stringtranslate.com

Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos (Reglamento (UE) 2016/679), [1] abreviado como RGPD o RGPD en francés (por Règlement général sur la protection des données ) es un reglamento de la Unión Europea sobre privacidad de la información en la Unión Europea (UE) y el Espacio Económico Europeo (EEE). El RGPD es un componente importante de la legislación de la UE en materia de privacidad y derechos humanos , en particular el artículo 8(1) de la Carta de los Derechos Fundamentales de la Unión Europea . También rige la transferencia de datos personales fuera de la UE y el EEE. Los objetivos del RGPD son mejorar el control y los derechos de las personas sobre su información personal y simplificar las regulaciones para los negocios internacionales . [2] Reemplaza la Directiva de Protección de Datos 95/46/CE y, entre otras cosas, simplifica la terminología.

El Parlamento Europeo y el Consejo de la Unión Europea adoptaron el RGPD el 14 de abril de 2016, que entrará en vigor el 25 de mayo de 2018. Como reglamento de la UE (en lugar de una directiva ), el RGPD es directamente aplicable con fuerza de ley por sí mismo sin necesidad de transposición . Sin embargo, también ofrece flexibilidad para que los estados miembros individuales modifiquen (deroguen) algunas de sus disposiciones.

Como ejemplo del efecto Bruselas , la regulación se convirtió en un modelo para muchas otras leyes en todo el mundo, incluidos Brasil, Japón, Singapur, Sudáfrica, Corea del Sur, Sri Lanka y Tailandia. [ cita requerida ] [3] Después de abandonar la Unión Europea, el Reino Unido promulgó su "UK GDPR", idéntico al GDPR. [4] La Ley de Privacidad del Consumidor de California (CCPA), adoptada el 28 de junio de 2018, tiene muchas similitudes con el GDPR. [5]

Contenido

El RGPD de 2016 consta de once capítulos que tratan de disposiciones generales, principios, derechos del interesado, obligaciones de los responsables o encargados del tratamiento de datos, transferencias de datos personales a terceros países, autoridades de control, cooperación entre Estados miembros, recursos, responsabilidad o sanciones por incumplimiento de derechos y disposiciones finales diversas. El considerando 4 proclama que «el tratamiento de datos personales debe estar concebido para servir a la humanidad».

Disposiciones generales

El Reglamento se aplica si el responsable del tratamiento de datos (una organización que recopila información sobre personas vivas, ya sea que se encuentren en la UE o no), el encargado del tratamiento (una organización que procesa datos en nombre de un responsable del tratamiento de datos, como los proveedores de servicios en la nube) o el interesado (una persona) tiene su sede en la UE. En determinadas circunstancias, [6] el Reglamento también se aplica a organizaciones con sede fuera de la UE si recopilan o procesan datos personales de personas ubicadas dentro de la UE. El Reglamento no se aplica al procesamiento de datos por parte de una persona para una "actividad puramente personal o doméstica y, por lo tanto, sin conexión con una actividad profesional o comercial" (considerando 18).

Según la Comisión Europea , "los datos personales son información relacionada con una persona física identificada o identificable. Si no puede identificar directamente a una persona física a partir de esa información, deberá considerar si la persona física sigue siendo identificable. Debe tener en cuenta la información que está procesando junto con todos los medios que es razonablemente probable que usted o cualquier otra persona utilicen para identificar a esa persona". [7] Las definiciones precisas de términos como "datos personales", "procesamiento", "interesado", "responsable del tratamiento" y "encargado del tratamiento" se establecen en el artículo 4. [ 1] : Art. 4 

El reglamento no pretende aplicarse al tratamiento de datos personales para actividades de seguridad nacional o de aplicación de la ley de la UE; sin embargo, los grupos de la industria preocupados por enfrentarse a un posible conflicto de leyes han cuestionado si el artículo 48 podría invocarse para tratar de impedir que un responsable del tratamiento de datos sujeto a las leyes de un tercer país cumpla con una orden legal de las autoridades policiales, judiciales o de seguridad nacional de ese país para revelar a dichas autoridades los datos personales de una persona de la UE, independientemente de si los datos residen dentro o fuera de la UE. El artículo 48 establece que cualquier sentencia de un tribunal o corte y cualquier decisión de una autoridad administrativa de un tercer país que requiera que un responsable o procesador transfiera o revele datos personales no puede ser reconocida o ejecutable de ninguna manera a menos que se base en un acuerdo internacional, como un tratado de asistencia jurídica mutua en vigor entre el tercer país solicitante (no perteneciente a la UE) y la UE o un estado miembro. El paquete de reforma de la protección de datos también incluye una Directiva de Protección de Datos separada para el sector policial y de justicia penal que proporciona reglas sobre intercambios de datos personales a nivel estatal , a nivel de la Unión y a nivel internacional. [8]

Un único conjunto de normas se aplica a todos los Estados miembros de la UE. Cada Estado miembro establece una autoridad supervisora ​​(AS) independiente para escuchar e investigar quejas, sancionar infracciones administrativas, etc. [1] : Arts. 46–55  Las AS de cada Estado miembro cooperan con otras AS, prestándose asistencia mutua y organizando operaciones conjuntas. Si una empresa tiene varios establecimientos en la UE, debe tener una única AS como su "autoridad principal", basándose en la ubicación de su "establecimiento principal" donde tienen lugar las principales actividades de procesamiento. La autoridad principal actúa así como una " ventanilla única " para supervisar todas las actividades de procesamiento de esa empresa en toda la UE. [9] [10] Un Comité Europeo de Protección de Datos (CEPD) coordina las AS. El CEPD sustituye así al Grupo de Trabajo de Protección de Datos del Artículo 29. Existen excepciones para los datos procesados ​​en un contexto laboral o de seguridad nacional que aún podrían estar sujetos a las regulaciones de cada país. [1] : Arts. 2(2)(a) y 88 

Principios y fines lícitos

El artículo 5 establece seis principios relativos a la licitud del tratamiento de datos personales. El primero de ellos especifica que los datos deben tratarse de manera lícita, leal y transparente. El artículo 6 desarrolla este principio especificando que los datos personales no pueden tratarse a menos que exista al menos una base jurídica para ello. Los demás principios se refieren a la "limitación de la finalidad", la " minimización de los datos ", la "exactitud", la "limitación del plazo de conservación" y la "integridad y confidencialidad".

El artículo 6 establece que los fines lícitos son:

Si se utiliza el consentimiento informado [1] : Art. 4(11)  como base legal para el procesamiento, el consentimiento debe haber sido explícito para los datos recopilados y para cada propósito para el que se utilizan los datos. [1] : Art. 7  El consentimiento debe ser una afirmación específica, libremente otorgada, redactada de manera clara e inequívoca por el interesado; un formulario en línea que tenga opciones de consentimiento estructuradas como una opción de exclusión seleccionada por defecto es una violación del RGPD, ya que el consentimiento no es afirmado inequívocamente por el usuario. Además, no se pueden "agrupar" varios tipos de procesamiento en una única solicitud de afirmación, ya que esta no es específica para cada uso de los datos y los permisos individuales no se otorgan libremente. (Considerando 32).

Los interesados ​​deben tener la posibilidad de retirar este consentimiento en cualquier momento, y el proceso para hacerlo no debe ser más difícil que el de optar por ello. [1] : Art. 7(3)  Un responsable del tratamiento de datos no puede rechazar el servicio a los usuarios que rechacen el consentimiento para el tratamiento que no sea estrictamente necesario para utilizar el servicio. [1] : Art. 8  El consentimiento para los niños, definidos en el reglamento como menores de 16 años (aunque con la opción de que los Estados miembros lo reduzcan individualmente a 13 años), debe ser dado por el padre o tutor del niño, y verificable. [11] [12]

Si ya se ha otorgado el consentimiento para el tratamiento de datos conforme a la Directiva de protección de datos, el responsable del tratamiento de datos no tiene que volver a obtener el consentimiento si el tratamiento está documentado y se obtiene de conformidad con los requisitos del RGPD (considerando 171). [13] [14]

Derechos del interesado

Transparencia y modalidades

El artículo 12 exige que el responsable del tratamiento proporcione información al "interesado en forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo, en particular cuando se trate de información dirigida específicamente a un niño".

Información y acceso

El derecho de acceso ( artículo 15 ) es un derecho del interesado. [15] Confiere a las personas el derecho a acceder a sus datos personales y a la información sobre cómo se están procesando dichos datos personales. El responsable del tratamiento de datos debe proporcionar, previa solicitud, una descripción general de las categorías de datos que se están procesando [1] : art. 15(1)(b)  así como una copia de los datos reales; [1] : art. 15(3)  además, el responsable del tratamiento de datos debe informar al interesado sobre los detalles del procesamiento, como los fines del procesamiento, [1] : art. 15(1)(a)  con quién se comparten los datos, [1] : art. 15(1)(c)  y cómo adquirió los datos. [1] : art. 15(1)(g) 

El interesado debe poder transferir datos personales de un sistema de procesamiento electrónico a otro sin que el responsable del tratamiento se lo impida. Se excluyen los datos que se han anonimizado lo suficiente, pero no los que solo se han desidentificado pero que siguen siendo posibles de vincular con el individuo en cuestión, por ejemplo, proporcionando el identificador pertinente. [16] Sin embargo, en la práctica, proporcionar dichos identificadores puede ser un desafío, como en el caso de Siri de Apple , donde los datos de voz y transcripción se almacenan con un identificador personal al que el fabricante restringe el acceso, [17] o en la segmentación conductual en línea, que se basa en gran medida en huellas digitales del dispositivo que pueden ser difíciles de capturar, enviar y verificar. [18]

Se incluyen tanto los datos "facilitados" por el interesado como los datos "observados", como los relativos a su comportamiento. Además, los datos deben ser facilitados por el responsable del tratamiento en un formato electrónico estándar, estructurado y de uso común. El derecho a la portabilidad de los datos está previsto en el artículo 20 .

Rectificación y supresión

El derecho al olvido fue reemplazado por un derecho de borrado más limitado en la versión del RGPD que fue adoptada por el Parlamento Europeo en marzo de 2014. [19] [20] El artículo 17 establece que el interesado tiene derecho a solicitar el borrado de los datos personales relacionados con él por cualquiera de una serie de motivos, incluido el incumplimiento del artículo 6(1) (licitud) que incluye un caso (f) si los intereses legítimos del responsable del tratamiento son anulados por los intereses o los derechos y libertades fundamentales del interesado, que requieren la protección de datos personales (véase también Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González ). [21]

Derecho de oposición y decisiones automatizadas

El artículo 21 del RGPD permite a una persona oponerse al procesamiento de información personal para fines de marketing o no relacionados con el servicio. [22] Esto significa que el responsable del tratamiento de datos debe permitir a una persona el derecho a detener o impedir que el responsable procese sus datos personales.

