El Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, abreviado GDPR ) es un reglamento de la Unión Europea sobre privacidad de la información en la Unión Europea (UE) y el Espacio Económico Europeo (EEE). El RGPD es un componente importante de la ley de privacidad y de derechos humanos de la UE , en particular el artículo 8 (1) de la Carta de los Derechos Fundamentales de la Unión Europea . También rige la transferencia de datos personales fuera de la UE y el EEE. Los objetivos del RGPD son mejorar el control y los derechos de las personas sobre su información personal y simplificar las regulaciones para los negocios internacionales . [1] Reemplaza la Directiva de Protección de Datos 95/46/CE y, entre otras cosas, simplifica la terminología.
El Parlamento Europeo y el Consejo de la Unión Europea adoptaron el RGPD el 14 de abril de 2016, para entrar en vigor el 25 de mayo de 2018. Como reglamento de la UE (en lugar de directiva ), el RGPD es directamente aplicable con fuerza de ley por sí solo sin necesidad de transposición . Sin embargo, también brinda flexibilidad para que los estados miembros individuales modifiquen (deroguen) algunas de sus disposiciones.
Como ejemplo del efecto Bruselas , la regulación se convirtió en un modelo para muchas otras leyes en todo el mundo, incluso en Brasil, Japón, Singapur, Sudáfrica, Corea del Sur, Sri Lanka y Tailandia. Después de abandonar la Unión Europea, el Reino Unido promulgó su "RGPD del Reino Unido", idéntico al RGPD. [2] La Ley de Privacidad del Consumidor de California (CCPA), adoptada el 28 de junio de 2018, tiene muchas similitudes con el RGPD. [3]
El GDPR 2016 tiene once capítulos, que tratan de disposiciones generales, principios, derechos del interesado, deberes de los responsables o procesadores de datos, transferencias de datos personales a terceros países, autoridades de control, cooperación entre estados miembros, recursos, responsabilidad o sanciones por incumplimiento de derechos, y disposiciones finales diversas. El considerando 4 proclama que "el tratamiento de datos personales debe estar diseñado para servir a la humanidad".
El reglamento se aplica si el controlador de datos (una organización que recopila información sobre personas vivas, ya sea que se encuentren en la UE o no), o el procesador (una organización que procesa datos en nombre de un controlador de datos como proveedores de servicios en la nube), o los datos El sujeto (persona) tiene su sede en la UE. En determinadas circunstancias, [4] el reglamento también se aplica a organizaciones con sede fuera de la UE si recopilan o procesan datos personales de personas ubicadas dentro de la UE. El reglamento no se aplica al procesamiento de datos por parte de una persona para una "actividad puramente personal o doméstica y, por tanto, sin conexión con una actividad profesional o comercial". (Considerando 18).
Según la Comisión Europea , "los datos personales son información que se relaciona con un individuo identificado o identificable. Si no puede identificar directamente a un individuo a partir de esa información, entonces debe considerar si el individuo todavía es identificable. Debe tener en cuenta la información usted está procesando junto con todos los medios que razonablemente puedan ser utilizados por usted o cualquier otra persona para identificar a esa persona". [5] Las definiciones precisas de términos como "datos personales", "procesamiento", "interesado de los datos", "responsable del tratamiento" y "encargado del tratamiento" se establecen en el artículo 4 del Reglamento. [6]
El reglamento no pretende aplicarse al procesamiento de datos personales para actividades de seguridad nacional o aplicación de la ley de la UE; sin embargo, grupos de la industria preocupados por enfrentar un potencial conflicto de leyes han cuestionado si el Artículo 48 [6] del GDPR podría invocarse para tratar de evitar que un controlador de datos sujeto a las leyes de un tercer país cumpla con una orden legal de las autoridades de ese país. , judiciales o de seguridad nacional a revelar a dichas autoridades los datos personales de una persona de la UE, independientemente de si los datos residen dentro o fuera de la UE. El artículo 48 establece que cualquier sentencia de un tribunal o decisión de una autoridad administrativa de un tercer país que requiera que un responsable o procesador transfiera o divulgue datos personales no podrá ser reconocida ni ejecutable de ninguna manera a menos que esté basada en un acuerdo internacional, como un tratado de asistencia jurídica mutua vigente entre el tercer país solicitante (no perteneciente a la UE) y la UE o un Estado miembro. [7] El paquete de reforma de la protección de datos también incluye una Directiva de protección de datos separada para el sector de la policía y la justicia penal que establece normas sobre el intercambio de datos personales a nivel estatal , de la Unión y a nivel internacional. [8]
Se aplica un conjunto único de reglas a todos los estados miembros de la UE. Cada estado miembro establece una autoridad de supervisión (SA) independiente para escuchar e investigar quejas, sancionar infracciones administrativas, etc. Las SA de cada estado miembro cooperan con otras SA, brindándose asistencia mutua y organizando operaciones conjuntas. Si una empresa tiene varios establecimientos en la UE, debe tener una única SA como su "autoridad principal", en función de la ubicación de su "establecimiento principal" donde se llevan a cabo las principales actividades de procesamiento. La autoridad principal actúa así como una " ventanilla única " para supervisar todas las actividades de procesamiento de esa empresa en toda la UE ( artículos 46 a 55 del RGPD). [9] [10] Un Comité Europeo de Protección de Datos (EDPB) coordina las SA. El CEPD sustituye así al Grupo de Trabajo sobre Protección de Datos del artículo 29 . Existen excepciones para los datos procesados en un contexto laboral o de seguridad nacional que aún podrían estar sujetos a las regulaciones de cada país ( artículos 2(2)(a) y 88 del RGPD).
