El Reglamento General de Protección de Datos (Reglamento (UE) 2016/679), [1] abreviado como RGPD o RGPD en francés (por Règlement général sur la protection des données ) es un reglamento de la Unión Europea sobre privacidad de la información en la Unión Europea (UE) y el Espacio Económico Europeo (EEE). El RGPD es un componente importante de la legislación de la UE en materia de privacidad y derechos humanos , en particular el artículo 8(1) de la Carta de los Derechos Fundamentales de la Unión Europea . También rige la transferencia de datos personales fuera de la UE y el EEE. Los objetivos del RGPD son mejorar el control y los derechos de las personas sobre su información personal y simplificar las regulaciones para los negocios internacionales . [2] Reemplaza la Directiva de Protección de Datos 95/46/CE y, entre otras cosas, simplifica la terminología.
El Parlamento Europeo y el Consejo de la Unión Europea adoptaron el RGPD el 14 de abril de 2016, que entrará en vigor el 25 de mayo de 2018. Como reglamento de la UE (en lugar de una directiva ), el RGPD es directamente aplicable con fuerza de ley por sí mismo sin necesidad de transposición . Sin embargo, también ofrece flexibilidad para que los estados miembros individuales modifiquen (deroguen) algunas de sus disposiciones.
Como ejemplo del efecto Bruselas , la regulación se convirtió en un modelo para muchas otras leyes en todo el mundo, incluidos Brasil, Japón, Singapur, Sudáfrica, Corea del Sur, Sri Lanka y Tailandia. [ cita requerida ] [3] Después de abandonar la Unión Europea, el Reino Unido promulgó su "UK GDPR", idéntico al GDPR. [4] La Ley de Privacidad del Consumidor de California (CCPA), adoptada el 28 de junio de 2018, tiene muchas similitudes con el GDPR. [5]
El RGPD de 2016 consta de once capítulos que tratan de disposiciones generales, principios, derechos del interesado, obligaciones de los responsables o encargados del tratamiento de datos, transferencias de datos personales a terceros países, autoridades de control, cooperación entre Estados miembros, recursos, responsabilidad o sanciones por incumplimiento de derechos y disposiciones finales diversas. El considerando 4 proclama que «el tratamiento de datos personales debe estar concebido para servir a la humanidad».
El Reglamento se aplica si el responsable del tratamiento de datos (una organización que recopila información sobre personas vivas, ya sea que se encuentren en la UE o no), el encargado del tratamiento (una organización que procesa datos en nombre de un responsable del tratamiento de datos, como los proveedores de servicios en la nube) o el interesado (una persona) tiene su sede en la UE. En determinadas circunstancias, [6] el Reglamento también se aplica a organizaciones con sede fuera de la UE si recopilan o procesan datos personales de personas ubicadas dentro de la UE. El Reglamento no se aplica al procesamiento de datos por parte de una persona para una "actividad puramente personal o doméstica y, por lo tanto, sin conexión con una actividad profesional o comercial" (considerando 18).
Según la Comisión Europea , "los datos personales son información relacionada con una persona física identificada o identificable. Si no puede identificar directamente a una persona física a partir de esa información, deberá considerar si la persona física sigue siendo identificable. Debe tener en cuenta la información que está procesando junto con todos los medios que es razonablemente probable que usted o cualquier otra persona utilicen para identificar a esa persona". [7] Las definiciones precisas de términos como "datos personales", "procesamiento", "interesado", "responsable del tratamiento" y "encargado del tratamiento" se establecen en el artículo 4. [ 1] : Art. 4
El reglamento no pretende aplicarse al tratamiento de datos personales para actividades de seguridad nacional o de aplicación de la ley de la UE; sin embargo, los grupos de la industria preocupados por enfrentarse a un posible conflicto de leyes han cuestionado si el artículo 48 podría invocarse para tratar de impedir que un responsable del tratamiento de datos sujeto a las leyes de un tercer país cumpla con una orden legal de las autoridades policiales, judiciales o de seguridad nacional de ese país para revelar a dichas autoridades los datos personales de una persona de la UE, independientemente de si los datos residen dentro o fuera de la UE. El artículo 48 establece que cualquier sentencia de un tribunal o corte y cualquier decisión de una autoridad administrativa de un tercer país que requiera que un responsable o procesador transfiera o revele datos personales no puede ser reconocida o ejecutable de ninguna manera a menos que se base en un acuerdo internacional, como un tratado de asistencia jurídica mutua en vigor entre el tercer país solicitante (no perteneciente a la UE) y la UE o un estado miembro. El paquete de reforma de la protección de datos también incluye una Directiva de Protección de Datos separada para el sector policial y de justicia penal que proporciona reglas sobre intercambios de datos personales a nivel estatal , a nivel de la Unión y a nivel internacional. [8]
Un único conjunto de normas se aplica a todos los Estados miembros de la UE. Cada Estado miembro establece una autoridad supervisora (AS) independiente para escuchar e investigar quejas, sancionar infracciones administrativas, etc. [1] : Arts. 46–55 Las AS de cada Estado miembro cooperan con otras AS, prestándose asistencia mutua y organizando operaciones conjuntas. Si una empresa tiene varios establecimientos en la UE, debe tener una única AS como su "autoridad principal", basándose en la ubicación de su "establecimiento principal" donde tienen lugar las principales actividades de procesamiento. La autoridad principal actúa así como una " ventanilla única " para supervisar todas las actividades de procesamiento de esa empresa en toda la UE. [9] [10] Un Comité Europeo de Protección de Datos (CEPD) coordina las AS. El CEPD sustituye así al Grupo de Trabajo de Protección de Datos del Artículo 29. Existen excepciones para los datos procesados en un contexto laboral o de seguridad nacional que aún podrían estar sujetos a las regulaciones de cada país. [1] : Arts. 2(2)(a) y 88
El artículo 5 establece seis principios relativos a la licitud del tratamiento de datos personales. El primero de ellos especifica que los datos deben tratarse de manera lícita, leal y transparente. El artículo 6 desarrolla este principio especificando que los datos personales no pueden tratarse a menos que exista al menos una base jurídica para ello. Los demás principios se refieren a la "limitación de la finalidad", la " minimización de los datos ", la "exactitud", la "limitación del plazo de conservación" y la "integridad y confidencialidad".