Existen algunos casos en los que esta objeción no se aplica. Por ejemplo, si:

  1. Se está ejerciendo autoridad legal u oficial
  2. “Interés legítimo”, cuando la organización necesita procesar datos para proporcionar al interesado un servicio para el que se registró
  3. Una tarea que se lleva a cabo en interés público.

El RGPD también establece claramente que el responsable del tratamiento de datos debe informar a las personas de su derecho a oponerse desde la primera comunicación que mantenga con ellas. Esto debe ser claro y estar separado de cualquier otra información que el responsable proporcione y debe darles las opciones para oponerse al tratamiento de sus datos.

Hay casos en los que el responsable del tratamiento puede rechazar una solicitud, en las circunstancias en que la solicitud de objeción sea "manifiestamente infundada" o "excesiva", por lo que cada caso de objeción debe analizarse individualmente. [22] Otros países como Canadá [23] también están, siguiendo el RGPD, considerando la posibilidad de promulgar una legislación para regular la toma de decisiones automatizada en virtud de las leyes de privacidad, aunque existen cuestiones de política sobre si esta es la mejor manera de regular la IA. [ cita requerida ]

Derecho a indemnización

El artículo 82 del RGPD establece que cualquier persona que haya sufrido un daño material o inmaterial como consecuencia de una infracción de este Reglamento tendrá derecho a recibir del responsable o del encargado del tratamiento una indemnización por el daño sufrido.

En la sentencia Österreichische Post (C-300/21), el Tribunal de Justicia de la Unión Europea interpretó el derecho a indemnización. [24] El artículo 82(1) del RGPD exige para la concesión de la indemnización (i) una infracción del RGPD, (ii) un daño (real) sufrido y (iii) una relación causal entre la infracción y el daño sufrido. No es necesario que el daño sufrido alcance un determinado grado de gravedad. No existe un concepto europeo definido de daño. La indemnización se determina a nivel nacional de conformidad con el Derecho nacional. Deben tenerse en cuenta los principios de equivalencia y efectividad. [25]

Véanse también las conclusiones del Abogado General en el asunto Krankenversicherung Nordrhein (C-667/21). [26]

Responsable y encargado del tratamiento

Los responsables del tratamiento de datos deben revelar claramente cualquier recopilación de datos , declarar la base legal y el propósito del procesamiento de datos, y declarar durante cuánto tiempo se conservan los datos y si se comparten con terceros o fuera del EEE. Las empresas tienen la obligación de proteger los datos de los empleados y consumidores en la medida en que solo se extraigan los datos necesarios con la mínima interferencia con la privacidad de los datos de los empleados, consumidores o terceros. Las empresas deben tener controles y regulaciones internas para varios departamentos, como auditoría, controles internos y operaciones. Los interesados ​​tienen derecho a solicitar una copia portátil de los datos recopilados por un responsable del tratamiento en un formato común, así como el derecho a que se borren sus datos en determinadas circunstancias. Las autoridades públicas y las empresas cuyas actividades principales consisten en el procesamiento regular o sistemático de datos personales, deben emplear un delegado de protección de datos (DPD), que es responsable de gestionar el cumplimiento del RGPD. Los responsables del tratamiento de datos deben informar sobre las violaciones de datos a las autoridades supervisoras nacionales en un plazo de 72 horas si tienen un efecto adverso en la privacidad del usuario. En algunos casos, los infractores del RGPD pueden ser multados con hasta 20 millones de euros o hasta el 4 % de la facturación anual mundial del ejercicio anterior en el caso de una empresa, lo que sea mayor.

Para poder demostrar el cumplimiento del RGPD, el responsable del tratamiento de datos debe implementar medidas que cumplan los principios de protección de datos desde el diseño y por defecto. El artículo 25 exige que las medidas de protección de datos se diseñen en el desarrollo de procesos comerciales para productos y servicios. Dichas medidas incluyen la seudonimización de los datos personales, por parte del responsable, lo antes posible (considerando 78). Es responsabilidad y obligación del responsable del tratamiento implementar medidas efectivas y poder demostrar el cumplimiento de las actividades de tratamiento, incluso si el tratamiento lo lleva a cabo un encargado del tratamiento en nombre del responsable (considerando 74). Cuando se recopilan datos, los interesados ​​deben ser informados claramente sobre el alcance de la recopilación de datos, la base jurídica para el tratamiento de datos personales, durante cuánto tiempo se conservan los datos, si los datos se transfieren a un tercero y/o fuera de la UE, y cualquier toma de decisiones automatizada que se realice sobre una base exclusivamente algorítmica . Los interesados ​​deben ser informados de sus derechos de privacidad en virtud del RGPD, incluido su derecho a revocar el consentimiento para el procesamiento de datos en cualquier momento, su derecho a ver sus datos personales y acceder a una descripción general de cómo se están procesando, su derecho a obtener una copia portátil de los datos almacenados , su derecho a borrar sus datos en determinadas circunstancias, su derecho a impugnar cualquier toma de decisiones automatizada que se haya realizado sobre una base exclusivamente algorítmica y su derecho a presentar quejas ante una autoridad de protección de datos . Como tal, el interesado también debe recibir los datos de contacto del responsable del tratamiento de datos y su delegado de protección de datos designado, cuando corresponda. [27] [28]

Las evaluaciones de impacto de la protección de datos ( artículo 35 ) deben realizarse cuando existan riesgos específicos para los derechos y libertades de los interesados. Se requiere una evaluación y mitigación de riesgos y, en el caso de riesgos elevados, se requiere la aprobación previa de las autoridades de protección de datos.

El artículo 25 exige que la protección de datos se diseñe en el desarrollo de procesos comerciales para productos y servicios. Por lo tanto, la configuración de privacidad debe establecerse en un nivel alto por defecto, y el responsable del tratamiento debe adoptar medidas técnicas y procedimentales para asegurarse de que el tratamiento, a lo largo de todo el ciclo de vida del tratamiento, cumpla con el reglamento. Los responsables también deben implementar mecanismos para garantizar que los datos personales no se procesen a menos que sea necesario para cada propósito específico. Esto se conoce como minimización de datos.

Un informe [29] de la Agencia de la Unión Europea para la Seguridad de las Redes y de la Información explica en detalle lo que se debe hacer para lograr la privacidad y la protección de datos de manera predeterminada. Especifica que las operaciones de cifrado y descifrado deben realizarse localmente, no por un servicio remoto, porque tanto las claves como los datos deben permanecer en poder del propietario de los datos para lograr algún tipo de privacidad. El informe especifica que el almacenamiento de datos externalizado en nubes remotas es práctico y relativamente seguro si solo el propietario de los datos, no el servicio en la nube, posee las claves de descifrado.

Pseudonimización

Según el RGPD, la seudonimización es un proceso obligatorio para los datos almacenados que transforma los datos personales de tal manera que los datos resultantes no puedan atribuirse a un interesado específico sin el uso de información adicional (como alternativa a la otra opción de anonimización completa de los datos ). [30] Un ejemplo es el cifrado , que hace que los datos originales sean ininteligibles en un proceso que no se puede revertir sin acceso a la clave de descifrado correcta . El RGPD exige que la información adicional (como la clave de descifrado) se mantenga separada de los datos seudonimizados.

Otro ejemplo de seudonimización es la tokenización , que es un enfoque no matemático para proteger los datos en reposo que reemplaza los datos confidenciales con sustitutos no confidenciales, denominados tokens. Si bien los tokens no tienen un significado o valor extrínseco o explotable, permiten que datos específicos sean total o parcialmente visibles para su procesamiento y análisis, mientras que la información confidencial se mantiene oculta. La tokenización no altera el tipo ni la longitud de los datos, lo que significa que pueden ser procesados ​​por sistemas heredados, como bases de datos que pueden ser sensibles a la longitud y el tipo de datos. Esto también requiere muchos menos recursos computacionales para procesar y menos espacio de almacenamiento en bases de datos que los datos cifrados tradicionalmente.

La seudonimización es una tecnología que mejora la privacidad y se recomienda para reducir los riesgos para los interesados ​​y también para ayudar a los responsables y encargados del tratamiento a cumplir con sus obligaciones en materia de protección de datos (considerando 28). [31]

Registros de actividades de procesamiento

De acuerdo con el artículo 30, cada organización debe mantener registros de las actividades de procesamiento que cumplan uno de los siguientes criterios:

Estos requisitos podrán ser modificados por cada país de la UE. Los registros deberán estar en formato electrónico y el responsable o el encargado del tratamiento y, en su caso, su representante, pondrán el registro a disposición de la autoridad de control cuando esta lo solicite.

Los registros del responsable del tratamiento deberán contener toda la siguiente información:

Los registros del procesador deberán contener toda la siguiente información:

Seguridad de los datos personales

Los responsables y encargados del tratamiento de datos personales deben establecer medidas técnicas y organizativas adecuadas para aplicar los principios de protección de datos. [32] Los procesos empresariales que manejan datos personales deben diseñarse y construirse teniendo en cuenta los principios y proporcionar salvaguardas para proteger los datos (por ejemplo, utilizando seudonimización o anonimización total cuando sea apropiado). [33] Los responsables del tratamiento de datos deben diseñar sistemas de información teniendo en cuenta la privacidad. Por ejemplo, utilizando la configuración de privacidad más alta posible por defecto, de modo que los conjuntos de datos no estén disponibles públicamente por defecto y no puedan utilizarse para identificar a un sujeto. [34] No se pueden procesar datos personales a menos que este procesamiento se realice con arreglo a una de las seis bases legales especificadas por el reglamento ( consentimiento , contrato, tarea pública, interés vital, interés legítimo o requisito legal). Cuando el procesamiento se basa en el consentimiento, el interesado tiene derecho a revocarlo en cualquier momento. [35]

El artículo 33 establece que el responsable del tratamiento de datos tiene la obligación legal de notificar a la autoridad de control sin demora indebida, a menos que sea improbable que la violación dé lugar a un riesgo para los derechos y libertades de las personas. Hay un máximo de 72 horas desde que se tiene conocimiento de la violación de datos para presentar la notificación. Las personas deben ser notificadas si se determina que existe un alto riesgo de impacto adverso. [1] : Art. 34  Además, el encargado del tratamiento de datos tendrá que notificar al responsable sin demora indebida después de tener conocimiento de una violación de datos personales. [1] : Art. 33  Sin embargo, la notificación a los interesados ​​no es necesaria si el responsable del tratamiento de datos ha implementado medidas técnicas y organizativas de protección adecuadas que hagan que los datos personales sean ininteligibles para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado. [1] : Art. 34 

Responsable de protección de datos

El artículo 37 exige la designación de un delegado de protección de datos. Si el tratamiento lo lleva a cabo una autoridad pública (excepto los tribunales o las autoridades judiciales independientes cuando actúen en el ejercicio de sus funciones judiciales), o si las operaciones de tratamiento implican un seguimiento regular y sistemático de los interesados ​​a gran escala, o si el tratamiento a gran escala de categorías especiales de datos y datos personales relativos a condenas e infracciones penales ( artículos 9 y 10 ), se debe designar un delegado de protección de datos (DPD), una persona con conocimientos especializados de la legislación y las prácticas de protección de datos, para ayudar al responsable o al encargado del tratamiento a supervisar su cumplimiento interno del Reglamento.