El artículo 5 establece seis principios relacionados con la licitud del tratamiento de datos personales. El primero de ellos especifica que los datos deben ser tratados de forma lícita, leal y transparente. El artículo 6 desarrolla este principio especificando que los datos personales no podrán procesarse a menos que exista al menos una base legal para hacerlo. Los demás principios se refieren a "limitación de finalidad", " minimización de datos ", "exactitud", "limitación de almacenamiento" e "integridad y confidencialidad". [11] : Artículo 5
El artículo 6 establece que los fines legítimos son: [11] : Artículo 6
Si se utiliza el consentimiento informado como base legal para el procesamiento, el consentimiento debe haber sido explícito para los datos recopilados y para cada propósito para el cual se utilizan los datos ( Artículo 7 ; definido en el Artículo 4 ). [12] [13] El consentimiento debe ser una afirmación específica, libremente otorgada, claramente redactada e inequívoca por parte del interesado; un formulario en línea que tiene opciones de consentimiento estructuradas como una opción de exclusión seleccionada de forma predeterminada es una violación del RGPD, ya que el usuario no afirma de manera inequívoca el consentimiento. Además, no se pueden "agrupar" varios tipos de procesamiento en una única solicitud de afirmación, ya que esto no es específico de cada uso de datos y los permisos individuales no se otorgan libremente. (Considerando 32).
Se debe permitir a los interesados retirar este consentimiento en cualquier momento, y el proceso para hacerlo no debe ser más difícil que el de aceptarlo. ( Artículo 7(3) ) Un controlador de datos no puede negar el servicio a los usuarios que rechazan el consentimiento para tratamientos que no sean estrictamente necesarios para poder utilizar el servicio. ( Artículo 8 ) El consentimiento para los niños, definidos en el reglamento como menores de 16 años (aunque con la opción de que los estados miembros lo reduzcan individualmente a 13 años ( Artículo 8 (1) ), debe ser otorgado por el padre o tutor del niño, y verificable ( Artículo 8 ) .
Si el consentimiento para el procesamiento ya se proporcionó según la Directiva de protección de datos, un controlador de datos no tiene que volver a obtener el consentimiento si el procesamiento se documenta y se obtiene de conformidad con los requisitos del RGPD (Considerando 171). [16] [17]
El artículo 12 exige que el responsable del tratamiento proporcione información al "interesado de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo, en particular cuando se trate de cualquier información dirigida específicamente a un niño". [7]
El derecho de acceso ( artículo 15 ) es un derecho del interesado. [18] Otorga a las personas el derecho a acceder a sus datos personales y a información sobre cómo se procesan estos datos personales. Un controlador de datos debe proporcionar, previa solicitud, una descripción general de las categorías de datos que se están procesando (Artículo 15(1)(b)), así como una copia de los datos reales ( Artículo 15(3) ); Además, el responsable del tratamiento debe informar al interesado sobre los detalles del procesamiento, como los fines del procesamiento ( artículo 15(1)(a) ), con quién se comparten los datos ( artículo 15(1)(c) ), y cómo adquirió los datos ( artículo 15, apartado 1, letra g) ).
Un interesado debe poder transferir datos personales de un sistema de procesamiento electrónico a otro, sin que el responsable del tratamiento se lo impida. Se excluyen los datos que han sido suficientemente anonimizados, pero no los datos que solo han sido anonimizados pero que siguen siendo posibles de vincular con el individuo en cuestión, por ejemplo proporcionando el identificador relevante. [19] Sin embargo, en la práctica, proporcionar tales identificadores puede ser un desafío, como en el caso de Siri de Apple , donde los datos de voz y transcripción se almacenan con un identificador personal al que el fabricante restringe el acceso, [20] o en la segmentación por comportamiento en línea. , que depende en gran medida de las huellas dactilares del dispositivo , cuya captura, envío y verificación pueden resultar difíciles. [21]
Se incluyen tanto los datos "proporcionados" por el interesado como los datos "observados", como los relativos al comportamiento. Además, los datos deberán ser facilitados por el responsable del tratamiento en un formato electrónico estándar estructurado y de uso común. El derecho a la portabilidad de los datos está previsto en el artículo 20 del RGPD. [22]
El derecho al olvido fue reemplazado por un derecho de supresión más limitado en la versión del RGPD adoptada por el Parlamento Europeo en marzo de 2014. [23] [24] El artículo 17 establece que el interesado tiene derecho a solicitar la supresión de datos personales relacionados con ellos por cualquiera de una serie de motivos, incluido el incumplimiento del artículo 6(1) (licencia), que incluye un caso (f) si los intereses legítimos del controlador son anulados por los intereses o derechos y libertades fundamentales del interesado, que requieren protección de datos personales (ver también Google Spain SL, Google Inc. contra Agencia Española de Protección de Datos, Mario Costeja González ). [7] [25]
El artículo 21 del RGPD permite a una persona oponerse al procesamiento de información personal con fines de marketing o no relacionados con el servicio. [26] Esto significa que el controlador de datos debe otorgar a una persona el derecho de detener o impedir que el controlador procese sus datos personales.
Hay algunos casos en los que esta objeción no se aplica. Por ejemplo, si:
El RGPD también deja claro que el responsable del tratamiento debe informar a las personas de su derecho a oponerse desde la primera comunicación que tenga con ellas. Esto debe ser claro y separado de cualquier otra información que proporcione el controlador y brindarle opciones sobre la mejor manera de oponerse al procesamiento de sus datos.