El artículo 6 establece que los fines lícitos son:
Si se utiliza el consentimiento informado [1] : Art. 4(11) como base legal para el procesamiento, el consentimiento debe haber sido explícito para los datos recopilados y para cada propósito para el que se utilizan los datos. [1] : Art. 7 El consentimiento debe ser una afirmación específica, libremente otorgada, redactada de manera clara e inequívoca por el interesado; un formulario en línea que tenga opciones de consentimiento estructuradas como una opción de exclusión seleccionada por defecto es una violación del RGPD, ya que el consentimiento no es afirmado inequívocamente por el usuario. Además, no se pueden "agrupar" varios tipos de procesamiento en una única solicitud de afirmación, ya que esta no es específica para cada uso de los datos y los permisos individuales no se otorgan libremente. (Considerando 32).
Los interesados deben tener la posibilidad de retirar este consentimiento en cualquier momento, y el proceso para hacerlo no debe ser más difícil que el de optar por ello. [1] : Art. 7(3) Un responsable del tratamiento de datos no puede rechazar el servicio a los usuarios que rechacen el consentimiento para el tratamiento que no sea estrictamente necesario para utilizar el servicio. [1] : Art. 8 El consentimiento para los niños, definidos en el reglamento como menores de 16 años (aunque con la opción de que los Estados miembros lo reduzcan individualmente a 13 años), debe ser dado por el padre o tutor del niño, y verificable. [11] [12]
Si ya se ha otorgado el consentimiento para el tratamiento de datos conforme a la Directiva de protección de datos, el responsable del tratamiento de datos no tiene que volver a obtener el consentimiento si el tratamiento está documentado y se obtiene de conformidad con los requisitos del RGPD (considerando 171). [13] [14]
El artículo 12 exige que el responsable del tratamiento proporcione información al "interesado en forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo, en particular cuando se trate de información dirigida específicamente a un niño".
El derecho de acceso ( artículo 15 ) es un derecho del interesado. [15] Confiere a las personas el derecho a acceder a sus datos personales y a la información sobre cómo se están procesando dichos datos personales. El responsable del tratamiento de datos debe proporcionar, previa solicitud, una descripción general de las categorías de datos que se están procesando [1] : art. 15(1)(b) así como una copia de los datos reales; [1] : art. 15(3) además, el responsable del tratamiento de datos debe informar al interesado sobre los detalles del procesamiento, como los fines del procesamiento, [1] : art. 15(1)(a) con quién se comparten los datos, [1] : art. 15(1)(c) y cómo adquirió los datos. [1] : art. 15(1)(g)
El interesado debe poder transferir datos personales de un sistema de procesamiento electrónico a otro sin que el responsable del tratamiento se lo impida. Se excluyen los datos que se han anonimizado lo suficiente, pero no los que solo se han desidentificado pero que siguen siendo posibles de vincular con el individuo en cuestión, por ejemplo, proporcionando el identificador pertinente. [16] Sin embargo, en la práctica, proporcionar dichos identificadores puede ser un desafío, como en el caso de Siri de Apple , donde los datos de voz y transcripción se almacenan con un identificador personal al que el fabricante restringe el acceso, [17] o en la segmentación conductual en línea, que se basa en gran medida en huellas digitales del dispositivo que pueden ser difíciles de capturar, enviar y verificar. [18]
Se incluyen tanto los datos "facilitados" por el interesado como los datos "observados", como los relativos a su comportamiento. Además, los datos deben ser facilitados por el responsable del tratamiento en un formato electrónico estándar, estructurado y de uso común. El derecho a la portabilidad de los datos está previsto en el artículo 20 .
El derecho al olvido fue reemplazado por un derecho de borrado más limitado en la versión del RGPD que fue adoptada por el Parlamento Europeo en marzo de 2014. [19] [20] El artículo 17 establece que el interesado tiene derecho a solicitar el borrado de los datos personales relacionados con él por cualquiera de una serie de motivos, incluido el incumplimiento del artículo 6(1) (licitud) que incluye un caso (f) si los intereses legítimos del responsable del tratamiento son anulados por los intereses o los derechos y libertades fundamentales del interesado, que requieren la protección de datos personales (véase también Google Spain SL, Google Inc. v Agencia Española de Protección de Datos, Mario Costeja González ). [21]
El artículo 21 del RGPD permite a una persona oponerse al procesamiento de información personal para fines de marketing o no relacionados con el servicio. [22] Esto significa que el responsable del tratamiento de datos debe permitir a una persona el derecho a detener o impedir que el responsable procese sus datos personales.
Existen algunos casos en los que esta objeción no se aplica. Por ejemplo, si:
El RGPD también establece claramente que el responsable del tratamiento de datos debe informar a las personas de su derecho a oponerse desde la primera comunicación que mantenga con ellas. Esto debe ser claro y estar separado de cualquier otra información que el responsable proporcione y debe darles las opciones para oponerse al tratamiento de sus datos.
Hay casos en los que el responsable del tratamiento puede rechazar una solicitud, en las circunstancias en que la solicitud de objeción sea "manifiestamente infundada" o "excesiva", por lo que cada caso de objeción debe analizarse individualmente. [22] Otros países como Canadá [23] también están, siguiendo el RGPD, considerando la posibilidad de promulgar una legislación para regular la toma de decisiones automatizada en virtud de las leyes de privacidad, aunque existen cuestiones de política sobre si esta es la mejor manera de regular la IA. [ cita requerida ]
El artículo 82 del RGPD establece que cualquier persona que haya sufrido un daño material o inmaterial como consecuencia de una infracción de este Reglamento tendrá derecho a recibir del responsable o del encargado del tratamiento una indemnización por el daño sufrido.
