Saltar a la página principal de contenidos

El Reglamento General de Protección de Datos de la Unión Europea (GDPR)

El GDPR es posiblemente el estándar más completo para protección de datos. Esta regulación es un reto para organizaciones de cualquier parte del mundo que procesen datos personales de ciudadanos de la UE.

En vigor a partir de mayo de 2018, el Reglamento General para la Protección de los Datos (GDPR) de la Unión Europea está diseñado para mejorar la protección de datos personales y aumentar la responsabilidad organizacional en cuanto a violaciones de datos. Con multas potenciales de hasta cuatro por ciento de los ingresos globales, o 20 millones de euros (la opción más alta), el GDPR realmente tiene poder. No importa dónde se encuentre su organización, si procesa o controla los datos personales de los residentes de la UE, debe cumplir con GDPR, o estará sujeta a multas significativas y al requisito de informar a las partes afectadas de las violaciones de datos. Aprender más sobre cumplimiento del GDPR.

GDPR es expansivo e incluye lo siguiente Capítulos y artículos:

Capítulo 1: Provisiones generales

  • Artículo 1: Materia y objetivos
  • Artículo 2: Ámbito material Artículo 3: Ámbito territorial Artículo 4: Definiciones.

Capítulo 2: Principios

  • Artículo 5: Principios relacionados con el procesamiento de datos personales
  • Artículo 6: Legalidad del procesamiento
  • Artículo 7: Condiciones para el consentimiento
  • Artículo 8: Condiciones aplicables al consentimiento del niño en relación con los servicios de la sociedad de la información
  • Artículo 9: Tratamiento de categorías especiales de datos personales
  • Artículo 10: Tratamiento de datos relacionados con condenas y delitos penales
  • Artículo 11: Procesamiento que no requiere identificación

Capítulo 3: Derechos del titular de los datos

Sección 1: Transparencia y modalidades

  • Artículo 12: Información, comunicación y modalidades transparentes para ejercitar los derechos del titular de los datos
  • Sección 2: Información y acceso a datos
  • Artículo 13: Información que debe proporcionarse cuando se recopilen datos personales del titular de los datos
  • Artículo 14: Información que debe proporcionarse cuando los datos personales no se obtengan del titular de los datos
  • Artículo 15: Derecho de acceso del titular de los datos
Sección 3: Rectificación y borrado
  • Artículo 16: Derecho de rectificación
  • Artículo 17: Derecho al borrado ('derecho al olvido')
  • Artículo 18: Derecho a restringir el procesamiento
  • Artículo 19: Obligación de notificar sobre rectificación o borrado de datos personales o restricción del procesamiento
  • Artículo 20: Derecho a la portabilidad de datos
Sección 4: Derecho de oposición y toma de decisiones individual automatizada
  • Artículo 21: Derecho a oponerse
  • Artículo 22: Adopción de decisiones individual y automatizada, incluida la elaboración de perfiles
Sección 5: Restricciones
  • Artículo 23: Restricciones.

Capítulo 4: Controlador y Procesador

Sección 1: Obligaciones generales
  • Artículo 24: Responsabilidad del controlador
  • Artículo 25: Protección de datos por diseño y por defecto
  • Artículo 26: Controladores conjuntos
  • Artículo 27: Representantes de controladores no establecidos en la Unión
  • Artículo 28: Procesador
  • Artículo 29: Procesamiento bajo la autoridad del controlador o procesador
  • Artículo 30: Registros de actividades de procesamiento
  • Artículo 31: Cooperación con la autoridad supervisora
Sección 2: Seguridad de los datos personales
  • Artículo 32: Seguridad de procesamiento
  • Artículo 33: Notificación de una filtración de datos personales a la autoridad supervisora
  • Artículo 34: Comunicación de una filtración de datos personales al titular de los datos
Sección 3: Evaluación de impacto de protección de datos y consulta previa
  • Artículo 35: Evaluación del impacto de la protección de datos
  • Artículo 36: Consulta previa
Sección 4: Delegado de protección de datos
  • Artículo 37: Designación del responsable de protección de datos
  • Artículo 38: Cargo del responsable de protección de datos
  • Artículo 39: Tareas del responsable de protección de datos
Sección 5: Códigos de conducta y certificación
  • Artículo 40: Códigos de conducta
  • Artículo 41: Seguimiento de códigos de conducta aprobados
  • Artículo 42: Certificación
  • Artículo 43: Organismos de certificación

Capítulo 5: Transferencia de datos personales a países de organizaciones internacionales

  • Artículo 44: Principio general de transferencia
  • Artículo 45: Transferencias de la base para una decisión adecuada
  • Artículo 46: Transferencias sujetas a las salvaguardias adecuadas
  • Artículo 47: Normas corporativas vinculantes
  • Artículo 48: Transferencias o divulgaciones no autorizadas por la ley
  • Artículo 49: Excepciones para situaciones específicas
  • Artículo 50: Cooperación internacional para proteger datos personales

Capítulo 6: Autoridades de supervisión independientes

Sección 1: Estado independiente
  • Artículo 51: Autoridad supervisora
  • Artículo 52: Independencia
  • Artículo 53: Condiciones generales para miembros de la autoridad de control
  • Artículo 54: Normas sobre el establecimiento de la autoridad supervisora
Sección 2: Competencia, tareas y poderes
  • Artículo 55: Competencia
  • Artículo 56: Competencia de la autoridad supervisora
  • Artículo 57: Tareas
  • Artículo 58: Poderes
  • Artículo 59: Reportes de actividad

Capítulo 7: Cooperación y consistencia

Sección 1: Cooperación
  • Artículo 60: Cooperación entre la autoridad de principal control y las demás autoridades de control interesadas
  • Artículo 61: Asistencia mutua
  • Artículo 62: Operaciones conjuntas de las autoridades supervisoras
Sección 2: Consistencia
  • Artículo 63: Mecanismo de coherencia
  • Artículo 64: Opinión de la Junta
  • Artículo 65: Resolución de disputas en la Junta
  • Artículo 66: Procedimiento de urgencia
  • Artículo 67: Intercambio de información
Sección 3: Junta Europea de Protección de Datos
  • Artículo 68: Junta europea de protección de datos
  • Artículo 69: Independencia
  • Artículo 70: Tareas de la Junta
  • Artículo 71: Informe
  • Artículo 72: Procedimiento
  • Artículo 73: Presidente
  • Artículo 74: Tareas del presidente
  • Artículo 75: Secretaría
  • Artículo 76: Confidencialidad

Capítulo 8: Soluciones, responsabilidad y sanciones

  • Artículo 77: Derecho a presentar una queja ante una autoridad supervisora
  • Artículo 78: Derecho a un recurso judicial efectivo contra una autoridad supervisora
  • Artículo 79: Derecho a un recurso judicial efectivo contra un controlador o procesador
  • Artículo 80: Representación de los titulares de datos
  • Artículo 81: Suspensión de procedimientos
  • Artículo 82: Derecho a indemnización y responsabilidad
  • Artículo 83: Condiciones generales para la imposición de multas administrativas
  • Artículo 84: Penaltis

Capítulo 9: Disposiciones sobre situaciones de procesamiento de datos

  • Artículo 85: Procesamiento y libertad de expresión e información
  • Artículo 86: Tramitación y acceso público a documentos oficiales
  • Artículo 87: Tramitación del número de identificación nacional
  • Artículo 88: Procesamiento en el contexto del empleo
  • Artículo 89: Salvaguardias y derogaciones relacionadas con el procesamiento con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos
  • Artículo 90: Obligaciones de secreto
  • Artículo 91: Normas de protección de datos de iglesias y asociaciones religiosas

Capítulo 10: Actos delegados y actos de ejecución

  • Artículo 92: Ejercicio de la delegación
  • Artículo 93: Procedimiento de comité

Capítulo 11: Provisiones finales

  • Artículo 94: Derogación de la Directiva 95/46 /CE
  • Artículo 95: Relación con la Directiva 2002/58/CE
  • Artículo 96: Relación con acuerdos celebrados previamente
  • Artículo 97: Informes de comisiones
  • Artículo 98: Revisión de otros actos jurídicos sobre protección de datos
  • Artículo 99: Entrada en vigor y aplicación

Disposiciones clave del artículo 32

Algunas de las disposiciones clave del GDPR, Artículo 32, requieren:

a. la seudonimización y cifrado de datos personales;
b. la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas y servicios de procesamiento; c. la capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera oportuna en caso de un incidente físico o técnico; d. un proceso para probar, analizar y evaluar periódicamente la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento.

Disposiciones clave del artículo 34

El artículo 34 del reglamento detalla qué debe hacer una organización para no notificar a los titulares en caso de filtración.
Cuando la violación de datos personales supone un riesgo para los derechos y libertades de personas físicas, el responsable comunicará la filtración de datos personales al titular sin demora injustificada.
La comunicación al titular de los datos (referida en el párrafo 1 de este artículo) describirá con un lenguaje claro la naturaleza de la filtración…
La comunicación al titular de los datos (referida en el párrafo 1) no será necesaria si se cumple alguna de las siguientes condiciones:

a. el controlador ha implementado las medidas de protección técnicas y organizativas adecuadas, y esas medidas se aplicaron a los datos personales afectados por la violación de datos personales, en particular, aquellos que hacen que los datos personales sean ininteligibles para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado ;
b. el responsable del tratamiento ha adoptado medidas posteriores que garantizan que ya no es probable que se materialice el alto riesgo para los derechos y libertades de los sujetos de datos a que se refiere el apartado 1;
c. implicaría un esfuerzo desproporcionado. En tal caso, bastará con informar a los titulares de los datos mediante una comunicación pública o medida similar igualmente efectiva.