Hay casos en que el responsable del tratamiento puede rechazar una solicitud, en las circunstancias en que la solicitud de objeción sea "manifiestamente infundada" o "excesiva", por lo que cada caso de objeción debe examinarse individualmente. [26] Otros países como Canadá [27] también están, siguiendo el GDPR, considerando legislación para regular la toma de decisiones automatizada bajo las leyes de privacidad, a pesar de que existen dudas políticas sobre si esta es la mejor manera de regular la IA. [ cita necesaria ]
El artículo 82 del RGPD establece que toda persona que haya sufrido un daño material o moral como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o del encargado del tratamiento una indemnización por el daño sufrido.
En la sentencia Österreichische Post (C-300/21) el Tribunal de Justicia de la Unión Europea dio una interpretación del derecho a indemnización. [28] El artículo 82, apartado 1, del RGPD exige para la indemnización por daños y perjuicios (i) una infracción del RGPD, (ii) un daño (real) sufrido y (iii) un vínculo causal entre la infracción y el daño sufrido. No es necesario que el daño sufrido alcance un cierto grado de gravedad. No existe un concepto europeo definido de daño. La compensación se determina a nivel nacional de conformidad con la legislación nacional. Deben tenerse en cuenta los principios de equivalencia y eficacia. [29]
Véanse también las conclusiones del Abogado General en el asunto Krankenversicherung Nordrhein (C-667/21). [30]
Los controladores de datos deben revelar claramente cualquier recopilación de datos , declarar la base legal y el propósito del procesamiento de datos, e indicar durante cuánto tiempo se conservan los datos y si se comparten con terceros o fuera del EEE. Las empresas tienen la obligación de proteger los datos de los empleados y consumidores en la medida en que solo se extraigan los datos necesarios con una mínima interferencia con la privacidad de los datos de los empleados, consumidores o terceros. Las empresas deben tener controles y regulaciones internos para varios departamentos, como auditoría, controles internos y operaciones. Los interesados tienen derecho a solicitar una copia portátil de los datos recopilados por un responsable del tratamiento en un formato común, así como derecho a que sus datos se supriman en determinadas circunstancias. Las autoridades públicas y las empresas cuyas actividades principales consisten en el procesamiento regular o sistemático de datos personales deben contratar un delegado de protección de datos (DPO), que sea responsable de gestionar el cumplimiento del RGPD. Los responsables del tratamiento de datos deben informar las violaciones de datos a las autoridades nacionales de supervisión en un plazo de 72 horas si tienen un efecto adverso en la privacidad del usuario. En algunos casos, los infractores del RGPD pueden ser multados con hasta 20 millones de euros o hasta el 4% de la facturación mundial anual del ejercicio financiero anterior en el caso de una empresa, lo que sea mayor.
Para poder demostrar el cumplimiento del RGPD, el responsable del tratamiento debe implementar medidas que cumplan con los principios de protección de datos desde el diseño y por defecto. El artículo 25 exige que se diseñen medidas de protección de datos en el desarrollo de procesos comerciales para productos y servicios. Dichas medidas incluyen la seudonimización de los datos personales por parte del responsable del tratamiento lo antes posible (Considerando 78). Es responsabilidad del responsable del tratamiento implementar medidas efectivas y poder demostrar el cumplimiento de las actividades de procesamiento incluso si el procesamiento lo lleva a cabo un procesador de datos en nombre del responsable (Considerando 74). [7] Cuando se recopilan datos, los interesados deben ser claramente informados sobre el alcance de la recopilación de datos, la base legal para el procesamiento de datos personales, durante cuánto tiempo se conservan los datos, si los datos se transfieren a un tercero y/o fuera de la UE, y cualquier toma de decisiones automatizada que se realice sobre una base únicamente algorítmica . Los interesados deben ser informados de sus derechos de privacidad según el RGPD, incluido su derecho a revocar el consentimiento para el procesamiento de datos en cualquier momento, su derecho a ver sus datos personales y acceder a una descripción general de cómo se están procesando, su derecho a obtener un dispositivo portátil. copia de los datos almacenados , su derecho a la supresión de sus datos en determinadas circunstancias, su derecho a impugnar cualquier toma de decisiones automatizada que se haya realizado únicamente sobre una base algorítmica y su derecho a presentar reclamaciones ante una Autoridad de Protección de Datos . Como tal, también se deben proporcionar al interesado los datos de contacto del responsable del tratamiento y de su delegado de protección de datos designado, cuando corresponda. [31] [32]
Deben realizarse evaluaciones de impacto de la protección de datos ( artículo 35 ) cuando se produzcan riesgos específicos para los derechos y libertades de los interesados. Se requiere evaluación y mitigación de riesgos y se requiere la aprobación previa de las autoridades de protección de datos para riesgos altos.
El artículo 25 exige que la protección de datos se diseñe en el desarrollo de procesos comerciales para productos y servicios. Por lo tanto, la configuración de privacidad debe establecerse en un nivel alto de forma predeterminada, y el controlador deberá tomar medidas técnicas y de procedimiento para garantizar que el procesamiento, durante todo el ciclo de vida del procesamiento, cumpla con la regulación. Los responsables del tratamiento también implementarán mecanismos para garantizar que los datos personales no se procesen a menos que sea necesario para cada propósito específico. Esto se conoce como minimización de datos.
Un informe [33] de la Agencia de Seguridad de las Redes y de la Información de la Unión Europea detalla lo que se debe hacer para lograr la privacidad y la protección de datos por defecto. Especifica que las operaciones de cifrado y descifrado deben realizarse localmente, no mediante un servicio remoto, porque tanto las claves como los datos deben permanecer en poder del propietario de los datos si se quiere lograr alguna privacidad. El informe especifica que el almacenamiento de datos subcontratado en nubes remotas es práctico y relativamente seguro si sólo el propietario de los datos, y no el servicio en la nube, posee las claves de descifrado.