En la sentencia Österreichische Post (C-300/21), el Tribunal de Justicia de la Unión Europea interpretó el derecho a indemnización. [24] El artículo 82(1) del RGPD exige para la concesión de la indemnización (i) una infracción del RGPD, (ii) un daño (real) sufrido y (iii) una relación causal entre la infracción y el daño sufrido. No es necesario que el daño sufrido alcance un determinado grado de gravedad. No existe un concepto europeo definido de daño. La indemnización se determina a nivel nacional de conformidad con el Derecho nacional. Deben tenerse en cuenta los principios de equivalencia y efectividad. [25]
Véanse también las conclusiones del Abogado General en el asunto Krankenversicherung Nordrhein (C-667/21). [26]
Los responsables del tratamiento de datos deben revelar claramente cualquier recopilación de datos , declarar la base legal y el propósito del procesamiento de datos, y declarar durante cuánto tiempo se conservan los datos y si se comparten con terceros o fuera del EEE. Las empresas tienen la obligación de proteger los datos de los empleados y consumidores en la medida en que solo se extraigan los datos necesarios con la mínima interferencia con la privacidad de los datos de los empleados, consumidores o terceros. Las empresas deben tener controles y regulaciones internas para varios departamentos, como auditoría, controles internos y operaciones. Los interesados tienen derecho a solicitar una copia portátil de los datos recopilados por un responsable del tratamiento en un formato común, así como el derecho a que se borren sus datos en determinadas circunstancias. Las autoridades públicas y las empresas cuyas actividades principales consisten en el procesamiento regular o sistemático de datos personales, deben emplear un delegado de protección de datos (DPD), que es responsable de gestionar el cumplimiento del RGPD. Los responsables del tratamiento de datos deben informar sobre las violaciones de datos a las autoridades supervisoras nacionales en un plazo de 72 horas si tienen un efecto adverso en la privacidad del usuario. En algunos casos, los infractores del RGPD pueden ser multados con hasta 20 millones de euros o hasta el 4 % de la facturación anual mundial del ejercicio anterior en el caso de una empresa, lo que sea mayor.
Para poder demostrar el cumplimiento del RGPD, el responsable del tratamiento de datos debe implementar medidas que cumplan los principios de protección de datos desde el diseño y por defecto. El artículo 25 exige que las medidas de protección de datos se diseñen en el desarrollo de procesos comerciales para productos y servicios. Dichas medidas incluyen la seudonimización de los datos personales, por parte del responsable, lo antes posible (considerando 78). Es responsabilidad y obligación del responsable del tratamiento implementar medidas efectivas y poder demostrar el cumplimiento de las actividades de tratamiento, incluso si el tratamiento lo lleva a cabo un encargado del tratamiento en nombre del responsable (considerando 74). Cuando se recopilan datos, los interesados deben ser informados claramente sobre el alcance de la recopilación de datos, la base jurídica para el tratamiento de datos personales, durante cuánto tiempo se conservan los datos, si los datos se transfieren a un tercero y/o fuera de la UE, y cualquier toma de decisiones automatizada que se realice sobre una base exclusivamente algorítmica . Los interesados deben ser informados de sus derechos de privacidad en virtud del RGPD, incluido su derecho a revocar el consentimiento para el procesamiento de datos en cualquier momento, su derecho a ver sus datos personales y acceder a una descripción general de cómo se están procesando, su derecho a obtener una copia portátil de los datos almacenados , su derecho a borrar sus datos en determinadas circunstancias, su derecho a impugnar cualquier toma de decisiones automatizada que se haya realizado sobre una base exclusivamente algorítmica y su derecho a presentar quejas ante una autoridad de protección de datos . Como tal, el interesado también debe recibir los datos de contacto del responsable del tratamiento de datos y su delegado de protección de datos designado, cuando corresponda. [27] [28]
Las evaluaciones de impacto de la protección de datos ( artículo 35 ) deben realizarse cuando existan riesgos específicos para los derechos y libertades de los interesados. Se requiere una evaluación y mitigación de riesgos y, en el caso de riesgos elevados, se requiere la aprobación previa de las autoridades de protección de datos.
El artículo 25 exige que la protección de datos se diseñe en el desarrollo de procesos comerciales para productos y servicios. Por lo tanto, la configuración de privacidad debe establecerse en un nivel alto por defecto, y el responsable del tratamiento debe adoptar medidas técnicas y procedimentales para asegurarse de que el tratamiento, a lo largo de todo el ciclo de vida del tratamiento, cumpla con el reglamento. Los responsables también deben implementar mecanismos para garantizar que los datos personales no se procesen a menos que sea necesario para cada propósito específico. Esto se conoce como minimización de datos.
Un informe [29] de la Agencia de la Unión Europea para la Seguridad de las Redes y de la Información explica en detalle lo que se debe hacer para lograr la privacidad y la protección de datos de manera predeterminada. Especifica que las operaciones de cifrado y descifrado deben realizarse localmente, no por un servicio remoto, porque tanto las claves como los datos deben permanecer en poder del propietario de los datos para lograr algún tipo de privacidad. El informe especifica que el almacenamiento de datos externalizado en nubes remotas es práctico y relativamente seguro si solo el propietario de los datos, no el servicio en la nube, posee las claves de descifrado.
