Definition

Regulación General de Protección de Datos (GDPR)

La Regulación General de Protección de Datos (GDPR) es una legislación que actualizará y unificará las leyes de privacidad de datos en toda la Unión Europea (UE). GDPR fue aprobada por el Parlamento de la UE el 14 de abril de 2016 y entró en vigor el 25 de mayo de 2018.

La GDPR reemplaza a la Directiva de Protección de Datos de la UE de 1995. La nueva directiva se centra en mantener las empresas más transparentes y ampliar los derechos de privacidad de los interesados. Cuando se detecta una violación grave de datos, este reglamento general de protección de datos exige a la empresa que notifiquen a todas las personas afectadas y a la autoridad supervisora dentro de las 72 horas siguientes. Los mandatos del Reglamento se aplican a todos los datos producidos por ciudadanos de la UE, independientemente de que la empresa que recopile los datos en cuestión se encuentre o no en la UE, así como todas las personas cuyos datos se almacenan en la UE, independientemente de que sean o no en realidad ciudadanos de la UE.

Bajo la GDPR, las compañías no pueden procesar legalmente la información de identificación personal de ninguna persona sin cumplir al menos una de las seis condiciones.

  1. Expresar el consentimiento del sujeto de los datos.
  2. El procesamiento es necesario para la ejecución de un contrato con el interesado o para tomar medidas para celebrar un contrato.
  3. El procesamiento es necesario para cumplir con una obligación legal.
  4. El procesamiento es necesario para proteger los intereses vitales de un interesado u otra persona.
  5. El procesamiento es necesario para la realización de una tarea llevada a cabo en interés público o en el ejercicio de la autoridad oficial conferida al controlador.
  6. El procesamiento es necesario para los fines de los intereses legítimos perseguidos por el controlador o un tercero, excepto cuando dichos intereses sean anulados por los intereses, derechos o libertades del interesado.

Además, las empresas que llevan a cabo el procesamiento de datos o supervisan a los interesados a gran escala deben designar a un oficial de protección de datos (DPO). El DPO es la figura responsable del gobierno de los datos y de garantizar que la compañía cumpla con la GDRP. Si una empresa no cumple con la GDPR cuando el reglamento entre en vigencia, las consecuencias legales pueden incluir multas de hasta 20 millones de euros o el 4 por ciento de la facturación global anual de la empresa.

Conforme a la regulación general de protección de datos, los derechos de los interesados incluyen:

Derecho a ser olvidado: los interesados pueden solicitar el borrado de sus datos de identificación personal del almacenamiento de una empresa. La empresa tiene derecho a rechazar solicitudes si pueden demostrar con éxito la base legal de su rechazo.

Derecho de acceso: los interesados pueden revisar los datos que una organización ha almacenado sobre ellos.

Derecho a oponerse: los sujetos de datos pueden rechazar el permiso de una empresa para usar o procesar los datos personales del sujeto. La empresa puede ignorar el rechazo si puede cumplir una de las condiciones legales para procesar los datos personales del sujeto, pero debe notificar al sujeto y explicar su razonamiento para hacerlo.

Derecho a rectificación: los sujetos de datos pueden esperar que se corrija la información personal inexacta.

Derecho de portabilidad: los sujetos de datos pueden acceder a los datos personales que una empresa tiene sobre ellos y transferirlos.

Algunos críticos han expresado su preocupación por el próximo retiro del Reino Unido de la UE y se preguntan si esto afectará el cumplimiento del país con la GDPR. Al momento de escribir esto, se espera que el Reino Unido actualice la Ley de Protección de Datos de 1998 con una nueva ley llamada Ley de Protección de Datos 2017. Sin embargo, debido a que las empresas en el Reino Unido a menudo hacen negocios con clientes u otras organizaciones en los estados miembros de la UE, se espera que las empresas en el Reino Unido todavía tengan que cumplir con el reglamento general de protección de datos, ya sea directamente o mediante una "prueba de idoneidad" aceptable para las autoridades europeas.

Este contenido se actualizó por última vez en mayo 2018

Próximos pasos

¿De qué se trata la GDPR europea?

Investigue más sobre Auditoría y cumplimiento