El DPD designado puede ser un miembro actual del personal de un responsable o encargado del tratamiento, o bien la función puede ser externalizada a una persona o agencia externa mediante un contrato de servicios. En cualquier caso, el organismo encargado del tratamiento debe asegurarse de que no exista ningún conflicto de intereses en otras funciones o intereses que pueda tener el DPD. Los datos de contacto del DPD deben ser publicados por la organización encargada del tratamiento (por ejemplo, en un aviso de privacidad) y registrados ante la autoridad de control.

El DPO es similar a un oficial de cumplimiento y también se espera que sea competente en la gestión de procesos de TI, seguridad de datos (incluido el manejo de ciberataques ) y otros problemas críticos de continuidad comercial asociados con la tenencia y procesamiento de datos personales y confidenciales. El conjunto de habilidades requeridas se extiende más allá de comprender el cumplimiento legal de las leyes y regulaciones de protección de datos. El DPO debe mantener un inventario de datos vivo de todos los datos recopilados y almacenados en nombre de la organización. [36] Más detalles sobre la función y el papel del oficial de protección de datos se dieron el 13 de diciembre de 2016 (revisado el 5 de abril de 2017) en un documento de directrices. [37]

Las organizaciones con sede fuera de la UE también deben designar a una persona con sede en la UE como representante y punto de contacto para sus obligaciones en virtud del RGPD. [1] : Art. 27  Se trata de una función distinta a la de un DPD, aunque existe una superposición de responsabilidades que sugiere que esta función también puede ser desempeñada por el DPD designado. [38]

Recursos, responsabilidad y sanciones

Además de las definiciones como delito penal según la legislación nacional de conformidad con el artículo 83 del RGPD, se pueden imponer las siguientes sanciones:

Exenciones

Se trata de algunos casos que no se abordan específicamente en el RGPD y, por lo tanto, se tratan como exenciones. [39]

Por el contrario, una entidad o, más precisamente, una "empresa" tiene que estar involucrada en una "actividad económica" para estar cubierta por el RGPD. [b] La actividad económica se define de manera amplia en la legislación sobre competencia de la Unión Europea . [40]

Aplicabilidad fuera de la Unión Europea

El RGPD también se aplica a los responsables y encargados del tratamiento de datos fuera del Espacio Económico Europeo (EEE) si se dedican a la "oferta de bienes o servicios" (independientemente de si se requiere un pago) a los interesados ​​dentro del EEE, o están monitoreando el comportamiento de los interesados ​​dentro del EEE (artículo 3(2)). El reglamento se aplica independientemente de dónde se realice el procesamiento. [41] Esto se ha interpretado como que se otorga intencionalmente al RGPD jurisdicción extraterritorial para establecimientos no pertenecientes a la UE si están haciendo negocios con personas ubicadas en la UE. Es cuestionable si la UE o sus estados miembros podrán en la práctica hacer cumplir el RGPD contra organizaciones que no tienen establecimiento en la UE. [42]

Representante de la UE

En virtud del artículo 27 , los establecimientos no pertenecientes a la UE sujetos al RGPD están obligados a tener un designado dentro de la Unión Europea, un "Representante de la UE", que actúe como punto de contacto para sus obligaciones en virtud del reglamento. El Representante de la UE es la persona de contacto del Responsable o Encargado del Tratamiento ante los supervisores europeos de privacidad y los interesados, en todos los asuntos relacionados con el tratamiento, para garantizar el cumplimiento de este RGPD. Una persona física (individual) o jurídica (corporación) puede desempeñar el papel de Representante de la UE. [1] : Art. 27(4)  El establecimiento no perteneciente a la UE debe emitir un documento debidamente firmado (carta de acreditación) que designe a una persona física o empresa determinada como su Representante de la UE. Dicha designación solo puede realizarse por escrito. [1] : Art. 27(1) 

El hecho de que una empresa no designe un representante de la UE se considera ignorancia de la normativa y de las obligaciones pertinentes, lo que en sí mismo constituye una infracción del RGPD sujeta a multas de hasta 10 millones de euros o hasta el 2 % de la facturación mundial anual del ejercicio anterior en el caso de una empresa, lo que sea mayor. El carácter intencional o negligente (ceguera voluntaria) de la infracción (no designar un representante de la UE) puede constituir más bien factores agravantes. [1] : Arts. 83(1) & 83(2) & 83(4a) 

Un establecimiento no necesita nombrar un representante de la UE si solo realiza un tratamiento ocasional que no incluye, a gran escala, el tratamiento de categorías especiales de datos a que se refiere el artículo 9(1) del RGPD o el tratamiento de datos personales relacionados con condenas y delitos penales a que se refiere el artículo 10, y es poco probable que dicho tratamiento genere un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, el contexto, el alcance y los fines del tratamiento. Las autoridades y organismos públicos no pertenecientes a la UE también están exentos. [1] : Art. 27(2) 

Terceros países

El Capítulo V del RGPD prohíbe la transferencia de datos personales de titulares de datos de la UE a países fuera del EEE —conocidos como terceros países— a menos que se impongan garantías adecuadas, o que la normativa de protección de datos del tercer país sea formalmente considerada adecuada por la Comisión Europea (artículo 45). [43] [44] Entre los ejemplos se encuentran las normas corporativas vinculantes , las cláusulas contractuales estándar para la protección de datos emitidas por un Acuerdo de Procesamiento de Datos (APD), o un sistema de compromisos vinculantes y exigibles por parte del responsable o procesador de datos situado en un tercer país. [45]

Implementación en el Reino Unido

Explicación de los posibles resultados de la divergencia del Reino Unido respecto del RGPD europeo [46]

La aplicabilidad del RGPD en el Reino Unido se ve afectada por el Brexit . Aunque el Reino Unido se retiró formalmente de la Unión Europea el 31 de enero de 2020, siguió sujeto a la legislación de la UE, incluido el RGPD, hasta el final del período de transición el 31 de diciembre de 2020. [43] El 23 de mayo de 2018, el Reino Unido otorgó la sanción real a la Ley de Protección de Datos de 2018 , que amplió el RGPD, incluidos aspectos de la regulación que deben determinarse por la legislación nacional y delitos penales por obtener, redistribuir o conservar de forma consciente o imprudente datos personales sin el consentimiento del responsable del tratamiento de datos. [47] [48]

En virtud de la Ley de Retirada de la Unión Europea de 2018 , la legislación vigente y pertinente de la UE se transpuso a la legislación local una vez finalizada la transición, y el RGPD se modificó mediante un instrumento legal para eliminar ciertas disposiciones que ya no eran necesarias debido a la no pertenencia del Reino Unido a la UE. A partir de entonces, el reglamento se denominará "RGPD del Reino Unido". [49] [44] [43] El Reino Unido no restringirá la transferencia de datos personales a países dentro del EEE en virtud del RGPD del Reino Unido. Sin embargo, el Reino Unido se convertirá en un tercer país en virtud del RGPD de la UE, lo que significa que los datos personales no podrán transferirse al país a menos que se impongan las salvaguardas adecuadas o que la Comisión Europea realice una decisión de adecuación sobre la idoneidad de la legislación británica en materia de protección de datos (Capítulo V). Como parte del acuerdo de retirada , la Comisión Europea se comprometió a realizar una evaluación de adecuación. [43] [44]

En abril de 2019, la Oficina del Comisionado de Información del Reino Unido (ICO) emitió un código de prácticas para niños en relación con los servicios de redes sociales utilizados por menores, aplicable en virtud del RGPD, que también incluye restricciones a los mecanismos de " me gusta " y "streak" para desalentar la adicción a las redes sociales y al uso de estos datos para procesar intereses. [50] [51]

En marzo de 2021, el Secretario de Estado de Cultura, Medios de Comunicación y Deporte Digitales, Oliver Dowden, declaró que el Reino Unido estaba explorando la posibilidad de divergir del RGPD de la UE para "[centrarse] más en los resultados que queremos tener y menos en las cargas de las normas impuestas a las empresas individuales". [52]

Conceptos erróneos

Algunos conceptos erróneos comunes sobre el RGPD incluyen:

Recepción

Según un estudio realizado por Deloitte en 2018, el 92% de las empresas creen que pueden cumplir con el RGPD en sus prácticas comerciales a largo plazo. [57]

Las empresas que operan fuera de la UE han invertido mucho para alinear sus prácticas comerciales con el RGPD. El área del consentimiento del RGPD tiene una serie de implicaciones para las empresas que graban llamadas como una cuestión de práctica. Una exención de responsabilidad típica no se considera suficiente para obtener el consentimiento asumido para grabar llamadas. Además, una vez que la grabación ha comenzado, si la persona que llama retira su consentimiento, entonces el agente que recibe la llamada debe poder detener una grabación iniciada previamente y asegurarse de que la grabación no se almacene. [58]

Los profesionales de TI esperan que el cumplimiento del RGPD requiera una inversión adicional en general: más del 80 por ciento de los encuestados esperaban que el gasto relacionado con el RGPD fuera de al menos 100.000 dólares estadounidenses. [59] Las preocupaciones se hicieron eco en un informe encargado por el bufete de abogados Baker & McKenzie que encontró que "alrededor del 70 por ciento de los encuestados creen que las organizaciones necesitarán invertir un presupuesto/esfuerzo adicional para cumplir con los requisitos de consentimiento, mapeo de datos y transferencia de datos transfronterizos bajo el RGPD". [60] El costo total para las empresas de la UE se estima en 200 mil millones de euros, mientras que para las empresas estadounidenses la estimación es de 41.7 mil millones de dólares. [61] Se ha argumentado que las empresas más pequeñas y las empresas emergentes podrían no tener los recursos financieros para cumplir adecuadamente con el RGPD, a diferencia de las empresas tecnológicas internacionales más grandes (como Facebook y Google ) a las que la regulación aparentemente está destinada a apuntar en primer lugar. [62] [63] La falta de conocimiento y comprensión de las regulaciones también ha sido una preocupación en el período previo a su adopción. [64] Un contraargumento a esto ha sido que las empresas fueron informadas de estos cambios dos años antes de que entraran en vigor y deberían haber tenido tiempo suficiente para prepararse. [65]