Según el RGPD, la seudonimización es un proceso obligatorio de los datos almacenados que transforma los datos personales de tal manera que los datos resultantes no pueden atribuirse a un interesado específico sin el uso de información adicional (como alternativa a la otra opción de datos completos). anonimización ). [34] Un ejemplo es el cifrado , que hace que los datos originales sean ininteligibles en un proceso que no se puede revertir sin acceder a la clave de descifrado correcta . El RGPD exige que la información adicional (como la clave de descifrado) se mantenga separada de los datos seudonimizados.
Otro ejemplo de seudonimización es la tokenización , que es un enfoque no matemático para proteger los datos en reposo que reemplaza los datos sensibles con sustitutos no sensibles, conocidos como tokens. Si bien los tokens no tienen ningún significado o valor extrínseco o explotable, permiten que datos específicos sean total o parcialmente visibles para su procesamiento y análisis, mientras que la información confidencial se mantiene oculta. La tokenización no altera el tipo ni la longitud de los datos, lo que significa que pueden ser procesados por sistemas heredados, como bases de datos, que pueden ser sensibles a la longitud y el tipo de datos. Esto también requiere muchos menos recursos computacionales para procesar y menos espacio de almacenamiento en las bases de datos que los datos cifrados tradicionalmente.
La seudonimización es una tecnología que mejora la privacidad y se recomienda para reducir los riesgos para los interesados y también para ayudar a los controladores y procesadores a cumplir con sus obligaciones de protección de datos (Considerando 28). [35]
Según el artículo 30 , [7] cada organización debe mantener registros de las actividades de procesamiento que cumplan uno de los siguientes criterios:
Estos requisitos podrán ser modificados por cada país de la UE. Los registros se realizarán en formato electrónico y el responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado, pondrán el registro a disposición de la autoridad de control previa solicitud.
Los registros del responsable del tratamiento contendrán toda la siguiente información:
Los registros del procesador deberán contener toda la siguiente información:
Los controladores y procesadores de datos personales deben implementar medidas técnicas y organizativas apropiadas para implementar los principios de protección de datos. [36] Los procesos comerciales que manejan datos personales deben diseñarse y construirse teniendo en cuenta los principios y proporcionar salvaguardias para proteger los datos (por ejemplo, utilizando seudonimización o anonimización total cuando corresponda). [37] Los responsables del tratamiento de datos deben diseñar sistemas de información teniendo en cuenta la privacidad. Por ejemplo, utilizar la configuración de privacidad más alta posible de forma predeterminada, de modo que los conjuntos de datos no estén disponibles públicamente de forma predeterminada y no puedan usarse para identificar a un sujeto. [38] No se podrán procesar datos personales a menos que este procesamiento se realice bajo una de las seis bases legales especificadas por el reglamento ( consentimiento , contrato, tarea pública, interés vital, interés legítimo o exigencia legal). Cuando el tratamiento se base en el consentimiento el interesado tiene derecho a revocarlo en cualquier momento. [39]
El artículo 33 establece que el controlador de datos tiene la obligación legal de notificar a la autoridad de control sin demora indebida, a menos que sea poco probable que la violación resulte en un riesgo para los derechos y libertades de las personas. Hay un máximo de 72 horas desde que se tiene conocimiento de la filtración de datos para realizar la denuncia. Los particulares deben ser notificados si se determina un alto riesgo de impacto adverso ( artículo 34 ). Además, el encargado del tratamiento deberá notificar al responsable del tratamiento sin demora indebida una vez que tenga conocimiento de una violación de datos personales ( artículo 33 ). Sin embargo, la notificación a los interesados no es necesaria si el responsable del tratamiento ha implementado medidas de protección técnicas y organizativas adecuadas que hagan que los datos personales sean ininteligibles para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado ( artículo 34 ). [7]
El artículo 37 exige el nombramiento de un delegado de protección de datos. Si el procesamiento lo lleva a cabo una autoridad pública (excepto los tribunales o autoridades judiciales independientes cuando actúan en su capacidad judicial), o si las operaciones de procesamiento implican un seguimiento regular y sistemático de los interesados a gran escala, o si el procesamiento a gran escala de categorías especiales de datos y datos personales relacionados con condenas y delitos penales ( Artículos 9 y Artículo 10 , [40] ) se debe designar a un delegado de protección de datos (DPO), una persona con conocimiento experto de las leyes y prácticas de protección de datos, para ayudar a responsable o encargado del tratamiento a la hora de controlar su cumplimiento interno del Reglamento. [7]
Un DPO designado puede ser un miembro actual del personal de un controlador o procesador, o la función puede subcontratarse a una persona o agencia externa a través de un contrato de servicio. En cualquier caso, el órgano de tratamiento debe asegurarse de que no existe conflicto de intereses con otras funciones o intereses que pueda desempeñar un DPD. Los datos de contacto del DPO deben ser publicados por la organización de procesamiento (por ejemplo, en un aviso de privacidad) y registrados ante la autoridad de control.