Según el RGPD, la seudonimización es un proceso obligatorio para los datos almacenados que transforma los datos personales de tal manera que los datos resultantes no puedan atribuirse a un interesado específico sin el uso de información adicional (como alternativa a la otra opción de anonimización completa de los datos ). [30] Un ejemplo es el cifrado , que hace que los datos originales sean ininteligibles en un proceso que no se puede revertir sin acceso a la clave de descifrado correcta . El RGPD exige que la información adicional (como la clave de descifrado) se mantenga separada de los datos seudonimizados.
Otro ejemplo de seudonimización es la tokenización , que es un enfoque no matemático para proteger los datos en reposo que reemplaza los datos confidenciales con sustitutos no confidenciales, denominados tokens. Si bien los tokens no tienen un significado o valor extrínseco o explotable, permiten que datos específicos sean total o parcialmente visibles para su procesamiento y análisis, mientras que la información confidencial se mantiene oculta. La tokenización no altera el tipo ni la longitud de los datos, lo que significa que pueden ser procesados por sistemas heredados, como bases de datos que pueden ser sensibles a la longitud y el tipo de datos. Esto también requiere muchos menos recursos computacionales para procesar y menos espacio de almacenamiento en bases de datos que los datos cifrados tradicionalmente.
La seudonimización es una tecnología que mejora la privacidad y se recomienda para reducir los riesgos para los interesados y también para ayudar a los responsables y encargados del tratamiento a cumplir con sus obligaciones en materia de protección de datos (considerando 28). [31]
De acuerdo con el artículo 30, cada organización debe mantener registros de las actividades de procesamiento que cumplan uno de los siguientes criterios:
Estos requisitos podrán ser modificados por cada país de la UE. Los registros deberán estar en formato electrónico y el responsable o el encargado del tratamiento y, en su caso, su representante, pondrán el registro a disposición de la autoridad de control cuando esta lo solicite.
Los registros del responsable del tratamiento deberán contener toda la siguiente información:
Los registros del procesador deberán contener toda la siguiente información:
Los responsables y encargados del tratamiento de datos personales deben establecer medidas técnicas y organizativas adecuadas para aplicar los principios de protección de datos. [32] Los procesos empresariales que manejan datos personales deben diseñarse y construirse teniendo en cuenta los principios y proporcionar salvaguardas para proteger los datos (por ejemplo, utilizando seudonimización o anonimización total cuando sea apropiado). [33] Los responsables del tratamiento de datos deben diseñar sistemas de información teniendo en cuenta la privacidad. Por ejemplo, utilizando la configuración de privacidad más alta posible por defecto, de modo que los conjuntos de datos no estén disponibles públicamente por defecto y no puedan utilizarse para identificar a un sujeto. No se pueden procesar datos personales a menos que este procesamiento se realice con arreglo a una de las seis bases legales especificadas por el reglamento ( consentimiento , contrato, tarea pública, interés vital, interés legítimo o requisito legal). Cuando el procesamiento se basa en el consentimiento, el interesado tiene derecho a revocarlo en cualquier momento. [34]
El artículo 33 establece que el responsable del tratamiento de datos tiene la obligación legal de notificar a la autoridad de control sin demora indebida, a menos que sea improbable que la violación dé lugar a un riesgo para los derechos y libertades de las personas. Hay un máximo de 72 horas desde que se tiene conocimiento de la violación de datos para presentar la notificación. Las personas deben ser notificadas si se determina que existe un alto riesgo de impacto adverso. [1] : Art. 34 Además, el encargado del tratamiento de datos tendrá que notificar al responsable sin demora indebida después de tener conocimiento de una violación de datos personales. [1] : Art. 33 Sin embargo, la notificación a los interesados no es necesaria si el responsable del tratamiento de datos ha implementado medidas técnicas y organizativas de protección adecuadas que hagan que los datos personales sean ininteligibles para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado. [1] : Art. 34
El artículo 37 exige la designación de un delegado de protección de datos. Si el tratamiento lo lleva a cabo una autoridad pública (excepto los tribunales o las autoridades judiciales independientes cuando actúen en el ejercicio de sus funciones judiciales), o si las operaciones de tratamiento implican un seguimiento regular y sistemático de los interesados a gran escala, o si el tratamiento a gran escala de categorías especiales de datos y datos personales relativos a condenas e infracciones penales ( artículos 9 y 10 ), se debe designar un delegado de protección de datos (DPD), una persona con conocimientos especializados de la legislación y las prácticas de protección de datos, para ayudar al responsable o al encargado del tratamiento a supervisar su cumplimiento interno del Reglamento.
El DPD designado puede ser un miembro actual del personal de un responsable o encargado del tratamiento, o bien la función puede ser externalizada a una persona o agencia externa mediante un contrato de servicios. En cualquier caso, el organismo encargado del tratamiento debe asegurarse de que no exista ningún conflicto de intereses en otras funciones o intereses que pueda tener el DPD. Los datos de contacto del DPD deben ser publicados por la organización encargada del tratamiento (por ejemplo, en un aviso de privacidad) y registrados ante la autoridad de control.
El DPO es similar a un oficial de cumplimiento y también se espera que sea competente en la gestión de procesos de TI, seguridad de datos (incluido el manejo de ciberataques ) y otros problemas críticos de continuidad comercial asociados con la tenencia y procesamiento de datos personales y confidenciales. El conjunto de habilidades requeridas se extiende más allá de comprender el cumplimiento legal de las leyes y regulaciones de protección de datos. El DPO debe mantener un inventario de datos vivo de todos los datos recopilados y almacenados en nombre de la organización. [35] El 13 de diciembre de 2016 (revisado el 5 de abril de 2017) se brindaron más detalles sobre la función y el papel del oficial de protección de datos en un documento de directrices. [36]
Las organizaciones con sede fuera de la UE también deben designar a una persona con sede en la UE como representante y punto de contacto para sus obligaciones en virtud del RGPD. [1] : Art. 27 Se trata de una función distinta a la de un DPD, aunque existe una superposición de responsabilidades que sugiere que esta función también puede ser desempeñada por el DPD designado. [37]
Los artículos 42 y 43 del RGPD establecen la base jurídica para las certificaciones formales en virtud del RGPD. Establecen la base para dos categorías de certificaciones: [38]
Según el art. 42 del RGPD, el objetivo de esta certificación es demostrar “el cumplimiento del RGPD de las operaciones de tratamiento por parte de los responsables y encargados del tratamiento”. [39] Existen más de 70 referencias a la certificación en el RGPD, que abarcan diversas obligaciones como: [39]
La certificación GDPR también contribuye a reducir los riesgos legales y financieros de los solicitantes, así como de los controladores de datos que utilizan servicios de procesamiento de datos certificados. [40]
La adopción de los Sellos Europeos de Protección de Datos es responsabilidad del Comité Europeo de Protección de Datos (CEPD) y está reconocida en todos los Estados miembros de la UE y del EEE . [41]
En octubre de 2022, los criterios de certificación de Europrivacy fueron reconocidos oficialmente por el Comité Europeo de Protección de Datos (CEPD) para servir como Sello Europeo de Protección de Datos. [42] Europrivacy fue desarrollado por el programa de investigación europeo y es administrado por el Centro Europeo de Certificación y Privacidad (ECCP) en Luxemburgo.
Además de las definiciones como delito penal según la legislación nacional de conformidad con el artículo 83 del RGPD, se pueden imponer las siguientes sanciones:
Se trata de algunos casos que no se abordan específicamente en el RGPD y, por lo tanto, se tratan como exenciones. [43]
Por el contrario, una entidad o, más precisamente, una "empresa" tiene que estar involucrada en una "actividad económica" para estar cubierta por el RGPD. [b] La actividad económica se define de manera amplia en la legislación sobre competencia de la Unión Europea . [44]
El RGPD también se aplica a los responsables y encargados del tratamiento de datos fuera del Espacio Económico Europeo (EEE) si se dedican a la "oferta de bienes o servicios" (independientemente de si se requiere un pago) a los interesados dentro del EEE, o están monitoreando el comportamiento de los interesados dentro del EEE (artículo 3(2)). El reglamento se aplica independientemente de dónde se realice el procesamiento. [45] Esto se ha interpretado como que se otorga intencionalmente al RGPD jurisdicción extraterritorial para establecimientos no pertenecientes a la UE si están haciendo negocios con personas ubicadas en la UE. Es cuestionable si la UE o sus estados miembros podrán en la práctica hacer cumplir el RGPD contra organizaciones que no tienen establecimiento en la UE. [46]
En virtud del artículo 27 , los establecimientos no pertenecientes a la UE sujetos al RGPD están obligados a tener un designado dentro de la Unión Europea, un "Representante de la UE", que actúe como punto de contacto para sus obligaciones en virtud del reglamento. El Representante de la UE es la persona de contacto del Responsable o Encargado del Tratamiento ante los supervisores europeos de privacidad y los interesados, en todos los asuntos relacionados con el tratamiento, para garantizar el cumplimiento de este RGPD. Una persona física (individual) o jurídica (corporación) puede desempeñar el papel de Representante de la UE. [1] : Art. 27(4) El establecimiento no perteneciente a la UE debe emitir un documento debidamente firmado (carta de acreditación) que designe a una persona física o empresa determinada como su Representante de la UE. Dicha designación solo puede realizarse por escrito. [1] : Art. 27(1)
El hecho de que una empresa no designe un representante de la UE se considera ignorancia de la normativa y de las obligaciones pertinentes, lo que en sí mismo constituye una infracción del RGPD sujeta a multas de hasta 10 millones de euros o hasta el 2 % de la facturación mundial anual del ejercicio anterior en el caso de una empresa, lo que sea mayor. El carácter intencional o negligente (ceguera voluntaria) de la infracción (no designar un representante de la UE) puede constituir más bien factores agravantes. [1] : Arts. 83(1) & 83(2) & 83(4a)
Un establecimiento no necesita nombrar un representante de la UE si solo realiza un tratamiento ocasional que no incluye, a gran escala, el tratamiento de categorías especiales de datos a que se refiere el artículo 9(1) del RGPD o el tratamiento de datos personales relacionados con condenas y delitos penales a que se refiere el artículo 10, y es poco probable que dicho tratamiento genere un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, el contexto, el alcance y los fines del tratamiento. Las autoridades y organismos públicos no pertenecientes a la UE también están exentos. [1] : Art. 27(2)
El Capítulo V del RGPD prohíbe la transferencia de datos personales de titulares de datos de la UE a países fuera del EEE —conocidos como terceros países— a menos que se impongan garantías adecuadas, o que la normativa de protección de datos del tercer país sea formalmente considerada adecuada por la Comisión Europea (artículo 45). [47] [48] Entre los ejemplos se encuentran las normas corporativas vinculantes , las cláusulas contractuales estándar para la protección de datos emitidas por un Acuerdo de Procesamiento de Datos (APD), o un sistema de compromisos vinculantes y exigibles por parte del responsable o procesador de datos situado en un tercer país. [49]