Las regulaciones, incluyendo si una empresa debe tener un oficial de protección de datos, han sido criticadas por la carga administrativa potencial y los requisitos de cumplimiento poco claros. [66] Aunque la minimización de datos es un requisito, siendo la seudonimización uno de los medios posibles, la regulación no proporciona orientación sobre cómo o qué constituye un esquema de desidentificación de datos efectivo, con una zona gris sobre lo que se consideraría como seudonimización inadecuada sujeta a acciones de cumplimiento de la Sección 5. [31] [67] [68] También existe preocupación con respecto a la implementación del RGPD en sistemas blockchain , ya que el registro transparente y fijo de transacciones blockchain contradice la naturaleza misma del RGPD. [69] Muchos medios de comunicación han comentado sobre la introducción de un " derecho a explicación " de decisiones algorítmicas, [70] [71] pero los académicos legales han argumentado desde entonces que la existencia de tal derecho es muy poco clara sin pruebas judiciales y es limitada en el mejor de los casos. [72] [73]

El RGPD ha obtenido el apoyo de las empresas, que lo consideran una oportunidad para mejorar la gestión de sus datos. [74] [75] Mark Zuckerberg también lo ha calificado de "paso muy positivo para Internet ", [76] y ha pedido que se adopten leyes similares al RGPD en los EE. UU. [77] Los grupos de derechos de los consumidores, como la Organización Europea de Consumidores, se encuentran entre los defensores más vocales de la legislación. [78] Otros partidarios han atribuido su aprobación al denunciante Edward Snowden . [79] El defensor del software libre Richard Stallman ha elogiado algunos aspectos del RGPD, pero ha pedido salvaguardas adicionales para evitar que las empresas de tecnología "fabriquen el consentimiento". [80]

Impacto

Los expertos académicos que participaron en la formulación del RGPD escribieron que la ley "es el desarrollo regulatorio más importante en materia de política de información en una generación. El RGPD coloca los datos personales en un régimen regulatorio complejo y protector". [81]

A pesar de haber tenido al menos dos años para prepararse y hacerlo, muchas empresas y sitios web cambiaron sus políticas y características de privacidad en todo el mundo directamente antes de la implementación del RGPD, y habitualmente proporcionaban correos electrónicos y otras notificaciones para discutir estos cambios. Esto fue criticado por resultar en una cantidad agotadora de comunicaciones, mientras que los expertos señalaron que algunos correos electrónicos recordatorios afirmaban incorrectamente que se debía obtener un nuevo consentimiento para el procesamiento de datos para cuando el RGPD entrara en vigencia (cualquier consentimiento obtenido previamente para el procesamiento es válido siempre que cumpla con los requisitos de la regulación). También surgieron estafas de phishing que utilizaban versiones falsificadas de correos electrónicos relacionados con el RGPD, y también se argumentó que algunos correos electrónicos de notificación del RGPD podrían haber sido enviados en violación de las leyes antispam. [82] [13] En marzo de 2019, un proveedor de software de cumplimiento descubrió que muchos sitios web operados por gobiernos de estados miembros de la UE contenían seguimiento integrado de proveedores de tecnología publicitaria. [83] [84]

El aluvión de avisos relacionados con el RGPD también inspiró memes , incluidos los relacionados con avisos de política de privacidad que se entregan por medios atípicos (como una tabla Ouija o un texto introductorio de Star Wars ), lo que sugiere que la lista de "traviesos o buenos" de Papá Noel era una violación, y una grabación de extractos de la regulación por un ex locutor de la BBC Radio 4 Shipping Forecast . También se creó un blog, GDPR Hall of Shame , para mostrar la entrega inusual de avisos del RGPD y los intentos de cumplimiento que contenían violaciones atroces de los requisitos de la regulación. Su autor comentó que la regulación "tiene muchos detalles esenciales y minuciosos, pero no mucha información sobre cómo cumplir", pero también reconoció que las empresas tenían dos años para cumplir, lo que hace que algunas de sus respuestas sean injustificadas. [85] [86] [87] [88] [89]

Las investigaciones indican que aproximadamente el 25% de las vulnerabilidades del software tienen implicaciones en el RGPD. [90] Dado que el artículo 33 hace hincapié en las infracciones, no en los errores, los expertos en seguridad aconsejan a las empresas que inviertan en procesos y capacidades para identificar vulnerabilidades antes de que puedan explotarse, incluidos procesos coordinados de divulgación de vulnerabilidades . [91] [92] Una investigación de las políticas de privacidad de las aplicaciones de Android, las capacidades de acceso a los datos y el comportamiento de acceso a los datos ha demostrado que numerosas aplicaciones muestran un comportamiento algo más respetuoso con la privacidad desde que se implementó el RGPD, aunque todavía conservan la mayoría de sus privilegios de acceso a los datos en su código. [93] [94] Una investigación del Consejo Noruego del Consumidor sobre los paneles de control de los interesados ​​posteriores al RGPD en las plataformas de redes sociales (como el panel de control de Google ) ha concluido que las grandes empresas de redes sociales implementan tácticas engañosas para disuadir a sus clientes de agudizar sus configuraciones de privacidad. [95]

En la fecha de entrada en vigor, algunos sitios web comenzaron a bloquear por completo a los visitantes de los países de la UE (incluidos Instapaper , [96] Unroll.me, [97] y los periódicos propiedad de Tribune Publishing , como Chicago Tribune y Los Angeles Times ) o los redirigieron a versiones reducidas de sus servicios (en el caso de National Public Radio y USA Today ) con funcionalidad limitada y/o sin publicidad para no ser responsables. [98] [99] [100] [101] Algunas empresas, como Klout y varios videojuegos en línea, cesaron sus operaciones por completo para coincidir con su implementación, citando el RGPD como una carga para sus operaciones continuas, especialmente debido al modelo de negocio del primero. [102] [103] [104] El volumen de colocaciones de publicidad conductual en línea en Europa cayó entre un 25 y un 40 % el 25 de mayo de 2018. [105] [106]

En 2020, dos años después de que comenzara su implementación el RGPD, la Comisión Europea evaluó que los usuarios de toda la UE habían aumentado su conocimiento sobre sus derechos, afirmando que "el 69% de la población mayor de 16 años en la UE ha oído hablar del RGPD y el 71% de las personas ha oído hablar de su autoridad nacional de protección de datos". [107] [108] La comisión también encontró que la privacidad se ha convertido en una cualidad competitiva para las empresas que los consumidores están tomando en cuenta en sus procesos de toma de decisiones. [107]

Aplicación e inconsistencia

Facebook y sus filiales WhatsApp e Instagram , así como Google LLC (orientada a Android ), fueron demandados inmediatamente por la organización sin fines de lucro NOYB de Max Schrems apenas horas después de la medianoche del 25 de mayo de 2018, por su uso del "consentimiento forzoso". Schrems afirma que ambas empresas violaron el Artículo 7(4) al no presentar opt-ins para el consentimiento del procesamiento de datos de forma individualizada y al requerir que los usuarios consientan todas las actividades de procesamiento de datos (incluidas aquellas que no son estrictamente necesarias) o se les prohibiría usar los servicios. [109] [110] [111] [112] [113] El 21 de enero de 2019, la DPA francesa multó a Google con 50 millones de euros por mostrar un control, consentimiento y transparencia insuficientes sobre el uso de datos personales para publicidad conductual. [114] [115] En noviembre de 2018, a raíz de una investigación periodística sobre Liviu Dragnea , la DPA rumana (ANSPDCP) utilizó una solicitud GDPR para exigir información sobre las fuentes del Proyecto RISE . [116] [117]

En julio de 2019, la Oficina del Comisionado de Información del Reino Unido emitió una intención de multar a British Airways con una cifra récord de 183 millones de libras esterlinas (1,5% de la facturación) por unos mecanismos de seguridad deficientes que permitieron un ataque de robo de datos web en 2018 que afectó a unas 380.000 transacciones. [118] [119] [120] [121] [122] British Airways fue finalmente multada con una cantidad reducida de 20 millones de libras esterlinas, y la ICO señaló que habían "considerado tanto las declaraciones de BA como el impacto económico del COVID-19 en su negocio antes de establecer una sanción final". [123]

En diciembre de 2019, Politico informó que Irlanda y Luxemburgo –dos países más pequeños de la UE que tienen reputación de ser paraísos fiscales y (especialmente en el caso de Irlanda) de ser sede de filiales europeas de grandes empresas tecnológicas estadounidenses– se enfrentaban a importantes retrasos en sus investigaciones de importantes empresas extranjeras en virtud del RGPD, y que Irlanda citaba como factor la complejidad de la regulación. Los críticos entrevistados por Politico también argumentaron que la aplicación de la normativa también se veía obstaculizada por las diferentes interpretaciones entre los Estados miembros, la priorización de la orientación sobre la aplicación por parte de algunas autoridades y la falta de cooperación entre los Estados miembros. [124]

En noviembre de 2021, el Consejo Irlandés de Libertades Civiles presentó una denuncia formal ante la Comisión alegando que incumple su obligación, en virtud del Derecho de la UE, de supervisar cuidadosamente la aplicación por parte de Irlanda del RGPD. [125] Hasta enero de 2023, la Comisión publicó un nuevo compromiso basado en la denuncia del ICCL. [125]

Aunque las empresas están ahora sujetas a obligaciones legales, todavía existen varias inconsistencias en la implementación práctica y técnica del RGPD. [126] Por ejemplo, de acuerdo con el derecho de acceso del RGPD, las empresas están obligadas a proporcionar a los interesados ​​los datos que recopilan sobre ellos. Sin embargo, en un estudio sobre tarjetas de fidelidad en Alemania, las empresas no proporcionaron a los interesados ​​la información exacta de los artículos adquiridos. [127] Se podría argumentar que dichas empresas no recopilan la información de los artículos adquiridos, lo que no se ajusta a sus modelos de negocio. Por lo tanto, los interesados ​​tienden a ver esto como una violación del RGPD. Como resultado, los estudios han sugerido un mejor control por parte de las autoridades. [127]

Según el RGPD, el consentimiento de los usuarios finales debe ser válido, libremente otorgado, específico, informado y activo. [128] Sin embargo, la falta de exigibilidad con respecto a la obtención de consentimientos legales ha sido un desafío. Como ejemplo, un estudio de 2020 mostró que las grandes empresas tecnológicas , es decir, Google , Amazon , Facebook , Apple y Microsoft (GAFAM), utilizan patrones oscuros en sus mecanismos de obtención de consentimiento, lo que genera dudas sobre la legalidad del consentimiento adquirido. [128]

En marzo de 2021, se informó que los estados miembros de la UE, encabezados por Francia, estaban intentando modificar el impacto de la regulación de la privacidad en Europa eximiendo a las agencias de seguridad nacional. [129]

Después de que en 2020 se impusieran alrededor de 160 millones de euros en multas en virtud del RGPD, la cifra ya superó los mil millones de euros en 2021. [130]

Influencia en las leyes extranjeras

La adopción masiva de estas nuevas normas de privacidad por parte de empresas multinacionales se ha citado como un ejemplo del " efecto Bruselas ", un fenómeno en el que las leyes y regulaciones europeas se utilizan como base debido a su gravedad. [131]

El estado de California (EE. UU.) aprobó el 28 de junio de 2018 la Ley de Privacidad del Consumidor de California , que entró en vigor el 1 de enero de 2020. Esta ley otorga derechos de transparencia y control sobre la recopilación de información personal por parte de las empresas de forma similar al RGPD. Los críticos han argumentado que estas leyes deben implementarse a nivel federal para ser efectivas, ya que una colección de leyes a nivel estatal tendría diferentes estándares que complicarían el cumplimiento. [132] [133] [134] Desde entonces, otros dos estados de EE. UU. han promulgado leyes similares: Virginia aprobó la Ley de Privacidad de Datos del Consumidor el 2 de marzo de 2021, [135] y Colorado promulgó la Ley de Privacidad de Colorado el 8 de julio de 2021. [136]

La República de Turquía , candidata a la adhesión a la Unión Europea , adoptó la Ley de Protección de Datos Personales el 24 de marzo de 2016 en cumplimiento del acervo de la UE . [137]

La Ley de Protección de Información Personal de China de 2021 es la primera ley integral del país sobre derechos de datos personales y está inspirada en el RGPD. [138] : 131 

Suiza también adoptará una nueva ley de protección de datos que en gran medida seguirá el RGPD de la UE. [139]

Visitas y ganancias del sitio web

Un estudio de 2024 concluyó que el RGPD redujo las visitas a páginas web de los usuarios de la UE y los ingresos por ellas en un 12 %. [140]

Cronología

Mercado Único Digital de la UE

La estrategia de la UE para el Mercado Único Digital se refiere a las actividades de la « economía digital » relacionadas con las empresas y las personas en la UE. [148] Como parte de la estrategia, el RGPD y la Directiva NIS se aplican a partir del 25 de mayo de 2018. También estaba previsto que el Reglamento sobre privacidad electrónica propuesto se aplicara a partir del 25 de mayo de 2018, pero se retrasará varios meses. [149] El Reglamento eIDAS también forma parte de la estrategia.

En una evaluación inicial, el Consejo Europeo afirmó que el RGPD debería considerarse «un requisito previo para el desarrollo de futuras iniciativas de política digital». [150]

Véase también

Leyes de privacidad similares en otros países:

Reglamento de la UE relacionado:

Conceptos relacionados:

Tácticas de cumplimiento de ciertas empresas:

Notas al pie

  1. ^ El control conjunto surge "cuando dos o más responsables del tratamiento determinan conjuntamente los fines y medios del tratamiento" de los datos. Se les exige que acuerden sus respectivas responsabilidades de manera "transparente" y que comuniquen "la esencia del acuerdo" a los interesados. [1] : Art. 26 
  2. ^ Véase el artículo  4(18) del RGPD: «empresa» significa una persona física o jurídica que ejerza una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que ejerzan regularmente una actividad económica. [1] : Art. 30 

Referencias

  1. ^ abcdefghijklmnopqrstu vwx Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
  2. ^ "Presidencia del Consejo: 'Texto de compromiso. Varias orientaciones generales parciales han contribuido a que el Consejo converja en sus puntos de vista sobre la propuesta de Reglamento general de protección de datos en su totalidad. El texto del Reglamento que la Presidencia presenta para su aprobación como orientación general figura en el anexo', 201 páginas, 11 de junio de 2015, PDF". Archivado desde el original el 25 de diciembre de 2015 . Consultado el 30 de diciembre de 2015 .
  3. ^ Ryngaert, C y Taylor, M 2020, '¿El RGPD como reglamento global de protección de datos?', AJIL unbound , vol. 114, págs. 5–9.
  4. ^ "El RGPD del Reino Unido". Oficina del Comisionado de Información ico . 28 de junio de 2021 . Consultado el 3 de mayo de 2024 .
  5. ^ Francesca Lucarini, "Las diferencias entre la Ley de Privacidad del Consumidor de California y el RGPD" Archivado el 12 de julio de 2020 en Wayback Machine , Asesor
  6. ^ Artículo 3(2) : El presente Reglamento se aplica al tratamiento de datos personales de interesados ​​que se encuentran en la Unión por un responsable o un encargado del tratamiento no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios, independientemente de que se requiera un pago por parte del interesado, a dichos interesados ​​en la Unión; o b) la vigilancia de su comportamiento en la medida en que este tenga lugar dentro de la Unión.
  7. ^ "¿Qué son los datos personales?". Enero de 2021. Archivado desde el original el 24 de julio de 2019. Consultado el 22 de julio de 2019 .
  8. ^ Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por parte de las autoridades competentes para fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o de ejecución de sanciones penales, y a la libre circulación de dichos datos y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo
  9. ^ El Reglamento General de Protección de Datos de la UE propuesto. Una guía para abogados internos, Hunton & Williams LLP, junio de 2015, pág. 14
  10. ^ ab Procedimiento 2012/0011/COD Procedimiento para el marco jurídico revisado propuesto (Reglamento General de Protección de Datos)
  11. ^ "Edad de consentimiento en el RGPD: mapeo actualizado". iapp.org . Archivado desde el original el 27 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  12. ^ "Cómo el Reglamento de Protección de Datos de la UE propuesto está creando un efecto dominó en todo el mundo" Archivado el 17 de febrero de 2021 en Wayback Machine . Judy Schmitt, Florian Stahl. 11 de octubre de 2012. Consultado el 3 de enero de 2013.
  13. ^ ab Hern, Alex (21 de mayo de 2018). «La mayoría de los correos electrónicos relacionados con el RGPD son innecesarios y algunos ilegales, según los expertos». The Guardian . Archivado desde el original el 28 de mayo de 2018. Consultado el 28 de mayo de 2018 .
  14. ^ Kamleitner, Bernadette; Mitchell, Vince (1 de octubre de 2019). "Sus datos son mis datos: un marco para abordar las infracciones interdependientes de la privacidad". Revista de políticas públicas y marketing . 38 (4): 433–450. doi : 10.1177/0743915619858924 . ISSN  0743-9156. S2CID  201343307.
  15. ^ abc «Diario Oficial L 119/2016». eur-lex.europa.eu . Archivado desde el original el 22 de noviembre de 2018 . Consultado el 26 de mayo de 2018 .
  16. ^ "Directrices sobre el derecho a la portabilidad de los datos en virtud del Reglamento 2016/679". Comisión Europea. 2017. Archivado desde el original el 29 de junio de 2017. Consultado el 2 de noviembre de 2023 .
  17. ^ Veale, Michael; Binns, Reuben; Ausloos, Jef (2018). "Cuando la protección de datos por diseño y los derechos de los interesados ​​entran en conflicto". Derecho internacional de la privacidad de datos . 8 (2): 105–123. doi : 10.1093/idpl/ipy002 .
  18. ^ Zuiderveen Borgesius, Frederik J. (abril de 2016). «Señalar a personas sin conocer sus nombres: segmentación por comportamiento, datos seudónimos y el nuevo Reglamento de Protección de Datos». Computer Law & Security Review . 32 (2): 256–271. doi :10.1016/j.clsr.2015.12.013. ISSN  0267-3649.
  19. ^ Baldry, Tony ; Hyams, Oliver (15 de mayo de 2014). "El derecho a ser olvidado". 1 Tribunal de Essex. Archivado desde el original el 19 de octubre de 2017 . Consultado el 1 de junio de 2014 .
  20. ^ P7_TA(2014)0212 Protección de las personas físicas en lo que respecta al tratamiento de datos personales ***I Resolución legislativa del Parlamento Europeo, de 12 de marzo de 2014, sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos) (COM(2012)0011 — C7-0025/2012 — 2012/0011(COD)) P7_TC1-COD(2012)0011 Posición del Parlamento Europeo aprobada en primera lectura el 12 de marzo de 2014 con vistas a la adopción del Reglamento (UE) nº …/2014 del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos)
  21. ^ "Privacidad de datos práctica | Libros de Thoughtworkers". Thoughtworks . Consultado el 25 de agosto de 2023 .
  22. ^ ab "Derecho a objetar". ico.org.uk . 30 de agosto de 2019. Archivado desde el original el 2 de diciembre de 2019 . Consultado el 14 de noviembre de 2019 .
  23. ^ Sookman, Barry; Charles Morgan; Adam Goldenberg (30 de abril de 2021). «Uso de las leyes de privacidad para regular la toma de decisiones automatizada». Barry Sookman . Archivado desde el original el 24 de mayo de 2021. Consultado el 24 de mayo de 2021 .
  24. ^ Sentencia del Tribunal de Justicia (Sala Tercera) de 4 de mayo de 2023. UI contra Österreichische Post AG. Petición de decisión prejudicial planteada por el Oberster Gerichtshof. Asunto C-300/21, ECLI:EU:C:2023:370: Petición de decisión prejudicial — Protección de las personas físicas en lo que respecta al tratamiento de datos personales — Reglamento (UE) 2016/679 — Artículo 82, apartado 1 — Derecho a indemnización por los daños y perjuicios causados ​​por un tratamiento de datos contrario a dicho Reglamento — Requisitos para el derecho a indemnización — Insuficiencia de la mera infracción de dicho Reglamento — Necesidad del daño causado por dicha infracción — Indemnización del daño moral resultante de dicho tratamiento — Incompatibilidad de una norma nacional que supedita la indemnización de tales daños y perjuicios a la superación de un umbral de gravedad — Normas de determinación de la indemnización por los tribunales nacionales.
  25. ^ Österreichische Post (C-300/21), sub 54.
  26. ^ Conclusiones del Abogado General Campos Sánchez-Bordona presentadas el 25 de mayo de 2023. ZQ contra Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts. Asunto C‑667/21, ECLI:EU:C:2023:433 (Texto provisional)
  27. ^ "Avisos de privacidad en virtud del Reglamento General de Protección de Datos de la UE". ico.org.uk . 19 de enero de 2018. Archivado desde el original el 23 de mayo de 2018 . Consultado el 22 de mayo de 2018 .
  28. ^ "¿Qué información se debe facilitar a las personas cuyos datos se recogen?". Europa (portal web). Archivado desde el original el 23 de mayo de 2018. Consultado el 23 de mayo de 2018 .
  29. ^ "Privacidad y protección de datos desde el diseño – ENISA". Europa (portal web). Archivado desde el original el 5 de abril de 2017 . Consultado el 4 de abril de 2017 .
  30. ^ Ciencia de datos bajo el RGPD con seudonimización en el flujo de datos Archivado el 18 de abril de 2018 en Wayback Machine Publicado por Dativa, 17 de abril de 2018
  31. ^ ab Wes, Matt (25 de abril de 2017). "¿Quiere cumplir con el RGPD? Aquí encontrará una introducción a la anonimización y la seudonimización". IAPP. Archivado desde el original el 19 de febrero de 2018. Consultado el 19 de febrero de 2018 .
  32. ^ "Datos personales seguros | Comité Europeo de Protección de Datos". www.edpb.europa.eu . Consultado el 16 de mayo de 2024 .
  33. ^ "Protección de datos por diseño y por defecto". ico.org.uk . 1 de julio de 2023 . Consultado el 16 de mayo de 2024 .
  34. ^ "Cómo proteger su privacidad en línea". onerep . 4 de septiembre de 2023 . Consultado el 16 de mayo de 2024 .
  35. ^ "¿Qué ocurre si alguien retira su consentimiento? - Comisión Europea". commission.europa.eu . Consultado el 16 de mayo de 2024 .
  36. ^ "Explicación de las solicitudes de los interesados ​​en el marco del RGPD". TrueVault . Archivado desde el original el 20 de febrero de 2019 . Consultado el 19 de febrero de 2019 .
  37. ^ "Directrices sobre los delegados de protección de datos ('DPD')". Archivado desde el original el 29 de junio de 2017 . Consultado el 2 de noviembre de 2023 .
  38. ^ Jankowski, Piper-Meredith (21 de junio de 2017). «Alcance del RGPD: ¿Qué está en juego?». Lexology . Archivado desde el original el 26 de mayo de 2018. Consultado el 25 de mayo de 2018 .
  39. ^ "Exenciones". ico.org.uk . 20 de julio de 2020. Archivado desde el original el 11 de noviembre de 2020 . Consultado el 11 de noviembre de 2020 .
  40. ^ Wehlander, Caroline (2016). ""Actividad económica": criterios y relevancia en los ámbitos del Derecho del mercado interior de la UE, el Derecho de la competencia y el Derecho de la contratación pública" (PDF) . En Wehlander, Caroline (ed.). Los servicios de interés económico general como concepto constitucional del Derecho de la UE . La Haya, Países Bajos: TMC Asser Press. pp. 35–65. doi :10.1007/978-94-6265-117-3_2. ISBN 978-94-6265-116-6. Archivado (PDF) del original el 26 de mayo de 2018 . Consultado el 23 de mayo de 2018 .
  41. ^ "El ámbito de aplicación (extra)territorial del RGPD: el derecho al olvido". Fasken.com . 28 de noviembre de 2019. Archivado desde el original el 21 de febrero de 2020 . Consultado el 21 de febrero de 2020 .
  42. ^ "Ámbito de aplicación extraterritorial del RGPD: ¿deben cumplirlo las empresas de fuera de la UE?". Colegio de Abogados de Estados Unidos. Archivado desde el original el 21 de febrero de 2020. Consultado el 21 de febrero de 2020 .
  43. ^ abcd «Reino Unido: Entender el impacto total del Brexit en el Reino Unido: flujos de datos de la UE». Privacy Matters . DLA Piper . 23 de septiembre de 2019. Archivado desde el original el 20 de febrero de 2020 . Consultado el 20 de febrero de 2020 .
  44. ^ abc Palmer, Danny. "En materia de protección de datos, el Reino Unido dice que actuará por su cuenta. Probablemente no lo hará". ZDNet . Archivado desde el original el 16 de febrero de 2020. Consultado el 20 de febrero de 2020 .
  45. ^ Donnelly, Conor (18 de enero de 2018). «Cómo transferir datos a un «tercer país» según el RGPD». Blog de gobernanza de TI En . Archivado desde el original el 21 de febrero de 2020 . Consultado el 21 de febrero de 2020 .
  46. ^ "Derechos digitales post-Brexit". Youtube . Open Rights Group . 2 de noviembre de 2022. Archivado desde el original el 22 de noviembre de 2022 . Consultado el 27 de noviembre de 2022 .Vídeo de Open Rights Group desarrollado para explicar las propuestas del Reino Unido
  47. ^ "Se ultima la nueva Ley de Protección de Datos en el Reino Unido". Out-Law.com . Archivado desde el original el 25 de mayo de 2018. Consultado el 25 de mayo de 2018 .
  48. ^ Ashford, Warwick (24 de mayo de 2018). «La nueva Ley de Protección de Datos del Reino Unido no es bien recibida por todos». Computer Weekly . Archivado desde el original el 24 de mayo de 2018. Consultado el 25 de mayo de 2018 .
  49. ^ Porter, Jon (20 de febrero de 2020). «Google transfiere la autoridad sobre los datos de los usuarios del Reino Unido a los EE. UU. tras el Brexit». The Verge . Archivado desde el original el 20 de febrero de 2020. Consultado el 20 de febrero de 2020 .
  50. ^ "Los menores de 18 años se enfrentan a límites de 'likes' y 'streaks'". BBC News . 15 de abril de 2019. Archivado desde el original el 15 de abril de 2019 . Consultado el 15 de abril de 2019 .
  51. ^ Greenfield, Patrick (15 de abril de 2019). «Se insta a Facebook a desactivar la función «Me gusta» para los usuarios menores de edad». The Guardian . ISSN  0261-3077. Archivado desde el original el 15 de abril de 2019. Consultado el 15 de abril de 2019 .
  52. ^ Afifi-Sabet, Keumars (12 de marzo de 2021). «Reino Unido busca una divergencia con el RGPD para 'impulsar el crecimiento'». IT PRO . Archivado desde el original el 13 de marzo de 2021. Consultado el 12 de marzo de 2021 .
  53. ^ "Se desmontan los mitos sobre el intercambio de datos". Oficina del Comisionado de Información . 19 de mayo de 2023. Consultado el 19 de octubre de 2023 .
  54. ^ "Los nueve principales mitos sobre el RGPD desmentidos". WS Law . 22 de enero de 2019 . Consultado el 19 de octubre de 2023 .
  55. ^ "Cinco mitos sobre el RGPD". Field Fisher . 11 de mayo de 2023 . Consultado el 19 de octubre de 2023 .
  56. ^ Artículo 3 (2) del RGPD
  57. ^ Gooch, Peter (2018). "Una nueva era para la privacidad: el RGPD seis meses después" (PDF) . Deloitte UK . Archivado (PDF) del original el 12 de octubre de 2020. Consultado el 26 de noviembre de 2020 .
  58. ^ "Cómo las empresas inteligentes pueden evitar las sanciones del RGPD al grabar llamadas". xewave.io . Archivado desde el original el 14 de abril de 2018 . Consultado el 13 de abril de 2018 .
  59. ^ Babel, Chris (11 de julio de 2017). «Los altos costes del cumplimiento del RGPD». InformationWeek . UBM Technology Group. Archivado desde el original el 5 de octubre de 2017 . Consultado el 4 de octubre de 2017 .
  60. ^ "Preparación para nuevos regímenes de privacidad: opiniones de los profesionales de la privacidad sobre el Reglamento general de protección de datos y el Escudo de privacidad" (PDF) . bakermckenzie.com . Baker & McKenzie. 4 de mayo de 2016. Archivado (PDF) del original el 31 de agosto de 2018 . Consultado el 4 de octubre de 2017 .
  61. ^ Georgiev, Georgi. "Calculadora de costes de cumplimiento del RGPD". GIGAcalculator.com . Archivado desde el original el 16 de mayo de 2018. Consultado el 16 de mayo de 2018 .
  62. ^ Solon, Olivia (19 de abril de 2018). «Cómo la 'innovadora' ley de privacidad europea se enfrenta a Facebook y Google». The Guardian . Archivado desde el original el 26 de mayo de 2018. Consultado el 25 de mayo de 2018 .
  63. ^ "Las nuevas normas de privacidad de Europa no son una panacea". Politico.eu . 22 de abril de 2018. Archivado desde el original el 26 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
  64. ^ "La falta de conocimiento sobre el RGPD es un peligro y una oportunidad". MicroscopeUK . Archivado desde el original el 26 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
  65. ^ Jeong, Sarah (22 de mayo de 2018). "Nadie está listo para el RGPD". The Verge . Archivado desde el original el 28 de mayo de 2018. Consultado el 1 de junio de 2018 .
  66. ^ Edwards, Elaine (22 de febrero de 2018). «Las nuevas normas sobre protección de datos plantean problemas de cumplimiento para las empresas». The Irish Times . Archivado desde el original el 26 de mayo de 2018. Consultado el 25 de mayo de 2018 .
  67. ^ Chassang, Gauthier (2017). "El impacto del Reglamento general de protección de datos de la UE en la investigación científica". ecancermedicalscience . 11 : 709. doi :10.3332/ecancer.2017.709. ISSN  1754-6605. PMC 5243137 . PMID  28144283. 
  68. ^ Tarhonen, Laura (2017). «Seudonimización de datos personales según el Reglamento General de Protección de Datos». Archivado desde el original el 19 de febrero de 2018. Consultado el 19 de febrero de 2018 .
  69. ^ "Un informe reciente publicado por la Asociación Blockchain de Irlanda ha descubierto que hay muchas más preguntas que respuestas en lo que respecta al RGPD". siliconrepublic.com . 23 de noviembre de 2017. Archivado desde el original el 5 de marzo de 2018 . Consultado el 5 de marzo de 2018 .
  70. ^ Sample, Ian (27 de enero de 2017). «Se necesita un organismo de control de la IA para regular la toma de decisiones automatizada, dicen los expertos». The Guardian . ISSN  0261-3077. Archivado desde el original el 18 de junio de 2017. Consultado el 15 de julio de 2017 .
  71. ^ "El derecho de la UE a una explicación: una restricción perjudicial a la inteligencia artificial". techzone360.com . Archivado desde el original el 4 de agosto de 2017 . Consultado el 15 de julio de 2017 .
  72. ^ Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28 de diciembre de 2016). "Por qué no existe un derecho a la explicación de la toma de decisiones automatizada en el Reglamento General de Protección de Datos". Derecho internacional de la privacidad de datos . SSRN  2903469.
  73. ^ Edwards, Lilian; Veale, Michael (2017). "¿Esclavo del algoritmo? Por qué un "derecho a una explicación" probablemente no sea el remedio que estás buscando". Duke Law and Technology Review . doi :10.2139/ssrn.2972855. SSRN  2972855.
  74. ^ Frimin, Michael (29 de marzo de 2018). «Cinco beneficios que el cumplimiento del RGPD aportará a su empresa». Forbes . Archivado desde el original el 12 de septiembre de 2018. Consultado el 11 de septiembre de 2018 .
  75. ^ Butterworth, Trevor (23 de mayo de 2018). «La nueva y estricta ley de privacidad digital de Europa debería ser un modelo para los responsables políticos estadounidenses». Vox. Archivado desde el original el 12 de septiembre de 2018. Consultado el 11 de septiembre de 2018 .
  76. ^ Jaffe, Justin; Hautala, Laura (25 de mayo de 2018). "Lo que el RGPD significa para Facebook, la UE y usted". CNET . Archivado desde el original el 12 de septiembre de 2018. Consultado el 11 de septiembre de 2018 .
  77. ^ "El llamado del CEO de Facebook, Zuckerberg, a leyes de privacidad GDPR plantea preguntas". www.cnbc.com . Abril de 2019. Archivado desde el original el 4 de abril de 2019 . Consultado el 8 de abril de 2019 .
  78. ^ Tiku, Nitasha (19 de marzo de 2018). «La nueva ley de privacidad de Europa cambiará la web y mucho más». Wired . Archivado desde el original el 15 de octubre de 2018. Consultado el 11 de septiembre de 2018 .
  79. ^ Kalyanpur, Nikhil; Newman, Abraham (25 de mayo de 2018). «Hoy, una nueva ley de la UE transforma los derechos de privacidad de todos. Sin Edward Snowden, tal vez nunca hubiera sucedido». The Washington Post . Archivado desde el original el 11 de octubre de 2018. Consultado el 11 de septiembre de 2018 .
  80. ^ Stallman, Richard (3 de abril de 2018). «Una propuesta radical para mantener seguros sus datos personales». The Guardian . Archivado desde el original el 12 de septiembre de 2018. Consultado el 11 de septiembre de 2018 .
  81. ^ Hoofnagle, Chris Jay; van der Sloot, Bart; Borgesius, Frederik Zuiderveen (10 de febrero de 2019). «El Reglamento general de protección de datos de la Unión Europea: qué es y qué significa». Derecho de las tecnologías de la información y las comunicaciones . 28 (1): 65–98. doi :10.1080/13600834.2019.1573501. hdl : 2066/204503 .
  82. ^ Afifi-Sabet, Keumars (3 de mayo de 2018). "Los estafadores están utilizando las alertas de correo electrónico del RGPD para realizar ataques de phishing". IT PRO . Archivado desde el original el 26 de mayo de 2018. Consultado el 25 de mayo de 2018 .
  83. ^ "Los sitios web de salud pública y del gobierno de la UE están plagados de tecnología publicitaria, según un estudio". TechCrunch . 18 de marzo de 2019. Archivado desde el original el 10 de abril de 2021 . Consultado el 18 de marzo de 2019 .
  84. ^ "Los ciudadanos de la UE están siendo rastreados en sitios web gubernamentales sensibles". Financial Times . 18 de marzo de 2019. Archivado desde el original el 19 de marzo de 2019 . Consultado el 18 de marzo de 2019 .
  85. ^ "Duérmase en segundos escuchando una voz relajante mientras lee la nueva legislación GDPR de la UE". The Verge . Archivado desde el original el 17 de junio de 2018 . Consultado el 16 de junio de 2018 .
  86. ^ "Cómo las normas GDPR de Europa se convirtieron en un meme". Wired . Archivado desde el original el 18 de junio de 2018. Consultado el 17 de junio de 2018 .
  87. ^ "Internet creó un meme inspirado en el RGPD utilizando políticas de privacidad". Adweek . Archivado desde el original el 17 de junio de 2018 . Consultado el 17 de junio de 2018 .
  88. ^ Burgess, Matt. "¡Ayuda, mis bombillas están muertas! Cómo el RGPD se volvió más importante que Beyoncé". Wired.co.uk . Archivado desde el original el 19 de junio de 2018. Consultado el 17 de junio de 2018 .
  89. ^ "A continuación se muestran algunos de los peores intentos de cumplir con el RGPD". Motherboard . 25 de mayo de 2018. Archivado desde el original el 18 de junio de 2018 . Consultado el 17 de junio de 2018 .
  90. ^ "¿Qué porcentaje de las vulnerabilidades de su software tienen implicaciones para el RGPD?" (PDF) . HackerOne. 16 de enero de 2018. Archivado (PDF) del original el 6 de julio de 2018 . Consultado el 6 de julio de 2018 .
  91. ^ "El Delegado de Protección de Datos (DPD): Todo lo que debes saber". Cranium y HackerOne. 20 de marzo de 2018. Archivado desde el original el 31 de agosto de 2018. Consultado el 6 de julio de 2018 .
  92. ^ "¿Cómo podrían ser los programas de recompensas por errores en el marco del RGPD?". Asociación Internacional de Profesionales de la Privacidad (IAPP). 27 de marzo de 2018. Archivado desde el original el 6 de julio de 2018. Consultado el 6 de julio de 2018 .
  93. ^ Momen, N.; Hatamian, M.; Fritsch, L. (noviembre de 2019). "¿Mejoró la privacidad de las aplicaciones después del RGPD?". IEEE Security Privacy . 17 (6): 10–20. doi :10.1109/MSEC.2019.2938445. ISSN  1558-4046. S2CID  203699369.
  94. ^ Hatamian, Majid; Momen, Nurul; Fritsch, Lothar; Rannenberg, Kai (2019), Naldi, Maurizio; Italiano, Giuseppe F.; Rannenberg, Kai; Medina, Manel (eds.), "Un método de análisis del impacto de la privacidad multilateral para aplicaciones de Android", Tecnologías y políticas de privacidad , Lecture Notes in Computer Science, vol. 11498, Springer International Publishing, págs. 87–106, doi :10.1007/978-3-030-21752-5_7, ISBN 978-3-030-21751-8, S2CID  184483219, archivado desde el original el 12 de julio de 2020 , consultado el 3 de junio de 2020
  95. ^ Moen, Gro Mette, Ailo Krogh Ravna y Finn Myrstad. "Engañados por diseño: cómo las empresas tecnológicas utilizan patrones oscuros para disuadirnos de ejercer nuestro derecho a la privacidad" Archivado el 20 de diciembre de 2019 en Wayback Machine . 2018. Informe del Consejo Noruego del Consumidor.
  96. ^ "Instapaper está cerrando temporalmente el acceso a los usuarios europeos debido al RGPD". The Verge . Archivado desde el original el 24 de mayo de 2018 . Consultado el 24 de mayo de 2018 .
  97. ^ "Unroll.me está demasiado cerca de los usuarios de la UE y dice que no puede cumplir con el RGPD". TechCrunch . 5 de mayo de 2018. Archivado desde el original el 30 de mayo de 2018 . Consultado el 29 de mayo de 2018 .
  98. ^ Hern, Alex; Waterson, Jim (24 de mayo de 2018). «Los sitios bloquean usuarios, cierran actividades e inundan las bandejas de entrada a medida que se avecinan las normas del RGPD». The Guardian . Archivado desde el original el 24 de mayo de 2018. Consultado el 25 de mayo de 2018 .
  99. ^ "Bloquear a 500 millones de usuarios es más fácil que cumplir con las nuevas reglas de Europa". Bloomberg LP 25 de mayo de 2018. Archivado desde el original el 25 de mayo de 2018. Consultado el 26 de mayo de 2018 .
  100. ^ "Los medios de comunicación estadounidenses bloquean a los lectores europeos por las nuevas normas de privacidad". The New York Times . 25 de mayo de 2018. ISSN  0362-4331. Archivado desde el original el 26 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  101. ^ "Mira: Esto es lo que ven los ciudadanos de la UE ahora que ha entrado en vigor el RGPD". Advertising Age . Archivado desde el original el 25 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  102. ^ Tiku, Nitasha (24 de mayo de 2018). "Por qué su bandeja de entrada está repleta de políticas de privacidad". Wired . Archivado desde el original el 24 de mayo de 2018. Consultado el 25 de mayo de 2018 .
  103. ^ Chen, Brian X. (23 de mayo de 2018). "¿Está recibiendo una avalancha de actualizaciones de políticas de privacidad relacionadas con el RGPD? Léalas". The New York Times . ISSN  0362-4331. Archivado desde el original el 24 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
  104. ^ Lanxon, Nate (25 de mayo de 2018). «Bloquear a 500 millones de usuarios es más fácil que cumplir con las nuevas normas de Europa». Bloomberg . Archivado desde el original el 25 de mayo de 2018. Consultado el 25 de mayo de 2018 .
  105. ^ "El caos del RGPD: la compra de publicidad programática se desploma en Europa". Digiday . 25 de mayo de 2018. Archivado desde el original el 25 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  106. ^ Skiera, Bernd; Miller, Klaus Matías; Jin, Yuxi; Kraft, Lennart; Laub, René; Schmitt, Julia (5 de julio de 2022). El impacto del RGPD en el mercado de la publicidad online. Fráncfort del Meno: Bernd Skiera. ISBN 978-3-9824173-0-1.OCLC 1322186902  .
  107. ^ ab «Rincón de prensa». Comisión Europea - Comisión Europea . Archivado desde el original el 27 de diciembre de 2020 . Consultado el 18 de septiembre de 2020 .
  108. ^ "Sus derechos importan: Protección de datos y privacidad - Encuesta sobre derechos fundamentales". Agencia de los Derechos Fundamentales de la Unión Europea . 12 de junio de 2020. Archivado desde el original el 25 de septiembre de 2020. Consultado el 18 de septiembre de 2020 .
  109. ^ "RGPD: noyb.eu ha presentado cuatro denuncias por 'consentimiento forzoso' contra Google, Instagram, WhatsApp y Facebook" (PDF) . NOYB.eu. 25 de mayo de 2018. Archivado desde el original (PDF) el 25 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  110. ^ "Facebook y Google recibieron demandas por 8.800 millones de dólares el primer día de la aplicación del RGPD". The Verge . Archivado desde el original el 25 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  111. ^ "Max Schrems presenta sus primeros casos en virtud del RGPD contra Facebook y Google". The Irish Times . Archivado desde el original el 25 de mayo de 2018. Consultado el 26 de mayo de 2018 .
  112. ^ "Facebook y Google se enfrentan a las primeras quejas sobre el RGPD por 'consentimiento forzado'". TechCrunch . 25 de mayo de 2018. Archivado desde el original el 26 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  113. ^ Meyer, David. "Google y Facebook se enfrentan a graves denuncias por incumplimiento del RGPD: otras empresas también lo harán pronto". ZDNet . Archivado desde el original el 28 de mayo de 2018. Consultado el 26 de mayo de 2018 .
  114. ^ Fox, Chris (21 de enero de 2019). «Google recibe una multa de 44 millones de libras por incumplimiento del RGPD». BBC News . Archivado desde el original el 21 de enero de 2019. Consultado el 14 de junio de 2019 .
  115. ^ Porter, Jon (21 de enero de 2019). «Google multado con 50 millones de euros por violación del RGPD en Francia». The Verge . Archivado desde el original el 10 de junio de 2019. Consultado el 14 de junio de 2019 .
  116. ^ Masnick, Mike (19 de noviembre de 2018). «Otro desastre más del RGPD: se ordena a los periodistas que entreguen fuentes secretas en virtud de la ley de «protección de datos»». Archivado desde el original el 20 de noviembre de 2018. Consultado el 20 de noviembre de 2018 .
  117. ^ Bălăiți, George (9 de noviembre de 2018). «Traducción al inglés de la carta de la Autoridad de Protección de Datos de Rumanía al Proyecto RISE». Proyecto de denuncia de la corrupción y el crimen organizado . Archivado desde el original el 9 de noviembre de 2018. Consultado el 20 de noviembre de 2018 .
  118. ^ "Intención de multar a British Airways con 183,39 millones de libras esterlinas en virtud del RGPD por la violación de datos". ICO . 8 de julio de 2019. Archivado desde el original el 6 de diciembre de 2020 . Consultado el 22 de diciembre de 2020 .
  119. ^ Whittaker, Zack (11 de septiembre de 2018). "Los investigadores afirman que la filtración de datos de British Airways fue causada por un malware de clonación de tarjetas de crédito". TechCrunch . Archivado desde el original el 10 de diciembre de 2018 . Consultado el 9 de diciembre de 2018 .
  120. ^ "El jefe de British Airways se disculpa por una filtración de datos 'maliciosa'". BBC News . 7 de septiembre de 2018. Archivado desde el original el 15 de octubre de 2018 . Consultado el 7 de septiembre de 2018 .
  121. ^ Sweney, Mark (8 de julio de 2019). «BA enfrenta una multa de 183 millones de libras por la violación de datos de pasajeros». The Guardian . ISSN  0261-3077. Archivado desde el original el 8 de julio de 2019 . Consultado el 8 de julio de 2019 .
  122. ^ "British Airways enfrenta una multa récord de £183 millones por violación de datos". BBC News . 8 de julio de 2019. Archivado desde el original el 8 de julio de 2019 . Consultado el 8 de julio de 2019 .
  123. ^ "La ICO multa a British Airways con 20 millones de libras por una filtración de datos que afectó a más de 400.000 clientes". ICO . 16 de octubre de 2020. Archivado desde el original el 16 de octubre de 2020 . Consultado el 22 de diciembre de 2020 .
  124. ^ Vinocur, Nicholas (27 de diciembre de 2019). «'Tenemos un problema enorme': el regulador europeo se desespera por la falta de cumplimiento». Politico . Archivado desde el original el 28 de diciembre de 2019 . Consultado el 6 de mayo de 2020 .
  125. ^ ab Ryan, Johnny (31 de enero de 2023). «Revisión a escala europea de la supervisión del RGPD impulsada por el ICCL». Consejo Irlandés de Libertades Civiles . Archivado desde el original el 6 de abril de 2023. Consultado el 8 de abril de 2023 .
  126. ^ Alizadeh, Fatemeh; Jakobi, Timo; Boldt, Jens; Stevens, Gunnar (2019). "GDPR-Reality Check on the Right to Access Data". Actas de Mensch und Computer 2019. Nueva York: ACM Press. págs. 811–814. doi :10.1145/3340764.3344913. ISBN 978-1-4503-7198-8.S2CID202159324  .​
  127. ^ ab Alizadeh, Fatemeh; Jakobi, Timo; Boden, Alexander; Stevens, Gunnar; Boldt, Jens (2020). "GDPR Reality Check–Claiming and Investigating Personally Identifiable Data from Companies" (PDF) . EuroUSEC . Archivado (PDF) del original el 17 de junio de 2020 . Consultado el 17 de junio de 2020 .
  128. ^ ab Human, Soheil; Cech, Florian (2021). "Una perspectiva centrada en el ser humano sobre el consentimiento digital: el caso de GAFAM" (PDF) . En Zimmermann, Alfred; Howlett, Robert J.; Jain, Lakhmi C. (eds.). Sistemas inteligentes centrados en el ser humano . Innovación inteligente, sistemas y tecnologías. Vol. 189. Singapur: Springer. págs. 139–159. doi :10.1007/978-981-15-5784-2_12. ISBN . 978-981-15-5784-2. S2CID  214699040. Archivado (PDF) del original el 14 de abril de 2021 . Consultado el 23 de agosto de 2020 .
  129. ^ Christakis y Propp, Theodore y Kenneth (8 de marzo de 2021). «Cómo los servicios de inteligencia europeos pretenden evitar el Tribunal Supremo de la UE y qué significa esto para Estados Unidos». Lawfare . Archivado desde el original el 23 de septiembre de 2023 . Consultado el 13 de marzo de 2021 .
  130. ^ Browne, Ryan (18 de enero de 2022). «Las multas por infracciones de la legislación sobre privacidad de la UE se multiplican por siete hasta los 1200 millones de dólares, mientras las grandes tecnológicas se llevan la peor parte». CNBC . Archivado desde el original el 9 de febrero de 2022 . Consultado el 9 de febrero de 2022 .
  131. ^ Roberts, Jeff John (25 de mayo de 2018). "El RGPD está en vigor: ¿deberían tener miedo las empresas estadounidenses?". Archivado desde el original el 28 de mayo de 2018. Consultado el 28 de mayo de 2018 .
  132. ^ "Comentario: La nueva ley de privacidad de datos de California podría iniciar un desastre regulatorio". Fortune . Archivado desde el original el 10 de abril de 2019 . Consultado el 10 de abril de 2019 .
  133. ^ "California aprueba por unanimidad un proyecto de ley histórico sobre privacidad". Wired . Archivado desde el original el 29 de junio de 2018. Consultado el 29 de junio de 2018 .
  134. ^ "Los especialistas en marketing y las empresas tecnológicas se enfrentan a la versión californiana del RGPD". Archivado desde el original el 29 de junio de 2018 . Consultado el 29 de junio de 2018 .
  135. ^ "Virginia aprueba la Ley de Protección de Datos del Consumidor". Asociación Internacional de Profesionales de la Privacidad . 3 de marzo de 2021. Archivado desde el original el 30 de agosto de 2021. Consultado el 26 de agosto de 2021 .
  136. ^ "La Ley de Privacidad de Colorado se convierte en ley". Asociación Internacional de Profesionales de la Privacidad . 8 de julio de 2021. Archivado desde el original el 26 de agosto de 2021. Consultado el 26 de agosto de 2021 .
  137. ^ "KİŞİSEL VERİLERİ KORUMA KURUMU | KVKK | Historia". www.kvkk.gov.tr. ​Consultado el 19 de diciembre de 2020 .
  138. ^ Zhang, Angela Huyue (2024). High Wire: Cómo China regula las grandes empresas tecnológicas y gobierna su economía . Oxford University Press . ISBN 9780197682258.
  139. ^ Portal, SME «Nueva Ley Federal de Protección de Datos (nFADP)». www.kmu.admin.ch . Archivado desde el original el 25 de marzo de 2023. Consultado el 25 de marzo de 2023 .
  140. ^ Goldberg, Samuel G.; Johnson, Garrett A.; Shriver, Scott K. (2024). "Regulación de la privacidad en línea: una evaluación económica del RGPD". American Economic Journal: Economic Policy . 16 (1): 325–358. doi :10.1257/pol.20210309. ISSN  1945-7731.
  141. ^ «Reforma de la protección de datos: el Consejo adopta su posición en primera lectura – Consilium». Europa (portal web). Archivado desde el original el 6 de octubre de 2017. Consultado el 14 de abril de 2016 .
  142. ^ Adopción de la posición del Consejo en primera lectura Archivado el 25 de noviembre de 2017 en Wayback Machine , Votewatch.eu
  143. ^ Procedimiento escrito Archivado el 1 de diciembre de 2017 en Wayback Machine , 8 de abril de 2016, Consejo de la Unión Europea
  144. ^ "Reforma de la protección de datos: el Parlamento aprueba nuevas normas adaptadas a la era digital - Noticias - Parlamento Europeo". 14 de abril de 2016. Archivado desde el original el 17 de abril de 2016 . Consultado el 14 de abril de 2016 .
  145. ^ "La historia del Reglamento General de Protección de Datos | Supervisor Europeo de Protección de Datos". edps.europa.eu . 25 de mayo de 2018 . Consultado el 2 de febrero de 2024 .
  146. ^ "El Reglamento General de Protección de Datos (RGPD) entró en vigor en el EEE". EFTA . 20 de julio de 2018. Archivado desde el original el 1 de octubre de 2018 . Consultado el 30 de septiembre de 2018 .
  147. ^ Kolsrud, Kjetil (10 de julio de 2018). "GDPR - 20 de julio". Rett24 . Archivado desde el original el 13 de julio de 2018 . Consultado el 13 de julio de 2018 .
  148. ^ «Mercado Único Digital». Mercado Único Digital . Archivado desde el original el 8 de octubre de 2017. Consultado el 5 de octubre de 2017 .
  149. ^ "¿Qué significa el Reglamento sobre privacidad electrónica para la industria en línea? – ePrivacy". www.eprivacy.eu . Archivado desde el original el 22 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  150. ^ "Posición y conclusiones del Consejo sobre la aplicación del Reglamento general de protección de datos (RGPD), 19 de diciembre de 2019". Consilium . Archivado desde el original el 23 de diciembre de 2019 . Consultado el 23 de diciembre de 2019 .

Enlaces externos