El DPO es similar a un oficial de cumplimiento y también se espera que sea competente en la gestión de procesos de TI, la seguridad de los datos (incluido el manejo de ataques cibernéticos ) y otras cuestiones críticas de continuidad del negocio asociadas con la retención y el procesamiento de datos personales y confidenciales. El conjunto de habilidades requerido va más allá de la comprensión del cumplimiento legal de las leyes y regulaciones de protección de datos. El DPO debe mantener un inventario vivo de todos los datos recopilados y almacenados en nombre de la organización. [41] El 13 de diciembre de 2016 (revisado el 5 de abril de 2017) se dieron más detalles sobre la función y el papel del delegado de protección de datos en un documento de orientación. [42]
Las organizaciones con sede fuera de la UE también deben designar a una persona con sede en la UE como representante y punto de contacto para sus obligaciones del RGPD ( artículo 27 ). Se trata de una función distinta de la de un DPO, aunque existe una superposición de responsabilidades que sugiere que esta función también puede ser desempeñada por el DPO designado. [43]
Además de las definiciones de delito penal según la legislación nacional según el artículo 83 del RGPD, se pueden imponer las siguientes sanciones:
Estos son algunos casos que no se abordan específicamente en el RGPD y, por lo tanto, se tratan como exenciones. [45]
Cuando se estaba creando el RGPD, fue creado estrictamente para la regulación de los datos personales que van a manos de las empresas. [ cita necesaria ] Lo que no está cubierto por el RGPD es la información no comercial o las actividades domésticas. [46] [ verificación fallida ] Un ejemplo de estas actividades domésticas pueden ser los correos electrónicos entre dos amigos de la escuela secundaria.
Por el contrario, una entidad o más precisamente una "empresa" debe dedicarse a una "actividad económica" para estar cubierta por el RGPD. [b] La actividad económica se define de manera amplia en la legislación sobre competencia de la Unión Europea . [47]
El RGPD también se aplica a los controladores y procesadores de datos fuera del Espacio Económico Europeo (EEE) si se dedican a "ofrecer bienes o servicios" (independientemente de si se requiere un pago) a interesados dentro del EEE, o están monitoreando el comportamiento de los interesados dentro del EEE (artículo 3, apartado 2). El reglamento se aplica independientemente de dónde se realice el procesamiento. [48] Esto se ha interpretado como que otorga intencionalmente jurisdicción extraterritorial del RGPD para establecimientos fuera de la UE si hacen negocios con personas ubicadas en la UE. Es cuestionable si la UE o sus estados miembros podrán en la práctica hacer cumplir el RGPD contra organizaciones que no tienen establecimiento en la UE. [49]
Según el artículo 27, los establecimientos fuera de la UE sujetos al RGPD están obligados a tener una persona designada dentro de la Unión Europea, un "Representante de la UE", que sirva como punto de contacto para sus obligaciones en virtud del reglamento. El Representante de la UE es la persona de contacto del Controlador o Procesador frente a los supervisores de privacidad y los interesados europeos, en todos los asuntos relacionados con el procesamiento, para garantizar el cumplimiento de este RGPD. Una persona física (individuo) o jurídica (corporación) puede desempeñar el papel de Representante de la UE. [50] El establecimiento extracomunitario debe expedir un documento debidamente firmado (carta de acreditación) que designe a una determinada persona o empresa como su Representante en la UE. Dicha designación sólo podrá darse por escrito. [51]
La falta de designación de un representante de la UE por parte de un establecimiento se considera desconocimiento de la normativa y de las obligaciones pertinentes, lo que a su vez constituye una violación del RGPD, sujeto a multas de hasta 10 millones de euros o hasta el 2 % del volumen de negocios mundial anual del ejercicio anterior. en el caso de una empresa, el que sea mayor. El carácter intencional o negligente (ceguera deliberada) de la infracción (no designar un representante de la UE) puede más bien constituir factores agravantes. [52]
Un establecimiento no necesita nombrar a un Representante de la UE si solo realiza un procesamiento ocasional que no incluye, a gran escala, el procesamiento de categorías especiales de datos como se menciona en el artículo 9 (1) del RGPD o el procesamiento de datos personales relacionados. a condenas penales y delitos mencionados en el artículo 10, y es poco probable que dicho procesamiento resulte en un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, el contexto, el alcance y los propósitos del procesamiento. [7] Las autoridades y organismos públicos de fuera de la UE están igualmente exentos. [53]
El Capítulo V del RGPD prohíbe la transferencia de datos personales de interesados de la UE a países fuera del EEE, conocidos como terceros países , a menos que se impongan las salvaguardias adecuadas o que la Comisión Europea considere formalmente adecuadas las normas de protección de datos del tercer país ( Artículo 45). [54] [55] Entre los ejemplos se encuentran reglas corporativas vinculantes , cláusulas contractuales estándar para la protección de datos emitidas por un Acuerdo de Procesamiento de Datos (DPA), o un esquema de compromisos vinculantes y exigibles por parte del controlador o procesador de datos ubicado en un tercer país. [56]
La aplicabilidad del RGPD en el Reino Unido se ve afectada por el Brexit . Aunque el Reino Unido se retiró formalmente de la Unión Europea el 31 de enero de 2020, siguió sujeto a la legislación de la UE, incluido el RGPD, hasta el final del período de transición el 31 de diciembre de 2020. [54] El Reino Unido otorgó su consentimiento real a la Ley de Protección de Datos Ley 2018 de 23 de mayo de 2018, que amplió el RGPD, incluyendo aspectos de la regulación que serán determinados por la legislación nacional, y delitos penales por obtener, redistribuir o conservar, de forma consciente o imprudente, datos personales sin el consentimiento del responsable del tratamiento. [58] [59]
Según la Ley de (Retirada) de la Unión Europea de 2018 , la legislación de la UE existente y pertinente se transpuso a la legislación local una vez completada la transición, y el RGPD se modificó mediante un instrumento legal para eliminar ciertas disposiciones que ya no eran necesarias debido a la no membresía del Reino Unido en el UE. A partir de entonces, el reglamento se denominará "RGPD del Reino Unido". [60] [55] [54] El Reino Unido no restringirá la transferencia de datos personales a países dentro del EEE según el RGPD del Reino Unido. Sin embargo, el Reino Unido se convertirá en un tercer país según el RGPD de la UE, lo que significa que los datos personales no podrán transferirse al país a menos que se impongan las salvaguardias adecuadas o que la Comisión Europea tome una decisión sobre la idoneidad de la legislación británica de protección de datos (Capítulo V ). Como parte del acuerdo de retirada , la Comisión Europea se comprometió a realizar una evaluación de adecuación. [54] [55]
En abril de 2019, la Oficina del Comisionado de Información (ICO) del Reino Unido emitió un código de prácticas para niños para los servicios de redes sociales cuando los utilizan menores, aplicable según el RGPD, que también incluye restricciones a los mecanismos de " me gusta " y "racha" para desalentar las redes sociales. adicción y sobre el uso de estos datos para el procesamiento de intereses. [61] [62]
En marzo de 2021, el Secretario de Estado de Digital, Cultura, Medios y Deportes, Oliver Dowden, declaró que el Reino Unido estaba explorando la divergencia con el RGPD de la UE para "[centrarse] más en los resultados que queremos tener y menos en las cargas de las normas impuestas a las empresas individuales". [63]
Algunos conceptos erróneos comunes sobre el RGPD incluyen:
Según un estudio realizado por Deloitte en 2018, el 92% de las empresas cree que podrán cumplir con el RGPD en sus prácticas comerciales a largo plazo. [68]
Las empresas que operan fuera de la UE han invertido mucho para alinear sus prácticas comerciales con el RGPD. El ámbito del consentimiento del RGPD tiene una serie de implicaciones para las empresas que graban llamadas como cuestión de práctica. Una exención de responsabilidad típica no se considera suficiente para obtener el supuesto consentimiento para grabar llamadas. Además, cuando la grabación ha comenzado, si la persona que llama retira su consentimiento, el agente que recibe la llamada debe poder detener una grabación iniciada previamente y asegurarse de que la grabación no se almacene. [69]
Los profesionales de TI esperan que el cumplimiento del RGPD requiera una inversión adicional en general: más del 80 por ciento de los encuestados esperaban que el gasto relacionado con el RGPD fuera de al menos 100.000 dólares estadounidenses. [70] Las preocupaciones se hicieron eco en un informe encargado por la firma de abogados Baker & McKenzie que encontró que "alrededor del 70 por ciento de los encuestados cree que las organizaciones necesitarán invertir presupuesto/esfuerzo adicional para cumplir con el consentimiento, el mapeo de datos y las transacciones transfronterizas". requisitos de transferencia de datos según el RGPD." [71] El coste total para las empresas de la UE se estima en 200 mil millones de euros, mientras que para las empresas estadounidenses la estimación es de 41,7 mil millones de dólares. [72] Se ha argumentado que las empresas más pequeñas y las empresas de nueva creación podrían no tener los recursos financieros para cumplir adecuadamente con el GDPR, a diferencia de las empresas tecnológicas internacionales más grandes (como Facebook y Google ) a las que la regulación aparentemente pretende apuntar en primer lugar. . [73] [74] La falta de conocimiento y comprensión de las regulaciones también ha sido una preocupación en el período previo a su adopción. [75] Un contraargumento a esto ha sido que las empresas fueron informadas de estos cambios dos años antes de que entraran en vigor y deberían haber tenido tiempo suficiente para prepararse. [76]
Las regulaciones, incluyendo si una empresa debe tener un oficial de protección de datos, han sido criticadas por una posible carga administrativa y requisitos de cumplimiento poco claros. [77] Aunque la minimización de datos es un requisito, siendo la seudonimización uno de los medios posibles, el reglamento no proporciona ninguna orientación sobre cómo o qué constituye un sistema eficaz de desidentificación de datos, con una zona gris sobre lo que se consideraría un tema de seudonimización inadecuado. a las acciones de cumplimiento de la Sección 5. [35] [78] [79] También existe preocupación con respecto a la implementación del RGPD en los sistemas blockchain , ya que el registro transparente y fijo de las transacciones de blockchain contradice la naturaleza misma del RGPD. [80] Muchos medios de comunicación han comentado sobre la introducción de un " derecho a la explicación " de las decisiones algorítmicas, [81] [82] pero desde entonces los juristas han argumentado que la existencia de tal derecho es muy confusa sin pruebas judiciales y es limitada. a lo mejor. [83] [84]
El RGPD ha obtenido el apoyo de empresas que lo consideran una oportunidad para mejorar su gestión de datos. [85] [86] Mark Zuckerberg también lo ha llamado un "paso muy positivo para Internet ", [87] y ha pedido que se adopten leyes estilo GDPR en los EE. UU. [88] Los grupos de derechos de los consumidores, como la Organización Europea de Consumidores, se encuentran entre los defensores más vocales de la legislación. [89] Otros partidarios han atribuido su paso al denunciante Edward Snowden . [90] El defensor del software libre Richard Stallman ha elogiado algunos aspectos del RGPD, pero ha pedido salvaguardias adicionales para evitar que las empresas de tecnología "fabrican consentimiento". [91]
Los expertos académicos que participaron en la formulación del RGPD escribieron que la ley "es el desarrollo regulatorio más importante en política de información en una generación. El RGPD incorpora los datos personales a un régimen regulatorio complejo y protector". [92]
A pesar de haber tenido al menos dos años para prepararlo y hacerlo, muchas empresas y sitios web cambiaron sus políticas y características de privacidad en todo el mundo directamente antes de la implementación del RGPD, y habitualmente proporcionaban correos electrónicos y otras notificaciones sobre estos cambios. Esto fue criticado por dar lugar a un número agotador de comunicaciones, mientras que los expertos señalaron que algunos correos electrónicos recordatorios afirmaban incorrectamente que se debía obtener un nuevo consentimiento para el procesamiento de datos cuando el RGPD entrara en vigencia (cualquier consentimiento para el procesamiento obtenido previamente es válido siempre que cumplió con los requisitos del reglamento). También surgieron estafas de phishing utilizando versiones falsificadas de correos electrónicos relacionados con el RGPD, y también se argumentó que algunos correos electrónicos de aviso del RGPD en realidad podrían haberse enviado en violación de las leyes antispam. [93] [16] En marzo de 2019, un proveedor de software de cumplimiento descubrió que muchos sitios web operados por gobiernos de los estados miembros de la UE contenían seguimiento integrado de proveedores de tecnología publicitaria. [94] [95]
La avalancha de avisos relacionados con el RGPD también inspiró memes , incluidos aquellos relacionados con los avisos de política de privacidad entregados por medios atípicos (como una tabla Ouija o el rastreo de apertura de Star Wars ), sugiriendo que la lista de "malos o traviesos" de Santa Claus era una violación. y una grabación de extractos del reglamento realizada por un ex locutor de BBC Radio 4 Shipping Forecast . También se creó un blog, GDPR Hall of Shame , para mostrar la entrega inusual de avisos de GDPR y los intentos de cumplimiento que contenían violaciones atroces de los requisitos de la regulación. Su autor comentó que el reglamento "tiene muchos detalles meollo de la cuestión, pero no mucha información sobre cómo cumplirlo", pero también reconoció que las empresas tenían dos años para cumplir, lo que hacía que algunas de sus respuestas fueran injustificadas. . [96] [97] [98] [99] [100]
Las investigaciones indican que aproximadamente el 25% de las vulnerabilidades de software tienen implicaciones del RGPD. [101] Dado que el artículo 33 enfatiza las infracciones, no los errores, los expertos en seguridad aconsejan a las empresas que inviertan en procesos y capacidades para identificar vulnerabilidades antes de que puedan ser explotadas, incluidos procesos coordinados de divulgación de vulnerabilidades . [102] [103] Una investigación de las políticas de privacidad, las capacidades de acceso a datos y el comportamiento de acceso a datos de las aplicaciones de Android ha demostrado que numerosas aplicaciones muestran un comportamiento algo más respetuoso con la privacidad desde que se implementó el RGPD, aunque todavía conservan la mayor parte de su acceso a datos. privilegios en su código. [104] [105] Una investigación del Consejo Noruego de Consumidores sobre los paneles de control de los interesados posteriores al RGPD en plataformas de redes sociales (como el panel de Google ) ha concluido que las grandes empresas de redes sociales implementan tácticas engañosas para disuadir a sus clientes de agudizar sus la configuración de privacidad. [106]
En la fecha de entrada en vigor, algunos sitios web comenzaron a bloquear por completo a los visitantes de países de la UE (incluidos Instapaper , [107] Unroll.me, [108] y periódicos propiedad de Tribune Publishing , como el Chicago Tribune y Los Angeles Times ) o redirigirlos. a versiones simplificadas de sus servicios (en el caso de National Public Radio y USA Today ) con funcionalidad limitada y/o sin publicidad, por lo que no serán responsables. [109] [110] [111] [112] Algunas empresas, como Klout y varios videojuegos en línea, cesaron sus operaciones por completo para coincidir con su implementación, citando el RGPD como una carga para sus operaciones continuas, especialmente debido a la modelo del anterior. [113] [114] [115] El volumen de colocaciones de publicidad conductual en línea en Europa cayó entre un 25% y un 40% el 25 de mayo de 2018. [116] [117]
En 2020, dos años después de que el RGPD comenzara a implementarse, la Comisión Europea evaluó que los usuarios de toda la UE habían aumentado su conocimiento sobre sus derechos, afirmando que "el 69% de la población mayor de 16 años en la UE ha oído hablar del RGPD". y el 71% de las personas oyeron hablar de su autoridad nacional de protección de datos." [118] [119] La comisión también encontró que la privacidad se ha convertido en una cualidad competitiva para las empresas que los consumidores están teniendo en cuenta en sus procesos de toma de decisiones. [118]
Facebook y sus filiales WhatsApp e Instagram , así como Google LLC (que apunta a Android ), fueron demandados inmediatamente por NOYB, una organización sin fines de lucro de Max Schrems, pocas horas después de la medianoche del 25 de mayo de 2018, por su uso de "consentimiento forzado". Schrems afirma que ambas empresas violaron el artículo 7(4) al no presentar opciones de consentimiento para el procesamiento de datos de forma individualizada y exigir a los usuarios que dieran su consentimiento para todas las actividades de procesamiento de datos (incluidas aquellas que no son estrictamente necesarias) o se les prohibiría usar el servicios. [120] [121] [122] [123] [124] El 21 de enero de 2019, la DPA francesa multó a Google con 50 millones de euros por mostrar control, consentimiento y transparencia insuficientes sobre el uso de datos personales para publicidad comportamental. [125] [126] En noviembre de 2018, tras una investigación periodística sobre Liviu Dragnea , la DPA rumana (ANSPDCP) utilizó una solicitud GDPR para exigir información sobre las fuentes del Proyecto RISE . [127] [128]