La aplicabilidad del RGPD en el Reino Unido se ve afectada por el Brexit . Aunque el Reino Unido se retiró formalmente de la Unión Europea el 31 de enero de 2020, siguió sujeto a la legislación de la UE, incluido el RGPD, hasta el final del período de transición el 31 de diciembre de 2020. [47] El 23 de mayo de 2018, el Reino Unido otorgó la sanción real a la Ley de Protección de Datos de 2018 , que amplió el RGPD, incluidos aspectos de la regulación que deben determinarse por la legislación nacional y delitos penales por obtener, redistribuir o conservar consciente o imprudentemente datos personales sin el consentimiento del responsable del tratamiento de datos. [51] [52]
En virtud de la Ley de Retirada de la Unión Europea de 2018 , la legislación vigente y pertinente de la UE se transpuso a la legislación local una vez finalizada la transición, y el RGPD se modificó mediante un instrumento legal para eliminar ciertas disposiciones que ya no eran necesarias debido a la no pertenencia del Reino Unido a la UE. A partir de entonces, el reglamento se denominará "RGPD del Reino Unido". [53] [48] [47] El Reino Unido no restringirá la transferencia de datos personales a países dentro del EEE en virtud del RGPD del Reino Unido. Sin embargo, el Reino Unido se convertirá en un tercer país en virtud del RGPD de la UE, lo que significa que los datos personales no podrán transferirse al país a menos que se impongan las salvaguardas adecuadas o que la Comisión Europea realice una decisión de adecuación sobre la idoneidad de la legislación británica en materia de protección de datos (Capítulo V). Como parte del acuerdo de retirada , la Comisión Europea se comprometió a realizar una evaluación de adecuación. [47] [48]
En abril de 2019, la Oficina del Comisionado de Información del Reino Unido (ICO) emitió un código de prácticas para niños en relación con los servicios de redes sociales utilizados por menores, aplicable en virtud del RGPD, que también incluye restricciones a los mecanismos de " me gusta " y "streak" para desalentar la adicción a las redes sociales y al uso de estos datos para procesar intereses. [54] [55]
En marzo de 2021, el Secretario de Estado de Cultura, Medios de Comunicación y Deporte Digitales, Oliver Dowden, declaró que el Reino Unido estaba explorando la posibilidad de divergir del RGPD de la UE para "[centrarse] más en los resultados que queremos tener y menos en las cargas de las normas impuestas a las empresas individuales". [56]
Algunos conceptos erróneos comunes sobre el RGPD incluyen:
Según un estudio realizado por Deloitte en 2018, el 92% de las empresas creen que pueden cumplir con el RGPD en sus prácticas comerciales a largo plazo. [61]
Las empresas que operan fuera de la UE han invertido mucho para alinear sus prácticas comerciales con el RGPD. El área del consentimiento del RGPD tiene una serie de implicaciones para las empresas que graban llamadas como una cuestión de práctica. Una exención de responsabilidad típica no se considera suficiente para obtener el consentimiento asumido para grabar llamadas. Además, una vez que la grabación ha comenzado, si la persona que llama retira su consentimiento, entonces el agente que recibe la llamada debe poder detener una grabación iniciada previamente y asegurarse de que la grabación no se almacene. [62]
Los profesionales de TI esperan que el cumplimiento del RGPD requiera una inversión adicional en general: más del 80 por ciento de los encuestados esperaban que el gasto relacionado con el RGPD fuera de al menos 100.000 dólares estadounidenses. [63] Las preocupaciones se hicieron eco en un informe encargado por el bufete de abogados Baker & McKenzie que encontró que "alrededor del 70 por ciento de los encuestados creen que las organizaciones necesitarán invertir un presupuesto/esfuerzo adicional para cumplir con los requisitos de consentimiento, mapeo de datos y transferencia de datos transfronterizos bajo el RGPD". [64] El costo total para las empresas de la UE se estima en 200 mil millones de euros, mientras que para las empresas estadounidenses la estimación es de 41.7 mil millones de dólares. [65] Se ha argumentado que las empresas más pequeñas y las empresas emergentes podrían no tener los recursos financieros para cumplir adecuadamente con el RGPD, a diferencia de las empresas tecnológicas internacionales más grandes (como Facebook y Google ) a las que la regulación aparentemente está destinada a apuntar en primer lugar. [66] [67] La falta de conocimiento y comprensión de las regulaciones también ha sido una preocupación en el período previo a su adopción. [68] Un contraargumento a esto ha sido que las empresas fueron informadas de estos cambios dos años antes de que entraran en vigor y deberían haber tenido tiempo suficiente para prepararse. [69]
Las regulaciones, incluyendo si una empresa debe tener un oficial de protección de datos, han sido criticadas por la carga administrativa potencial y los requisitos de cumplimiento poco claros. [70] Aunque la minimización de datos es un requisito, siendo la seudonimización uno de los medios posibles, la regulación no proporciona orientación sobre cómo o qué constituye un esquema de desidentificación de datos efectivo, con una zona gris sobre lo que se consideraría como seudonimización inadecuada sujeta a acciones de cumplimiento de la Sección 5. [31] [71] [72] También existe preocupación con respecto a la implementación del RGPD en sistemas blockchain , ya que el registro transparente y fijo de transacciones blockchain contradice la naturaleza misma del RGPD. [73] Muchos medios de comunicación han comentado sobre la introducción de un " derecho a la explicación " de las decisiones algorítmicas, [74] [75] pero los académicos legales han argumentado desde entonces que la existencia de tal derecho es muy poco clara sin pruebas judiciales y, en el mejor de los casos, es limitada. [76] [77]
El RGPD ha obtenido el apoyo de las empresas, que lo consideran una oportunidad para mejorar la gestión de sus datos. [78] [79] Mark Zuckerberg también lo ha calificado de "paso muy positivo para Internet ", [80] y ha pedido que se adopten leyes similares al RGPD en los EE. UU. [81] Los grupos de derechos de los consumidores, como la Organización Europea de Consumidores, se encuentran entre los defensores más vocales de la legislación. [82] Otros partidarios han atribuido su aprobación al denunciante Edward Snowden . [83] El defensor del software libre Richard Stallman ha elogiado algunos aspectos del RGPD, pero ha pedido salvaguardas adicionales para evitar que las empresas de tecnología "fabriquen el consentimiento". [84]
Los expertos académicos que participaron en la formulación del RGPD escribieron que la ley "es el desarrollo regulatorio más importante en materia de política de información en una generación. El RGPD coloca los datos personales en un régimen regulatorio complejo y protector". [85]
A pesar de haber tenido al menos dos años para prepararse y hacerlo, muchas empresas y sitios web cambiaron sus políticas y características de privacidad en todo el mundo directamente antes de la implementación del RGPD, y habitualmente proporcionaban correos electrónicos y otras notificaciones para discutir estos cambios. Esto fue criticado por resultar en una cantidad agotadora de comunicaciones, mientras que los expertos señalaron que algunos correos electrónicos recordatorios afirmaban incorrectamente que se debía obtener un nuevo consentimiento para el procesamiento de datos para cuando el RGPD entrara en vigencia (cualquier consentimiento obtenido previamente para el procesamiento es válido siempre que cumpla con los requisitos de la regulación). También surgieron estafas de phishing que utilizaban versiones falsificadas de correos electrónicos relacionados con el RGPD, y también se argumentó que algunos correos electrónicos de notificación del RGPD podrían haber sido enviados en realidad en violación de las leyes antispam. [86] [13] En marzo de 2019, un proveedor de software de cumplimiento descubrió que muchos sitios web operados por gobiernos de estados miembros de la UE contenían seguimiento integrado de proveedores de tecnología publicitaria. [87] [88]
El aluvión de avisos relacionados con el RGPD también inspiró memes , incluidos los relacionados con avisos de política de privacidad que se entregan por medios atípicos (como una tabla Ouija o un texto introductorio de Star Wars ), lo que sugiere que la lista de "traviesos o buenos" de Papá Noel era una violación, y una grabación de extractos de la regulación por un ex locutor de la BBC Radio 4 Shipping Forecast . También se creó un blog, GDPR Hall of Shame , para mostrar la entrega inusual de avisos del RGPD y los intentos de cumplimiento que contenían violaciones atroces de los requisitos de la regulación. Su autor comentó que la regulación "tiene muchos detalles esenciales y minuciosos, pero no mucha información sobre cómo cumplir", pero también reconoció que las empresas tenían dos años para cumplir, lo que hace que algunas de sus respuestas sean injustificadas. [89] [90] [91] [92] [93]
Las investigaciones indican que aproximadamente el 25% de las vulnerabilidades del software tienen implicaciones en el RGPD. [94] Dado que el artículo 33 hace hincapié en las infracciones, no en los errores, los expertos en seguridad aconsejan a las empresas que inviertan en procesos y capacidades para identificar vulnerabilidades antes de que puedan explotarse, incluidos procesos coordinados de divulgación de vulnerabilidades . [95] [96] Una investigación de las políticas de privacidad de las aplicaciones de Android, las capacidades de acceso a los datos y el comportamiento de acceso a los datos ha demostrado que numerosas aplicaciones muestran un comportamiento algo más respetuoso con la privacidad desde que se implementó el RGPD, aunque todavía conservan la mayoría de sus privilegios de acceso a los datos en su código. [97] [98] Una investigación del Consejo de Consumidores de Noruega sobre los paneles de control de los interesados posteriores al RGPD en las plataformas de redes sociales (como el panel de control de Google ) ha concluido que las grandes empresas de redes sociales implementan tácticas engañosas para disuadir a sus clientes de agudizar sus configuraciones de privacidad. [99]
En la fecha de entrada en vigor, algunos sitios web comenzaron a bloquear por completo a los visitantes de los países de la UE (incluidos Instapaper , [100] Unroll.me, [101] y los periódicos propiedad de Tribune Publishing , como Chicago Tribune y Los Angeles Times ) o los redirigieron a versiones reducidas de sus servicios (en el caso de National Public Radio y USA Today ) con funcionalidad limitada y/o sin publicidad para no ser responsables. [102] [103] [104] [105] Algunas empresas, como Klout y varios videojuegos en línea, cesaron sus operaciones por completo para coincidir con su implementación, citando el RGPD como una carga para sus operaciones continuas, especialmente debido al modelo de negocio del primero. [106] [107] [108] El volumen de colocaciones de publicidad conductual en línea en Europa cayó entre un 25 y un 40 % el 25 de mayo de 2018. [109] [110]
En 2020, dos años después de que comenzara su implementación el RGPD, la Comisión Europea evaluó que los usuarios de toda la UE habían aumentado su conocimiento sobre sus derechos, afirmando que "el 69% de la población mayor de 16 años en la UE ha oído hablar del RGPD y el 71% de las personas ha oído hablar de su autoridad nacional de protección de datos". [111] [112] La comisión también encontró que la privacidad se ha convertido en una cualidad competitiva para las empresas que los consumidores están tomando en cuenta en sus procesos de toma de decisiones. [111]
Facebook y sus filiales WhatsApp e Instagram , así como Google LLC (orientada a Android ), fueron demandados inmediatamente por la organización sin fines de lucro NOYB de Max Schrems apenas horas después de la medianoche del 25 de mayo de 2018, por su uso del "consentimiento forzoso". Schrems afirma que ambas empresas violaron el Artículo 7(4) al no presentar opt-ins para el consentimiento del procesamiento de datos de forma individualizada y al requerir que los usuarios consientan todas las actividades de procesamiento de datos (incluidas aquellas que no son estrictamente necesarias) o se les prohibiría usar los servicios. [113] [114] [115] [116] [117] El 21 de enero de 2019, la DPA francesa multó a Google con 50 millones de euros por mostrar un control, consentimiento y transparencia insuficientes sobre el uso de datos personales para publicidad conductual. [118] [119] En noviembre de 2018, a raíz de una investigación periodística sobre Liviu Dragnea , la DPA rumana (ANSPDCP) utilizó una solicitud GDPR para exigir información sobre las fuentes del Proyecto RISE . [120] [121]
En julio de 2019, la Oficina del Comisionado de Información del Reino Unido emitió una intención de multar a British Airways con una cifra récord de 183 millones de libras esterlinas (1,5% de la facturación) por unos mecanismos de seguridad deficientes que permitieron un ataque de robo de datos web en 2018 que afectó a unas 380.000 transacciones. [122] [123] [124] [125] [126] British Airways fue finalmente multada con una cantidad reducida de 20 millones de libras esterlinas, y la ICO señaló que habían "considerado tanto las declaraciones de BA como el impacto económico del COVID-19 en su negocio antes de establecer una sanción final". [127]
En diciembre de 2019, Politico informó que Irlanda y Luxemburgo –dos países más pequeños de la UE que tienen reputación de ser paraísos fiscales y (especialmente en el caso de Irlanda) de ser sede de filiales europeas de grandes empresas tecnológicas estadounidenses– se enfrentaban a importantes retrasos en sus investigaciones de importantes empresas extranjeras en virtud del RGPD, y que Irlanda citaba como factor la complejidad de la regulación. Los críticos entrevistados por Politico también argumentaron que la aplicación de la normativa también se veía obstaculizada por las diferentes interpretaciones entre los Estados miembros, la priorización de la orientación sobre la aplicación por parte de algunas autoridades y la falta de cooperación entre los Estados miembros. [128]
En noviembre de 2021, el Consejo Irlandés de Libertades Civiles presentó una denuncia formal ante la Comisión alegando que incumple su obligación, en virtud del Derecho de la UE, de supervisar cuidadosamente la aplicación por parte de Irlanda del RGPD. [129] Hasta enero de 2023, la Comisión publicó un nuevo compromiso basado en la denuncia del ICCL. [129]
Aunque las empresas están ahora sujetas a obligaciones legales, todavía existen varias inconsistencias en la implementación práctica y técnica del RGPD. [130] Por ejemplo, de acuerdo con el derecho de acceso del RGPD, las empresas están obligadas a proporcionar a los interesados los datos que recopilan sobre ellos. Sin embargo, en un estudio sobre tarjetas de fidelidad en Alemania, las empresas no proporcionaron a los interesados la información exacta de los artículos adquiridos. [131] Se podría argumentar que dichas empresas no recopilan la información de los artículos adquiridos, lo que no se ajusta a sus modelos de negocio. Por lo tanto, los interesados tienden a ver esto como una violación del RGPD. Como resultado, los estudios han sugerido un mejor control por parte de las autoridades. [131]
Según el RGPD, el consentimiento de los usuarios finales debe ser válido, libremente otorgado, específico, informado y activo. [132] Sin embargo, la falta de exigibilidad con respecto a la obtención de consentimientos legales ha sido un desafío. Como ejemplo, un estudio de 2020 mostró que las grandes empresas tecnológicas , es decir, Google , Amazon , Facebook , Apple y Microsoft (GAFAM), utilizan patrones oscuros en sus mecanismos de obtención de consentimiento, lo que genera dudas sobre la legalidad del consentimiento adquirido. [132]
En marzo de 2021, se informó que los estados miembros de la UE, encabezados por Francia, estaban intentando modificar el impacto de la regulación de la privacidad en Europa eximiendo a las agencias de seguridad nacional. [133]
Después de que en 2020 se impusieran alrededor de 160 millones de euros en multas en virtud del RGPD, la cifra ya superó los mil millones de euros en 2021. [134]
La adopción masiva de estas nuevas normas de privacidad por parte de empresas multinacionales se ha citado como un ejemplo del " efecto Bruselas ", un fenómeno en el que las leyes y regulaciones europeas se utilizan como base debido a su gravedad. [135]
El estado de California (EE. UU.) aprobó el 28 de junio de 2018 la Ley de Privacidad del Consumidor de California , que entró en vigor el 1 de enero de 2020. Esta ley otorga derechos de transparencia y control sobre la recopilación de información personal por parte de las empresas de forma similar al RGPD. Los críticos han argumentado que estas leyes deben implementarse a nivel federal para ser efectivas, ya que una colección de leyes a nivel estatal tendría diferentes estándares que complicarían el cumplimiento. [136] [137] [138] Desde entonces, otros dos estados de EE. UU. han promulgado leyes similares: Virginia aprobó la Ley de Privacidad de Datos del Consumidor el 2 de marzo de 2021, [139] y Colorado promulgó la Ley de Privacidad de Colorado el 8 de julio de 2021. [140]
La República de Turquía , candidata a la adhesión a la Unión Europea , adoptó la Ley de Protección de Datos Personales el 24 de marzo de 2016 en cumplimiento del acervo de la UE . [141]
La Ley de Protección de Información Personal de China de 2021 es la primera ley integral del país sobre derechos de datos personales y está inspirada en el RGPD. [142] : 131
Suiza también adoptará una nueva ley de protección de datos que en gran medida seguirá el RGPD de la UE. [143]
Un estudio de 2024 concluyó que el RGPD redujo las visitas a páginas web de los usuarios de la UE y los ingresos por ellas en un 12 %. [144]
La estrategia de la UE para el Mercado Único Digital se refiere a las actividades de la « economía digital » relacionadas con las empresas y las personas en la UE. [152] Como parte de la estrategia, el RGPD y la Directiva NIS se aplican a partir del 25 de mayo de 2018. También estaba previsto que el Reglamento sobre privacidad electrónica propuesto se aplicara a partir del 25 de mayo de 2018, pero se retrasará varios meses. [153] El Reglamento eIDAS también forma parte de la estrategia.
En una evaluación inicial, el Consejo Europeo ha declarado que el RGPD debería considerarse «un requisito previo para el desarrollo de futuras iniciativas de política digital». [154]
Leyes de privacidad similares en otros países:
Reglamento de la UE relacionado:
Conceptos relacionados:
Tácticas de cumplimiento de ciertas empresas: