos a la luz de los resultados del análisis de
riesgo de los mismos? ¿Ha valorado si los
tratamientos que realiza requieren una Evaluación
de Impacto sobre la Protección de Datos porque
supongan un alto riesgo para los derechos y
libertades de los interesados?

20
 IBM ofrece un enfoque completo para prepararse
para el cumplimiento del GDPR con soluciones y
servicios, desde la evaluación hasta su
implementación completa. Nuestro enfoque cubre
todas las actividades necesarias para dar soporte
al GDPR en cinco dominios: gobierno de GDPR,
comunicación y formación de los empleados,
procesos, datos y seguridad.
IBM Information Lifecycle Governance
proporciona información sobre todos los datos
personales y las herramientas y metodología para
sindicar, instrumentar y aplicar políticas. IBM
Security proporciona defensas de redes internas
y externas de forma amplia e inteligente,
respuesta ante incidentes y restricciones de
seguridad. Nuestro Centro de interacción con el
ciudadano juega un papel clave para ayudar a
cumplir los derechos del GDPR de los
ciudadanos, y nuestra solución Optim aporta el
método, las herramientas y la tecnología
innovadora para controlar y desensibilizar los
datos personales.
Prepárese para el GDPR con IBM.

22
 Fuentes:
(1) Preparing for the EU GDPR: What You Need To Know: James Walker. SC Media. 4 de marzo de 2016.
www.scmagazineuk.com/preparing-for-the-eu-gdpr-what-you-need-to-know/article/531492/
(2) Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento. 26 de enero de 2017
www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/guia_rgpd.pdf

© Copyright IBM Corporation 2017. Reservados todos los derechos.

IBM, el logotipo de IBM e ibm.com son marcas registradas de International Business
Machines Corporation en los Estados Unidos y/o en otros países. Los demás nombres
de productos, compañías o servicios pueden ser marcas comerciales o marcas de
24 servicio de otros.