En julio de 2019, la Oficina del Comisionado de Información británico emitió una intención de multar a British Airways con una cantidad récord de £183 millones (1,5% de la facturación) por deficientes medidas de seguridad que permitieron un ataque de skimming web en 2018 que afectó a alrededor de 380.000 transacciones. [129] [130] [131] [132] [133] British Airways finalmente fue multada con una cantidad reducida de £ 20 millones, y la ICO señaló que habían "considerado tanto las representaciones de BA como el impacto económico de COVID-19 en sus negocio antes de fijar una sanción definitiva". [134]
En diciembre de 2019, Politico informó que Irlanda y Luxemburgo –dos países más pequeños de la UE que tenían reputación de paraísos fiscales y (especialmente en el caso de Irlanda) como base para las filiales europeas de grandes empresas tecnológicas estadounidenses– se enfrentaban a importantes retrasos en sus investigaciones de importantes empresas extranjeras en virtud del RGPD, e Irlanda citó la complejidad de la regulación como un factor. Los críticos entrevistados por Politico también argumentaron que la aplicación de la ley también se estaba viendo obstaculizada por las diferentes interpretaciones entre los estados miembros, la priorización de la orientación sobre la aplicación por parte de algunas autoridades y la falta de cooperación entre los estados miembros. [135]
En noviembre de 2021, el Consejo Irlandés de Libertades Civiles presentó una denuncia formal ante la Comisión por incumplimiento de su obligación en virtud de la legislación de la UE de supervisar cuidadosamente cómo Irlanda aplica el RGPD. [136] Hasta enero de 2023, la Comisión publicó un nuevo compromiso basado en la denuncia de ICCL. [136]
Si bien las empresas ahora están sujetas a obligaciones legales, todavía existen varias inconsistencias en la implementación práctica y técnica del RGPD. [137] A modo de ejemplo, según el derecho de acceso del RGPD, las empresas están obligadas a proporcionar a los interesados los datos que recopilan sobre ellos. Sin embargo, en un estudio sobre tarjetas de fidelidad en Alemania, las empresas no proporcionaron a los interesados la información exacta de los artículos comprados. [138] Se podría argumentar que dichas empresas no recopilan la información de los artículos comprados, lo que no se ajusta a sus modelos de negocio. Por lo tanto, los interesados tienden a verlo como una violación del RGPD. Como resultado, los estudios han sugerido un mejor control por parte de las autoridades. [138]
Según el RGPD, el consentimiento de los usuarios finales debe ser válido, libremente otorgado, específico, informado y activo. [139] Sin embargo, la falta de exigibilidad con respecto a la obtención de consentimientos legales ha sido un desafío. A modo de ejemplo, un estudio de 2020 demostró que las Big Tech , es decir , Google , Amazon , Facebook , Apple y Microsoft (GAFAM), utilizan patrones oscuros en sus mecanismos de obtención del consentimiento, lo que plantea dudas sobre la licitud del consentimiento adquirido. [139]
En marzo de 2021, se informó que los estados miembros de la UE, encabezados por Francia, estaban intentando modificar el impacto de la regulación de la privacidad en Europa eximiendo a las agencias de seguridad nacionales. [140]
Después de que se impusieran alrededor de 160 millones de euros en multas conforme al RGPD en 2020, la cifra ya superaba los mil millones de euros en 2021. [141]
La adopción masiva de estos nuevos estándares de privacidad por parte de empresas multinacionales se ha citado como un ejemplo del " efecto Bruselas ", un fenómeno en el que las leyes y regulaciones europeas se utilizan como base debido a su gravedad. [142]
El estado estadounidense de California aprobó la Ley de Privacidad del Consumidor de California el 28 de junio de 2018, que entró en vigor el 1 de enero de 2020; otorga derechos de transparencia y control sobre la recopilación de información personal por parte de las empresas de manera similar al RGPD. Los críticos han argumentado que dichas leyes deben implementarse a nivel federal para que sean efectivas, ya que un conjunto de leyes a nivel estatal tendrían estándares variables que complicarían su cumplimiento. [143] [144] [145] Desde entonces, otros dos estados de EE. UU. han promulgado legislación similar: Virginia aprobó la Ley de Privacidad de Datos del Consumidor el 2 de marzo de 2021, [146] y Colorado promulgó la Ley de Privacidad de Colorado el 8 de julio de 2021. [147]
La República de Turquía , candidata a ser miembro de la Unión Europea , adoptó la Ley de Protección de Datos Personales el 24 de marzo de 2016, de conformidad con el acervo de la UE . [148]
La Ley de Protección de Información Personal de China de 2021 es la primera ley integral del país sobre derechos de datos personales y sigue el modelo del RGPD. [149] : 131
Suiza también adoptará una nueva ley de protección de datos que sigue en gran medida el RGPD de la UE. [150]
Un estudio de 2024 encontró que el RGPD redujo tanto las visitas a las páginas web de los usuarios de la UE como los ingresos del sitio web en un 12%. [151]
La estrategia del Mercado Único Digital de la UE se relaciona con las actividades de " economía digital " relacionadas con las empresas y las personas en la UE. [159] Como parte de la estrategia, el RGPD y la Directiva NIS se aplican a partir del 25 de mayo de 2018. También se planeó que el Reglamento de privacidad electrónica propuesto fuera aplicable a partir del 25 de mayo de 2018, pero se retrasará varios meses. [160] El Reglamento eIDAS también forma parte de la estrategia.
En una evaluación inicial, el Consejo Europeo afirmó que el RGPD debería considerarse "un requisito previo para el desarrollo de futuras iniciativas de política digital". [161]
Leyes de privacidad similares en otros países:
Regulación de la UE relacionada:
Conceptos relacionados:
Tácticas de cumplimiento por parte de determinadas empresas: