GDPR

Resumen

El Reglamento General de Protección de Datos (GDPR) es la piedra angular de la ley de protección de datos de la UE. Reemplazó la Directiva de Protección de Datos 95/46/CE y fortaleció significativamente los derechos de los individuos sobre sus datos personales, al tiempo que impuso obligaciones integrales a los responsables y encargados del tratamiento.^[1]

El GDPR se aplica a cualquier organización que procese datos personales de individuos en la UE, independientemente de dónde esté establecida la organización. Este alcance extraterritorial ha convertido al GDPR en un estándar global de facto para la protección de datos.^[2]

Quién debe cumplir

• Responsables del tratamiento: Organizaciones que determinan los fines y medios del tratamiento de datos personales
• Encargados del tratamiento: Organizaciones que procesan datos personales en nombre de los responsables
• Entidades no pertenecientes a la UE: Cualquier organización que ofrezca bienes/servicios a residentes de la UE o supervise su comportamiento
• Todos los sectores: Se aplica en todas las industrias con excepciones limitadas para la aplicación de la ley y la seguridad nacional

Requisitos clave para desarrolladores

Base legal para el tratamiento

Cada operación de tratamiento debe tener una base legal válida según el Artículo 6:^[3]

1. Consentimiento: Libre, específico, informado y explícito
2. Contrato: Necesario para la ejecución de un contrato con el interesado
3. Obligación legal: Requerido por la ley de la UE o del Estado miembro
4. Intereses vitales: Protección de la vida del interesado u otra persona
5. Interés público: Necesario para una tarea de interés público o autoridad oficial
6. Intereses legítimos: Equilibrados con los derechos del interesado (no disponible para autoridades públicas)

Requisitos técnicos

• Minimización de datos: Recoger solo lo necesario para el propósito especificado
• Limitación del almacenamiento: Conservar los datos personales solo mientras sea necesario
• Integridad y confidencialidad: Implementar medidas de seguridad adecuadas
• Privacidad desde el diseño y por defecto: Incorporar la protección de datos en los sistemas desde el inicio (Artículo 25)^[4]

Derechos del interesado

Las aplicaciones deben soportar los siguientes derechos:

Notificación de brechas

• A la autoridad supervisora: Dentro de las 72 horas siguientes a tener conocimiento (Artículo 33)^[5]
• A los interesados: Sin demora indebida cuando exista alto riesgo para los derechos y libertades (Artículo 34)
• Documentación: Mantener registros de todas las brechas independientemente del requisito de notificación

Sanciones

El GDPR establece una estructura de sanciones escalonada:

• Escala inferior: Hasta 10 millones de € o el 2% de la facturación global anual, lo que sea mayor
• Escala superior: Hasta 20 millones de € o el 4% de la facturación global anual, lo que sea mayor^[6]

Multas importantes emitidas incluyen:

• Amazon (Luxemburgo, 2021): 746 millones de €
• Meta/Facebook (Irlanda, 2023): 1.200 millones de €
• Google (Francia, 2022): 90 millones de €

Lista de verificación para la implementación

• Identificar todas las actividades de tratamiento de datos personales
• Establecer la base legal para cada operación de tratamiento
• Implementar gestión de consentimiento cuando sea aplicable
• Crear avisos de privacidad que cumplan con los requisitos de transparencia
• Construir mecanismos para la gestión de solicitudes de los interesados
• Implementar medidas de seguridad adecuadas
• Establecer procedimientos de detección y notificación de brechas
• Realizar Evaluaciones de Impacto en la Protección de Datos para tratamientos de alto riesgo
• Nombrar un Delegado de Protección de Datos si es requerido
• Mantener Registros de Actividades de Tratamiento (RoPA)