stringtranslate.com

Reglamento General de Protección de Datos

El Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, abreviado GDPR ) es un reglamento de la Unión Europea sobre privacidad de la información en la Unión Europea (UE) y el Espacio Económico Europeo (EEE). El RGPD es un componente importante de la ley de privacidad y de derechos humanos de la UE , en particular el artículo 8 (1) de la Carta de los Derechos Fundamentales de la Unión Europea . También rige la transferencia de datos personales fuera de la UE y el EEE. Los objetivos del RGPD son mejorar el control y los derechos de las personas sobre su información personal y simplificar las regulaciones para los negocios internacionales . [1] Reemplaza la Directiva de Protección de Datos 95/46/CE y, entre otras cosas, simplifica la terminología.

El Parlamento Europeo y el Consejo de la Unión Europea adoptaron el RGPD el 14 de abril de 2016, para entrar en vigor el 25 de mayo de 2018. Como reglamento de la UE (en lugar de directiva ) , el RGPD es directamente aplicable con fuerza de ley por sí solo sin necesidad de transposición . Sin embargo, también brinda flexibilidad para que los estados miembros individuales modifiquen (deroguen) algunas de sus disposiciones.

La regulación se convirtió en un modelo para muchas otras leyes en todo el mundo, incluidas Turquía, Mauricio, Chile, Japón, Brasil, Corea del Sur, Sudáfrica, Argentina y Kenia. Después de abandonar la Unión Europea, el Reino Unido promulgó su "RGPD del Reino Unido", idéntico al RGPD. La Ley de Privacidad del Consumidor de California (CCPA), adoptada el 28 de junio de 2018, tiene muchas similitudes con el RGPD. [2]

Contenido

El GDPR 2016 tiene once capítulos, que tratan de disposiciones generales, principios, derechos del interesado, deberes de los responsables o procesadores de datos, transferencias de datos personales a terceros países, autoridades de control, cooperación entre estados miembros, recursos, responsabilidad o sanciones por incumplimiento de derechos, y disposiciones finales diversas. El considerando 4 proclama que "el tratamiento de datos personales debe estar diseñado para servir a la humanidad".

Provisiones generales

El reglamento se aplica si el controlador de datos (una organización que recopila información sobre personas vivas, ya sea que se encuentren en la UE o no), o el procesador (una organización que procesa datos en nombre de un controlador de datos, como los proveedores de servicios en la nube), o los datos El sujeto (persona) tiene su sede en la UE. En determinadas circunstancias, [3] el reglamento también se aplica a organizaciones con sede fuera de la UE si recopilan o procesan datos personales de personas ubicadas dentro de la UE. El reglamento no se aplica al procesamiento de datos por parte de una persona para una "actividad puramente personal o doméstica y, por tanto, sin conexión con una actividad profesional o comercial". (Considerando 18)

Según la Comisión Europea , "los datos personales son información que se relaciona con un individuo identificado o identificable. Si no puede identificar directamente a un individuo a partir de esa información, entonces debe considerar si el individuo todavía es identificable. Debe tener en cuenta la información usted está procesando junto con todos los medios que razonablemente puedan ser utilizados por usted o cualquier otra persona para identificar a esa persona". [4] Las definiciones precisas de términos como "datos personales", "procesamiento", "interesado", "responsable del tratamiento" y "encargado del tratamiento" se establecen en el artículo 4 del Reglamento. [5]

El reglamento no pretende aplicarse al procesamiento de datos personales para actividades de seguridad nacional o aplicación de la ley de la UE; sin embargo, grupos de la industria preocupados por enfrentar un potencial conflicto de leyes han cuestionado si el Artículo 48 [5] del GDPR podría invocarse para tratar de evitar que un controlador de datos sujeto a las leyes de un tercer país cumpla con una orden legal de las autoridades de ese país. , judiciales o de seguridad nacional a revelar a dichas autoridades los datos personales de una persona de la UE, independientemente de si los datos residen dentro o fuera de la UE. El artículo 48 establece que cualquier sentencia de un tribunal o decisión de una autoridad administrativa de un tercer país que requiera que un responsable o procesador transfiera o divulgue datos personales no podrá ser reconocida ni ejecutable de ninguna manera a menos que esté basada en un acuerdo internacional, como un tratado de asistencia jurídica mutua vigente entre el tercer país solicitante (no perteneciente a la UE) y la UE o un Estado miembro. [6] El paquete de reforma de la protección de datos también incluye una Directiva de protección de datos separada para el sector de la policía y la justicia penal que establece normas sobre el intercambio de datos personales a nivel estatal , de la Unión y a nivel internacional. [7]

Se aplica un conjunto único de reglas a todos los estados miembros de la UE. Cada estado miembro establece una autoridad de supervisión (SA) independiente para escuchar e investigar quejas, sancionar infracciones administrativas, etc. Las SA de cada estado miembro cooperan con otras SA, brindándose asistencia mutua y organizando operaciones conjuntas. Si una empresa tiene varios establecimientos en la UE, debe tener una única SA como su "autoridad principal", en función de la ubicación de su "establecimiento principal" donde se llevan a cabo las principales actividades de procesamiento. La autoridad principal actúa así como una " ventanilla única " para supervisar todas las actividades de procesamiento de esa empresa en toda la UE ( artículos 46 a 55 del RGPD). [8] [9] Un Comité Europeo de Protección de Datos (EDPB) coordina las SA. El CEPD sustituye así al Grupo de Trabajo sobre Protección de Datos del artículo 29 . Existen excepciones para los datos procesados ​​en un contexto laboral o de seguridad nacional que aún podrían estar sujetos a las regulaciones de cada país ( artículos 2(2)(a) y 88 del RGPD).

Principios y fines lícitos

El artículo 5 establece seis principios relacionados con la licitud del tratamiento de datos personales. El primero de ellos especifica que los datos deben ser tratados de forma lícita, leal y transparente. El artículo 6 desarrolla este principio especificando que los datos personales no podrán procesarse a menos que exista al menos una base legal para hacerlo. Los demás principios se refieren a "limitación de finalidad", " minimización de datos ", "exactitud", "limitación de almacenamiento" e "integridad y confidencialidad". [10] : Artículo 5 

El artículo 6 establece que los fines legítimos son: [10] : Artículo 6 

Si se utiliza el consentimiento informado como base legal para el procesamiento, el consentimiento debe haber sido explícito para los datos recopilados y para cada propósito para el cual se utilizan los datos ( Artículo 7 ; definido en el Artículo 4 ). [11] [12] El consentimiento debe ser una afirmación específica, libremente otorgada, claramente redactada e inequívoca por parte del interesado; un formulario en línea que tiene opciones de consentimiento estructuradas como una opción de exclusión seleccionada de forma predeterminada es una violación del RGPD, ya que el usuario no afirma de manera inequívoca el consentimiento. Además, no se pueden "agrupar" varios tipos de procesamiento en una única solicitud de afirmación, ya que esto no es específico de cada uso de datos y los permisos individuales no se otorgan libremente. (Considerando 32)

Se debe permitir a los interesados ​​retirar este consentimiento en cualquier momento, y el proceso para hacerlo no debe ser más difícil que el de aceptarlo. ( Artículo 7(3) ) Un controlador de datos no puede negar el servicio a los usuarios que rechazan el consentimiento para tratamientos que no sean estrictamente necesarios para poder utilizar el servicio. ( Artículo 8 ) El consentimiento para los niños, definidos en el reglamento como menores de 16 años (aunque con la opción de que los estados miembros lo reduzcan individualmente a 13 años ( Artículo 8 (1) ), debe ser otorgado por el padre o tutor del niño, y verificable ( Artículo 8 ). [13] [14]

Si ya se otorgó el consentimiento para el procesamiento según la Directiva de protección de datos, un controlador de datos no tiene que volver a obtener el consentimiento si el procesamiento se documenta y se obtiene de conformidad con los requisitos del RGPD (Considerando 171). [15] [16]

Derechos del interesado

Transparencia y modalidades

El artículo 12 exige que el responsable del tratamiento proporcione información al "interesado de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo, en particular cuando se trate de cualquier información dirigida específicamente a un niño". [6]

Información y acceso

El derecho de acceso ( artículo 15 ) es un derecho del interesado. [17] Otorga a las personas el derecho a acceder a sus datos personales y a información sobre cómo se procesan estos datos personales. Un controlador de datos debe proporcionar, previa solicitud, una descripción general de las categorías de datos que se están procesando (Artículo 15(1)(b)), así como una copia de los datos reales ( Artículo 15(3) ); Además, el responsable del tratamiento debe informar al interesado sobre los detalles del procesamiento, como los fines del procesamiento ( artículo 15(1)(a) ), con quién se comparten los datos ( artículo 15(1)(c) ), y cómo adquirió los datos ( artículo 15, apartado 1, letra g) ).

Un interesado debe poder transferir datos personales de un sistema de procesamiento electrónico a otro, sin que el responsable del tratamiento se lo impida. Se excluyen los datos que han sido suficientemente anonimizados, pero no los datos que solo han sido anonimizados pero que aún se pueden vincular con el individuo en cuestión, por ejemplo proporcionando el identificador relevante. [18] En la práctica, sin embargo, proporcionar tales identificadores puede ser un desafío, como en el caso de Siri de Apple , donde los datos de voz y transcripción se almacenan con un identificador personal al que el fabricante restringe el acceso, [19] o en la segmentación por comportamiento en línea. , que depende en gran medida de las huellas digitales del dispositivo , cuya captura, envío y verificación pueden resultar difíciles. [20]

Se incluyen tanto los datos "proporcionados" por el interesado como los datos "observados", como los relativos al comportamiento. Además, los datos deberán ser facilitados por el responsable del tratamiento en un formato electrónico estándar estructurado y de uso común. El derecho a la portabilidad de los datos está previsto en el artículo 20 del RGPD. [21]

Rectificación y supresión

El derecho al olvido fue reemplazado por un derecho de supresión más limitado en la versión del RGPD adoptada por el Parlamento Europeo en marzo de 2014. [22] [23] El artículo 17 establece que el interesado tiene derecho a solicitar la supresión de datos personales relacionados con ellos por cualquiera de una serie de motivos, incluido el incumplimiento del artículo 6(1) (licencia), que incluye un caso (f) si los intereses legítimos del controlador son anulados por los intereses o derechos y libertades fundamentales del interesado, que requieren protección de datos personales (ver también Google Spain SL, Google Inc. contra Agencia Española de Protección de Datos, Mario Costeja González ). [6] [24]

Derecho de oposición y decisiones automatizadas

El artículo 21 del RGPD permite a una persona oponerse al procesamiento de información personal con fines de marketing o no relacionados con el servicio. [25] Esto significa que el controlador de datos debe otorgar a una persona el derecho de detener o impedir que el controlador procese sus datos personales.

Hay algunos casos en los que esta objeción no se aplica. Por ejemplo, si:

  1. Se está llevando a cabo una autoridad legal u oficial.
  2. "Interés legítimo", cuando la organización necesita tratar datos para proporcionar al interesado un servicio al que se ha suscrito
  3. Una tarea que se realiza por interés público.

El RGPD también deja claro que el responsable del tratamiento debe informar a las personas de su derecho a oponerse desde la primera comunicación que el responsable del tratamiento tenga con ellas. Esto debe ser claro y separado de cualquier otra información que proporcione el controlador y brindarle opciones sobre la mejor manera de oponerse al procesamiento de sus datos.

Hay casos en que el responsable del tratamiento puede rechazar una solicitud, en las circunstancias en que la solicitud de objeción sea "manifiestamente infundada" o "excesiva", por lo que cada caso de objeción debe examinarse individualmente. [25] Otros países como Canadá [26] también están, siguiendo el GDPR, considerando legislación para regular la toma de decisiones automatizada bajo las leyes de privacidad, a pesar de que existen dudas políticas sobre si esta es la mejor manera de regular la IA. [ cita necesaria ]

Derecho a compensación

El artículo 82 del RGPD establece que toda persona que haya sufrido un daño material o moral como consecuencia de una infracción del presente Reglamento tendrá derecho a recibir del responsable o del encargado del tratamiento una indemnización por el daño sufrido.

En la sentencia Österreichische Post (C-300/21) el Tribunal de Justicia de la Unión Europea dio una interpretación del derecho a indemnización. [27] El artículo 82(1) del RGPD exige para la indemnización por daños y perjuicios (i) una infracción del RGPD, (ii) un daño (real) sufrido y (iii) un vínculo causal entre la infracción y el daño sufrido. No es necesario que el daño sufrido alcance un cierto grado de gravedad. No existe un concepto europeo definido de daño. La compensación se determina a nivel nacional de conformidad con la legislación nacional. Deben tenerse en cuenta los principios de equivalencia y eficacia. [28]

Véanse también las conclusiones del Abogado General en el asunto Krankenversicherung Nordrhein (C-667/21). [29]

Controlador y procesador

Los controladores de datos deben revelar claramente cualquier recopilación de datos , declarar la base legal y el propósito del procesamiento de datos, e indicar durante cuánto tiempo se conservan los datos y si se comparten con terceros o fuera del EEE. Las empresas tienen la obligación de proteger los datos de los empleados y consumidores en la medida en que solo se extraigan los datos necesarios con una mínima interferencia con la privacidad de los datos de los empleados, consumidores o terceros. Las empresas deben tener controles y regulaciones internos para varios departamentos, como auditoría, controles internos y operaciones. Los interesados ​​tienen derecho a solicitar una copia portátil de los datos recopilados por un responsable del tratamiento en un formato común, así como derecho a que sus datos se supriman en determinadas circunstancias. Las autoridades públicas y las empresas cuyas actividades principales consisten en el procesamiento regular o sistemático de datos personales deben contratar un delegado de protección de datos (DPO), que sea responsable de gestionar el cumplimiento del RGPD. Las empresas deben informar las violaciones de datos a las autoridades nacionales de supervisión en un plazo de 72 horas si tienen un efecto adverso en la privacidad del usuario. En algunos casos, los infractores del RGPD pueden ser multados con hasta 20 millones de euros o hasta el 4% de la facturación mundial anual del ejercicio financiero anterior en el caso de una empresa, lo que sea mayor.

Para poder demostrar el cumplimiento del RGPD, el responsable del tratamiento debe implementar medidas que cumplan con los principios de protección de datos desde el diseño y por defecto. El artículo 25 exige que se diseñen medidas de protección de datos en el desarrollo de procesos comerciales para productos y servicios. Dichas medidas incluyen la seudonimización de los datos personales por parte del responsable del tratamiento lo antes posible (Considerando 78). Es responsabilidad del responsable del tratamiento implementar medidas efectivas y poder demostrar el cumplimiento de las actividades de procesamiento incluso si el procesamiento lo lleva a cabo un procesador de datos en nombre del responsable (Considerando 74). [6] Cuando se recopilan datos, los interesados ​​deben ser claramente informados sobre el alcance de la recopilación de datos, la base legal para el procesamiento de datos personales, durante cuánto tiempo se conservan los datos, si los datos se transfieren a un tercero y/o fuera de la UE, y cualquier toma de decisiones automatizada que se realice sobre una base únicamente algorítmica . Los interesados ​​deben ser informados de sus derechos de privacidad según el RGPD, incluido su derecho a revocar el consentimiento para el procesamiento de datos en cualquier momento, su derecho a ver sus datos personales y acceder a una descripción general de cómo se están procesando, su derecho a obtener un dispositivo portátil. copia de los datos almacenados , su derecho a la supresión de sus datos en determinadas circunstancias, su derecho a impugnar cualquier toma de decisiones automatizada que se haya realizado únicamente sobre una base algorítmica y su derecho a presentar reclamaciones ante una Autoridad de Protección de Datos . Como tal, también se deben proporcionar al interesado los datos de contacto del responsable del tratamiento y de su delegado de protección de datos designado, cuando corresponda. [30] [31]

Deben realizarse evaluaciones de impacto de la protección de datos ( artículo 35 ) cuando se produzcan riesgos específicos para los derechos y libertades de los interesados. Se requiere evaluación y mitigación de riesgos y se requiere la aprobación previa de las autoridades de protección de datos para riesgos altos.

El artículo 25 exige que la protección de datos se diseñe en el desarrollo de procesos comerciales para productos y servicios. Por lo tanto, la configuración de privacidad debe establecerse en un nivel alto de forma predeterminada, y el controlador deberá tomar medidas técnicas y de procedimiento para garantizar que el procesamiento, durante todo el ciclo de vida del procesamiento, cumpla con la regulación. Los responsables del tratamiento también implementarán mecanismos para garantizar que los datos personales no se procesen a menos que sea necesario para cada propósito específico. Esto se conoce como minimización de datos.

Un informe [32] de la Agencia de Seguridad de la Información y las Redes de la Unión Europea detalla lo que se debe hacer para lograr la privacidad y la protección de datos por defecto. Especifica que las operaciones de cifrado y descifrado deben realizarse localmente, no mediante un servicio remoto, porque tanto las claves como los datos deben permanecer en poder del propietario de los datos si se quiere lograr alguna privacidad. El informe especifica que el almacenamiento de datos subcontratado en nubes remotas es práctico y relativamente seguro si sólo el propietario de los datos, no el servicio en la nube, posee las claves de descifrado.

Seudonimización

Según el RGPD, la seudonimización es un proceso obligatorio de los datos almacenados que transforma los datos personales de tal manera que los datos resultantes no pueden atribuirse a un interesado específico sin el uso de información adicional (como alternativa a la otra opción de datos completos) . anonimización ). [33] Un ejemplo es el cifrado , que hace que los datos originales sean ininteligibles en un proceso que no se puede revertir sin acceder a la clave de descifrado correcta . El RGPD exige que la información adicional (como la clave de descifrado) se mantenga separada de los datos seudonimizados.

Otro ejemplo de seudonimización es la tokenización , que es un enfoque no matemático para proteger los datos en reposo que reemplaza los datos sensibles con sustitutos no sensibles, conocidos como tokens. Si bien los tokens no tienen ningún significado o valor extrínseco o explotable, permiten que datos específicos sean total o parcialmente visibles para su procesamiento y análisis, mientras que la información confidencial se mantiene oculta. La tokenización no altera el tipo ni la longitud de los datos, lo que significa que pueden ser procesados ​​por sistemas heredados, como bases de datos, que pueden ser sensibles a la longitud y el tipo de datos. Esto también requiere muchos menos recursos computacionales para procesar y menos espacio de almacenamiento en las bases de datos que los datos tradicionalmente cifrados.

La seudonimización es una tecnología que mejora la privacidad y se recomienda para reducir los riesgos para los interesados ​​y también para ayudar a los controladores y procesadores a cumplir con sus obligaciones de protección de datos (Considerando 28). [34]

Registros de actividades de procesamiento.

Según el artículo 30 , [6] cada organización debe mantener registros de las actividades de procesamiento que cumplan uno de los siguientes criterios:

Estos requisitos podrán ser modificados por cada país de la UE. Los registros se realizarán en formato electrónico y el responsable o el encargado del tratamiento y, en su caso, el representante del responsable o del encargado, pondrán el registro a disposición de la autoridad de control previa solicitud.

Los registros del responsable del tratamiento contendrán toda la siguiente información:

Los registros del procesador deberán contener toda la siguiente información:

Seguridad de los datos personales

Los responsables y procesadores de datos personales deben implementar medidas técnicas y organizativas apropiadas para implementar los principios de protección de datos. Los procesos comerciales que manejan datos personales deben diseñarse y construirse teniendo en cuenta los principios y proporcionar salvaguardias para proteger los datos (por ejemplo, utilizando seudonimización o anonimización total cuando corresponda). Los responsables del tratamiento de datos deben diseñar sistemas de información teniendo en cuenta la privacidad. Por ejemplo, utilizar la configuración de privacidad más alta posible de forma predeterminada, de modo que los conjuntos de datos no estén disponibles públicamente de forma predeterminada y no puedan usarse para identificar a un sujeto. No se podrán procesar datos personales a menos que este procesamiento se realice bajo una de las seis bases legales especificadas por la norma ( consentimiento , contrato, tarea pública, interés vital, interés legítimo o exigencia legal). Cuando el tratamiento se base en el consentimiento el interesado tiene derecho a revocarlo en cualquier momento.

El artículo 33 establece que el controlador de datos tiene la obligación legal de notificar a la autoridad de control sin demora indebida, a menos que sea poco probable que la violación resulte en un riesgo para los derechos y libertades de las personas. Hay un máximo de 72 horas desde que se tiene conocimiento de la filtración de datos para realizar la denuncia. Los particulares deben ser notificados si se determina un alto riesgo de impacto adverso ( artículo 34 ). Además, el encargado del tratamiento deberá notificar al responsable del tratamiento sin demora indebida una vez que tenga conocimiento de una violación de datos personales ( artículo 33 ). Sin embargo, la notificación a los interesados ​​no es necesaria si el responsable del tratamiento ha implementado medidas de protección técnicas y organizativas adecuadas que hagan que los datos personales sean ininteligibles para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado ( artículo 34 ). [6]

Delegado de protección de datos

El artículo 37 exige el nombramiento de un delegado de protección de datos. Si el procesamiento lo lleva a cabo una autoridad pública (excepto los tribunales o autoridades judiciales independientes cuando actúan en su capacidad judicial), o si las operaciones de procesamiento implican un seguimiento regular y sistemático de los interesados ​​a gran escala, o si el procesamiento a gran escala de categorías especiales de datos y datos personales relacionados con condenas y delitos penales ( Artículos 9 y Artículo 10 , [35] ) se debe designar a un delegado de protección de datos (DPO), una persona con conocimiento experto de las leyes y prácticas de protección de datos, para ayudar a responsable o encargado del tratamiento a la hora de controlar su cumplimiento interno del Reglamento. [6]

Un DPO designado puede ser un miembro actual del personal de un controlador o procesador, o la función puede subcontratarse a una persona o agencia externa a través de un contrato de servicio. En cualquier caso, el órgano de tratamiento debe asegurarse de que no existe conflicto de intereses con otras funciones o intereses que pueda desempeñar un DPD. Los datos de contacto del DPO deben ser publicados por la organización de procesamiento (por ejemplo, en un aviso de privacidad) y registrados ante la autoridad de control.

El DPO es similar a un oficial de cumplimiento y también se espera que sea competente en la gestión de procesos de TI, la seguridad de los datos (incluido el manejo de ataques cibernéticos ) y otras cuestiones críticas de continuidad del negocio asociadas con la retención y el procesamiento de datos personales y confidenciales. El conjunto de habilidades requerido va más allá de la comprensión del cumplimiento legal de las leyes y regulaciones de protección de datos. El DPO debe mantener un inventario vivo de todos los datos recopilados y almacenados en nombre de la organización. [36] El 13 de diciembre de 2016 (revisado el 5 de abril de 2017) se dieron más detalles sobre la función y el papel del delegado de protección de datos en un documento de orientación. [37]

Las organizaciones con sede fuera de la UE también deben designar a una persona con sede en la UE como representante y punto de contacto para sus obligaciones del RGPD ( artículo 27 ). Se trata de una función distinta de la de un DPO, aunque existe una superposición de responsabilidades que sugiere que esta función también puede ser desempeñada por el DPO designado. [38]

Recursos, responsabilidad y sanciones

Además de las definiciones como delito penal según la legislación nacional según el artículo 83 del RGPD, se pueden imponer las siguientes sanciones:

Exenciones

Estos son algunos casos que no se abordan específicamente en el RGPD y, por lo tanto, se tratan como exenciones. [40]

Cuando se estaba creando el RGPD, fue creado estrictamente para la regulación de los datos personales que van a manos de las empresas. [ cita necesaria ] Lo que no está cubierto por el GDPR es la información no comercial o las actividades domésticas. [41] [ verificación fallida ] Un ejemplo de estas actividades domésticas pueden ser los correos electrónicos entre dos amigos de la escuela secundaria.

Por el contrario, una entidad o más precisamente una "empresa" debe dedicarse a una "actividad económica" para estar cubierta por el RGPD. [b] La actividad económica se define de manera amplia en la legislación sobre competencia de la Unión Europea . [42]

Aplicabilidad fuera de la Unión Europea

El RGPD también se aplica a los controladores y procesadores de datos fuera del Espacio Económico Europeo (EEE) si se dedican a "ofrecer bienes o servicios" (independientemente de si se requiere un pago) a interesados ​​dentro del EEE, o están monitoreando el comportamiento de los interesados ​​dentro del EEE (artículo 3, apartado 2). El reglamento se aplica independientemente de dónde se realice el procesamiento. [43] Esto se ha interpretado como que otorga intencionalmente jurisdicción extraterritorial del RGPD para establecimientos fuera de la UE si hacen negocios con personas ubicadas en la UE. Es cuestionable si la UE o sus estados miembros podrán en la práctica hacer cumplir el RGPD contra organizaciones que no tienen establecimiento en la UE. [44]

Representante de la UE

Según el artículo 27, los establecimientos fuera de la UE sujetos al RGPD están obligados a tener una persona designada dentro de la Unión Europea, un "Representante de la UE", que sirva como punto de contacto para sus obligaciones en virtud del reglamento. El Representante de la UE es la persona de contacto del Controlador o Procesador frente a los supervisores de privacidad y los interesados ​​europeos, en todos los asuntos relacionados con el procesamiento, para garantizar el cumplimiento de este RGPD. Una persona física (individuo) o moral (corporación) puede desempeñar el papel de Representante de la UE. [45] El establecimiento extracomunitario debe expedir un documento debidamente firmado (carta de acreditación) designando a una determinada persona o empresa como su Representante en la UE. Dicha designación sólo podrá darse por escrito. [46]

La falta de designación de un representante de la UE por parte de un establecimiento se considera desconocimiento de la normativa y de las obligaciones pertinentes, lo que a su vez constituye una violación del RGPD, sujeto a multas de hasta 10 millones de euros o hasta el 2 % del volumen de negocios mundial anual del ejercicio financiero anterior. en el caso de una empresa, el que sea mayor. El carácter intencional o negligente (ceguera deliberada) de la infracción (no designar un representante de la UE) puede más bien constituir factores agravantes. [47]

Un establecimiento no necesita nombrar un Representante de la UE si solo realiza un procesamiento ocasional que no incluye, a gran escala, el procesamiento de categorías especiales de datos como se menciona en el artículo 9 (1) del RGPD o el procesamiento de datos personales relacionados. a condenas penales y delitos mencionados en el artículo 10, y es poco probable que dicho procesamiento resulte en un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, el contexto, el alcance y los propósitos del procesamiento. [6] Las autoridades y organismos públicos de fuera de la UE están igualmente exentos. [48]

Países del Tercer Mundo

El Capítulo V del RGPD prohíbe la transferencia de datos personales de interesados ​​de la UE a países fuera del EEE, conocidos como terceros países , a menos que se impongan las salvaguardias adecuadas o que la Comisión Europea considere formalmente adecuadas las normas de protección de datos del tercer país ( Artículo 45). [49] [50] Entre los ejemplos se encuentran reglas corporativas vinculantes , cláusulas contractuales estándar para la protección de datos emitidas por un Acuerdo de Procesamiento de Datos (DPA), o un esquema de compromisos vinculantes y exigibles por parte del controlador o procesador de datos ubicado en un tercer país. [51]

Implementación del Reino Unido

Explicación de los posibles resultados de la divergencia del Reino Unido con respecto al RGPD europeo [52]

La aplicabilidad del RGPD en el Reino Unido se ve afectada por el Brexit . Aunque el Reino Unido se retiró formalmente de la Unión Europea el 31 de enero de 2020, permaneció sujeto a la legislación de la UE, incluido el RGPD, hasta el final del período de transición el 31 de diciembre de 2020. [49] El Reino Unido otorgó el consentimiento real a la Ley de Protección de Datos Ley 2018 de 23 de mayo de 2018, que amplió el RGPD, incluyendo aspectos de la regulación que serán determinados por la legislación nacional, y delitos penales por obtener, redistribuir o conservar, de forma consciente o imprudente, datos personales sin el consentimiento del responsable del tratamiento. [53] [54]

Según la Ley de (Retirada) de la Unión Europea de 2018 , la legislación de la UE existente y pertinente se transpuso a la legislación local una vez completada la transición, y el RGPD se modificó mediante un instrumento legal para eliminar ciertas disposiciones que ya no eran necesarias debido a la no membresía del Reino Unido en el UE. A partir de entonces, el reglamento se denominará "RGPD del Reino Unido". [55] [50] [49] El Reino Unido no restringirá la transferencia de datos personales a países dentro del EEE según el RGPD del Reino Unido. Sin embargo, el Reino Unido se convertirá en un tercer país según el RGPD de la UE, lo que significa que los datos personales no podrán transferirse al país a menos que se impongan las salvaguardias adecuadas o que la Comisión Europea tome una decisión sobre la idoneidad de la legislación británica de protección de datos (Capítulo V ). Como parte del acuerdo de retirada , la Comisión Europea se comprometió a realizar una evaluación de adecuación. [49] [50]

En abril de 2019, la Oficina del Comisionado de Información (ICO) del Reino Unido emitió un código de prácticas para niños para los servicios de redes sociales cuando los utilizan menores, aplicable según el RGPD, que también incluye restricciones a los mecanismos de " me gusta " y "racha" para desalentar las redes sociales. adicción y sobre el uso de estos datos para el procesamiento de intereses. [56] [57]

En marzo de 2021, el Secretario de Estado de Digital, Cultura, Medios y Deportes, Oliver Dowden , declaró que el Reino Unido estaba explorando la divergencia con el RGPD de la UE para "[centrarse] más en los resultados que queremos tener y menos en las cargas de las normas impuestas a las empresas individuales". [58]

Conceptos erróneos

Algunos conceptos erróneos comunes sobre el RGPD incluyen:

Recepción

Según un estudio realizado por Deloitte en 2018, el 92% de las empresas cree que podrán cumplir con el RGPD en sus prácticas comerciales a largo plazo. [63]

Las empresas que operan fuera de la UE han invertido mucho para alinear sus prácticas comerciales con el RGPD. El ámbito del consentimiento del RGPD tiene una serie de implicaciones para las empresas que graban llamadas como cuestión de práctica. Una exención de responsabilidad típica no se considera suficiente para obtener el supuesto consentimiento para grabar llamadas. Además, cuando la grabación ha comenzado, si la persona que llama retira su consentimiento, el agente que recibe la llamada debe poder detener una grabación iniciada previamente y asegurarse de que la grabación no se almacene. [64]

Los profesionales de TI esperan que el cumplimiento del RGPD requiera una inversión adicional en general: más del 80 por ciento de los encuestados esperaban que el gasto relacionado con el RGPD fuera de al menos 100.000 dólares estadounidenses. [65] Las preocupaciones se hicieron eco en un informe encargado por la firma de abogados Baker & McKenzie que encontró que "alrededor del 70 por ciento de los encuestados cree que las organizaciones necesitarán invertir presupuesto/esfuerzo adicional para cumplir con el consentimiento, el mapeo de datos y las transacciones transfronterizas". requisitos de transferencia de datos según el RGPD." [66] El coste total para las empresas de la UE se estima en 200 mil millones de euros, mientras que para las empresas estadounidenses la estimación es de 41,7 mil millones de dólares. [67] Se ha argumentado que las empresas más pequeñas y las empresas de nueva creación podrían no tener los recursos financieros para cumplir adecuadamente con el GDPR, a diferencia de las empresas tecnológicas internacionales más grandes (como Facebook y Google ) a las que la regulación aparentemente pretende apuntar en primer lugar. . [68] [69] La falta de conocimiento y comprensión de las regulaciones también ha sido una preocupación en el período previo a su adopción. [70] Un contraargumento a esto ha sido que las empresas fueron informadas de estos cambios dos años antes de que entraran en vigor y deberían haber tenido tiempo suficiente para prepararse. [71]

Las regulaciones, incluyendo si una empresa debe tener un oficial de protección de datos, han sido criticadas por una posible carga administrativa y requisitos de cumplimiento poco claros. [72] Aunque la minimización de datos es un requisito, siendo la seudonimización uno de los medios posibles, el reglamento no proporciona ninguna orientación sobre cómo o qué constituye un sistema eficaz de desidentificación de datos, con un área gris sobre lo que se consideraría un tema de seudonimización inadecuado. a las acciones de cumplimiento de la Sección 5. [73] [74] [75] También existe preocupación con respecto a la implementación del RGPD en los sistemas blockchain , ya que el registro transparente y fijo de las transacciones de blockchain contradice la naturaleza misma del RGPD. [76] Muchos medios de comunicación han comentado sobre la introducción de un " derecho a la explicación " de las decisiones algorítmicas, [77] [78] pero desde entonces los juristas han argumentado que la existencia de tal derecho es muy confusa sin pruebas judiciales y es limitada. a lo mejor. [79] [80]

El RGPD ha obtenido el apoyo de empresas que lo consideran una oportunidad para mejorar su gestión de datos. [81] [82] Mark Zuckerberg también lo ha llamado un "paso muy positivo para Internet ", [83] y ha pedido que se adopten leyes estilo GDPR en los EE. UU. [84] Los grupos de derechos de los consumidores, como la Organización Europea de Consumidores, se encuentran entre los defensores más vocales de la legislación. [85] Otros partidarios han atribuido su paso al denunciante Edward Snowden . [86] El defensor del software libre Richard Stallman ha elogiado algunos aspectos del RGPD, pero ha pedido salvaguardias adicionales para evitar que las empresas de tecnología "fabrican consentimiento". [87]

Impacto

Los expertos académicos que participaron en la formulación del RGPD escribieron que la ley "es el desarrollo regulatorio de mayor trascendencia en política de información en una generación. El RGPD incorpora los datos personales a un régimen regulatorio complejo y protector". [ cita necesaria ]

A pesar de haber tenido al menos dos años para prepararse y hacerlo, muchas empresas y sitios web cambiaron sus políticas y características de privacidad en todo el mundo directamente antes de la implementación del RGPD, y habitualmente proporcionaban correos electrónicos y otras notificaciones sobre estos cambios. Esto fue criticado por dar lugar a un número agotador de comunicaciones, mientras que los expertos señalaron que algunos correos electrónicos recordatorios afirmaban incorrectamente que se debía obtener un nuevo consentimiento para el procesamiento de datos cuando el RGPD entrara en vigor (cualquier consentimiento para el procesamiento obtenido previamente es válido siempre que cumplió con los requisitos del reglamento). También surgieron estafas de phishing utilizando versiones falsificadas de correos electrónicos relacionados con el RGPD, y también se argumentó que algunos correos electrónicos de aviso del RGPD en realidad podrían haberse enviado en violación de las leyes antispam. [88] [15] En marzo de 2019, un proveedor de software de cumplimiento descubrió que muchos sitios web operados por gobiernos de los estados miembros de la UE contenían seguimiento integrado de proveedores de tecnología publicitaria. [89] [90]

La avalancha de avisos relacionados con el RGPD también inspiró memes , incluidos aquellos relacionados con los avisos de política de privacidad entregados por medios atípicos (como una tabla Ouija o el rastreo de apertura de Star Wars ), sugiriendo que la lista de "malos o traviesos" de Santa Claus era una violación. y una grabación de extractos del reglamento realizada por un ex locutor de BBC Radio 4 Shipping Forecast . También se creó un blog, GDPR Hall of Shame , para mostrar la entrega inusual de avisos de GDPR y los intentos de cumplimiento que contenían violaciones atroces de los requisitos de la regulación. Su autor comentó que el reglamento "tiene muchos detalles meollo de la cuestión, pero no mucha información sobre cómo cumplirlo", pero también reconoció que las empresas tenían dos años para cumplir, lo que hacía que algunas de sus respuestas fueran injustificadas. . [91] [92] [93] [94] [95]

Las investigaciones indican que aproximadamente el 25% de las vulnerabilidades de software tienen implicaciones del RGPD. [96] Dado que el artículo 33 enfatiza las infracciones, no los errores, los expertos en seguridad aconsejan a las empresas que inviertan en procesos y capacidades para identificar vulnerabilidades antes de que puedan ser explotadas, incluidos procesos coordinados de divulgación de vulnerabilidades . [97] [98] Una investigación de las políticas de privacidad, las capacidades de acceso a datos y el comportamiento de acceso a datos de las aplicaciones de Android ha demostrado que numerosas aplicaciones muestran un comportamiento algo más respetuoso con la privacidad desde que se implementó el RGPD, aunque aún conservan la mayor parte de su acceso a datos. privilegios en su código. [99] [100] Una investigación del Consejo Noruego de Consumidores sobre los paneles de control de los interesados ​​posteriores al RGPD en plataformas de medios sociales (como el panel de Google ) ha concluido que las grandes empresas de medios sociales utilizan tácticas engañosas para disuadir a sus clientes de agudizar sus la configuración de privacidad. [101]

En la fecha de entrada en vigor, algunos sitios web comenzaron a bloquear por completo a los visitantes de países de la UE (incluidos Instapaper , [102] Unroll.me, [103] y periódicos propiedad de Tribune Publishing , como el Chicago Tribune y Los Angeles Times ) o redirigirlos. a versiones simplificadas de sus servicios (en el caso de National Public Radio y USA Today ) con funcionalidad limitada y/o sin publicidad, por lo que no serán responsables. [104] [105] [106] [107] Algunas empresas, como Klout y varios videojuegos en línea, cesaron sus operaciones por completo para coincidir con su implementación, citando el RGPD como una carga para sus operaciones continuas, especialmente debido a la modelo del anterior. [108] [109] [110] El volumen de colocaciones de publicidad conductual en línea en Europa cayó entre un 25% y un 40% el 25 de mayo de 2018. [111] [112]

En 2020, dos años después de que el RGPD comenzara a implementarse, la Comisión Europea evaluó que los usuarios de toda la UE habían aumentado su conocimiento sobre sus derechos, afirmando que "el 69% de la población mayor de 16 años en la UE ha oído hablar del RGPD". y el 71% de las personas oyeron hablar de su autoridad nacional de protección de datos." [113] [114] La comisión también encontró que la privacidad se ha convertido en una cualidad competitiva para las empresas que los consumidores están teniendo en cuenta en sus procesos de toma de decisiones. [113]

Aplicación e inconsistencia

Facebook y sus filiales WhatsApp e Instagram , así como Google LLC (que apunta a Android ), fueron demandados inmediatamente por NOYB , una organización sin fines de lucro de Max Schrems , pocas horas después de la medianoche del 25 de mayo de 2018, por su uso de "consentimiento forzado". Schrems afirma que ambas empresas violaron el artículo 7(4) al no presentar opciones de consentimiento para el procesamiento de datos de forma individualizada y exigir a los usuarios que dieran su consentimiento para todas las actividades de procesamiento de datos (incluidas aquellas que no son estrictamente necesarias) o se les prohibiría usar el servicios. [115] [116] [117] [118] [119] El 21 de enero de 2019, la DPA francesa multó a Google con 50 millones de euros por mostrar control, consentimiento y transparencia insuficientes sobre el uso de datos personales para publicidad comportamental. [120] [121] En noviembre de 2018, tras una investigación periodística sobre Liviu Dragnea , la DPA rumana (ANSPDCP) utilizó una solicitud GDPR para exigir información sobre las fuentes del Proyecto RISE . [122] [123]

En julio de 2019, la Oficina del Comisionado de Información británico emitió la intención de multar a British Airways con una cantidad récord de £183 millones (1,5% de la facturación) por deficientes medidas de seguridad que permitieron un ataque de skimming web en 2018 que afectó a alrededor de 380.000 transacciones. [124] [125] [126] [127] [128] British Airways finalmente fue multada con una cantidad reducida de £ 20 millones, y la ICO señaló que habían "considerado tanto las representaciones de BA como el impacto económico de COVID-19 en sus negocio antes de fijar una sanción definitiva". [129]

En diciembre de 2019, Politico informó que Irlanda y Luxemburgo –dos países más pequeños de la UE que tenían reputación de paraísos fiscales y (especialmente en el caso de Irlanda) como base para las filiales europeas de grandes empresas tecnológicas estadounidenses– se enfrentaban a importantes retrasos en sus investigaciones de importantes empresas extranjeras en virtud del RGPD, e Irlanda citó la complejidad de la regulación como un factor. Los críticos entrevistados por Politico también argumentaron que la aplicación de la ley también se estaba viendo obstaculizada por las diferentes interpretaciones entre los estados miembros, la priorización de la orientación sobre la aplicación por parte de algunas autoridades y la falta de cooperación entre los estados miembros. [130]

En noviembre de 2021, el Consejo Irlandés de Libertades Civiles presentó una denuncia formal ante la Comisión por incumplimiento de su obligación en virtud de la legislación de la UE de supervisar cuidadosamente cómo Irlanda aplica el RGPD. [131] Hasta enero de 2023, la Comisión publicó un nuevo compromiso basado en la denuncia de ICCL. [131]

Si bien las empresas ahora están sujetas a obligaciones legales, todavía existen varias inconsistencias en la implementación práctica y técnica del RGPD. [132] A modo de ejemplo, según el derecho de acceso del RGPD, las empresas están obligadas a proporcionar a los interesados ​​los datos que recopilan sobre ellos. Sin embargo, en un estudio sobre tarjetas de fidelidad en Alemania, las empresas no proporcionaron a los interesados ​​la información exacta de los artículos comprados. [133] Se podría argumentar que esas empresas no recopilan la información de los artículos comprados, lo que no se ajusta a sus modelos de negocio. Por lo tanto, los interesados ​​tienden a verlo como una violación del RGPD. Como resultado, los estudios han sugerido un mejor control por parte de las autoridades. [133]

Según el RGPD, el consentimiento de los usuarios finales debe ser válido, libremente otorgado, específico, informado y activo. [134] Sin embargo, la falta de exigibilidad con respecto a la obtención de consentimientos legales ha sido un desafío. A modo de ejemplo, un estudio de 2020 demostró que las Big Tech , es decir, Google , Amazon , Facebook , Apple y Microsoft (GAFAM), utilizan patrones oscuros en sus mecanismos de obtención del consentimiento, lo que plantea dudas sobre la licitud del consentimiento adquirido. [134]

En marzo de 2021, se informó que los estados miembros de la UE, encabezados por Francia, estaban intentando modificar el impacto de la regulación de la privacidad en Europa eximiendo a las agencias de seguridad nacionales. [135]

Después de que se impusieran alrededor de 160 millones de euros en multas conforme al RGPD en 2020, la cifra ya superaba los mil millones de euros en 2021. [136]

Influencia en las leyes extranjeras

La adopción masiva de estos nuevos estándares de privacidad por parte de empresas multinacionales se ha citado como un ejemplo del " efecto Bruselas ", un fenómeno en el que las leyes y regulaciones europeas se utilizan como base debido a su gravedad. [137]

El estado estadounidense de California aprobó la Ley de Privacidad del Consumidor de California el 28 de junio de 2018, que entró en vigor el 1 de enero de 2020; otorga derechos de transparencia y control sobre la recopilación de información personal por parte de las empresas de manera similar al RGPD. Los críticos han argumentado que dichas leyes deben implementarse a nivel federal para que sean efectivas, ya que un conjunto de leyes a nivel estatal tendrían estándares variables que complicarían su cumplimiento. [138] [139] [140] Desde entonces, otros dos estados de EE. UU. han promulgado legislación similar: Virginia aprobó la Ley de Privacidad de Datos del Consumidor el 2 de marzo de 2021, [141] y Colorado promulgó la Ley de Privacidad de Colorado el 8 de julio de 2021. [142]

La República de Turquía , candidata a ser miembro de la Unión Europea , adoptó la Ley de Protección de Datos Personales el 24 de marzo de 2016, de conformidad con el acervo de la UE . [143]

En China, la Ley de Protección de Información Personal ( PIPL ), "la primera ley integral de China diseñada para regular los datos en línea y proteger la información personal" entró en vigor en 2021. [144]

Suiza también adoptará una nueva ley de protección de datos que sigue en gran medida el RGPD de la UE. [145]

Visitas e ingresos del sitio web

Un estudio de 2024 encontró que el RGPD redujo tanto las visitas a las páginas web de los usuarios de la UE como los ingresos del sitio web en un 12%. [146]

Línea de tiempo

Mercado único digital de la UE

La estrategia del Mercado Único Digital de la UE se relaciona con las actividades de " economía digital " relacionadas con las empresas y las personas en la UE. [154] Como parte de la estrategia, el RGPD y la Directiva NIS se aplican a partir del 25 de mayo de 2018. También se planeó que el Reglamento de privacidad electrónica propuesto fuera aplicable a partir del 25 de mayo de 2018, pero se retrasará varios meses. [155] El Reglamento eIDAS también forma parte de la estrategia.

En una evaluación inicial, el Consejo Europeo afirmó que el RGPD debería considerarse "un requisito previo para el desarrollo de futuras iniciativas de política digital". [156]

Ver también

Leyes de privacidad similares en otros países:

Regulación de la UE relacionada:

Conceptos relacionados:

Notas a pie de página

  1. ^ El control conjunto surge "cuando dos o más responsables del tratamiento determinan conjuntamente los fines y medios del tratamiento" de los datos. Deben acordar sus respectivas responsabilidades de manera "transparente" y comunicar "la esencia del acuerdo" a los interesados. [5] : Artículo 26 
  2. ^ Consulte el artículo  4 (18) del RGPD: 'empresa' significa una persona física o jurídica que se dedica a una actividad económica, independientemente de su forma jurídica, incluidas las sociedades o asociaciones que se dedican regularmente a una actividad económica. [6]

Referencias

  1. ^ "Presidencia del Consejo: 'Texto de compromiso. Varios enfoques generales parciales han sido decisivos para converger puntos de vista en el Consejo sobre la propuesta de Reglamento general de protección de datos en su totalidad. El texto sobre el Reglamento que la Presidencia presenta para su aprobación como Consejo General El enfoque aparece en el anexo, '201 páginas, 11 de junio de 2015, PDF". Archivado desde el original el 25 de diciembre de 2015 . Consultado el 30 de diciembre de 2015 .
  2. ^ Francesca Lucarini, "Las diferencias entre la Ley de Privacidad del Consumidor de California y el RGPD" Archivado el 12 de julio de 2020 en Wayback Machine , Asesor
  3. ^ Artículo 3 (2) : este Reglamento se aplica al procesamiento de datos personales de interesados ​​que se encuentran en la Unión por un controlador o procesador no establecido en la Unión, cuando las actividades de procesamiento están relacionadas con: (a) la oferta de bienes o servicios, independientemente de si se requiere un pago por parte del interesado, a dichos interesados ​​en la Unión; o b) el seguimiento de su comportamiento en la medida en que tenga lugar dentro de la Unión.
  4. ^ "¿Qué son los datos personales?". Enero de 2021. Archivado desde el original el 24 de julio de 2019 . Consultado el 22 de julio de 2019 .
  5. ^ abc "EUR-Lex - 32016R0679 - ES - EUR-Lex". eur-lex.europa.eu . Archivado desde el original el 17 de marzo de 2018 . Consultado el 21 de marzo de 2018 .
  6. ^ abcdefghijklm "REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO (artículo 30)". Archivado desde el original el 28 de junio de 2017 . Consultado el 7 de junio de 2017 . El texto se copió de esta fuente, que está disponible bajo una licencia internacional Creative Commons Attribution 4.0 Archivado el 16 de octubre de 2017 en Wayback Machine .
  7. ^ "Directiva (UE) 2016/680 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las autoridades competentes con fines de prevención, investigación, detección o enjuiciamiento de infracciones penales o la ejecución de sanciones penales, y sobre la libre circulación de dichos datos, y por la que se deroga la Decisión Marco 2008/977/JAI del Consejo". 4 de mayo de 2016.
  8. ^ La propuesta de Reglamento general de protección de datos de la UE. Una guía para abogados internos, Hunton & Williams LLP, junio de 2015, p. 14
  9. ^ ab "Protección de datos" (PDF) . Comisión Europea – Comisión Europea . Archivado (PDF) desde el original el 3 de diciembre de 2012 . Consultado el 3 de enero de 2013 .
  10. ^ ab "EUR-Lex - 32016R0679 - ES - EUR-Lex". eur-lex.europa.eu . Archivado desde el original el 6 de noviembre de 2017 . Consultado el 7 de noviembre de 2017 ..
  11. ^ "noticiasmyynews". Archivado desde el original el 22 de octubre de 2020 . Consultado el 21 de octubre de 2020 .
  12. ^ "Regulación_general_de_protección_de_datos". Archivado desde el original el 22 de octubre de 2020 . Consultado el 21 de octubre de 2020 .
  13. ^ "Edad de consentimiento en el RGPD: mapeo actualizado". iapp.org . Archivado desde el original el 27 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  14. ^ "Cómo el reglamento de protección de datos de la UE propuesto está creando un efecto dominó en todo el mundo" Archivado el 17 de febrero de 2021 en Wayback Machine . Judy Schmitt, Florian Stahl. 11 de octubre de 2012. Consultado el 3 de enero de 2013.
  15. ^ ab Hern, Alex (21 de mayo de 2018). "La mayoría de los correos electrónicos RGPD son innecesarios y algunos ilegales, dicen los expertos". El guardián . Archivado desde el original el 28 de mayo de 2018 . Consultado el 28 de mayo de 2018 .
  16. ^ Kamleitner, Bernadette; Mitchell, Vince (1 de octubre de 2019). "Sus datos son mis datos: un marco para abordar las infracciones de privacidad interdependientes". Revista de políticas públicas y marketing . 38 (4): 433–450. doi : 10.1177/0743915619858924 . ISSN  0743-9156. S2CID  201343307.
  17. ^ abc "Diario Oficial L 119/2016". eur-lex.europa.eu . Archivado desde el original el 22 de noviembre de 2018 . Consultado el 26 de mayo de 2018 .
  18. ^ "Directrices sobre el derecho a la portabilidad de datos según el Reglamento 2016/679". Comisión Europea. 2017. Archivado desde el original el 29 de junio de 2017 . Consultado el 2 de noviembre de 2023 .
  19. ^ Veale, Michael; Binns, Rubén; Ausloos, Jef (2018). "Cuando la protección de datos por diseño y los derechos del interesado chocan". Ley Internacional de Privacidad de Datos . 8 (2): 105-123. doi : 10.1093/idpl/ipy002 .
  20. ^ Zuiderveen Borgesius, Frederik J. (abril de 2016). "Señalar a las personas sin saber sus nombres: segmentación por comportamiento, datos seudónimos y el nuevo Reglamento de protección de datos". Revisión de seguridad y derecho informático . 32 (2): 256–271. doi :10.1016/j.clsr.2015.12.013. ISSN  0267-3649.
  21. Propuesta de Reglamento General de Protección de Datos de la UE Archivado el 3 de diciembre de 2012 en Wayback Machine . Comisión Europea. 25 de enero de 2012. Consultado el 3 de enero de 2013.
  22. ^ Calvo, Tony ; Hyams, Oliver (15 de mayo de 2014). "El derecho al olvido". 1 tribunal de Essex. Archivado desde el original el 19 de octubre de 2017 . Consultado el 1 de junio de 2014 .
  23. ^ "Resolución legislativa del Parlamento Europeo de 12 de marzo de 2014 sobre la propuesta de Reglamento del Parlamento Europeo y del Consejo relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos (Reglamento general de protección de datos )". Parlamento Europeo . Archivado desde el original el 5 de junio de 2014 . Consultado el 1 de junio de 2014 .
  24. ^ "Privacidad de datos práctica | Libros de trabajadores del pensamiento". Trabajos de pensamiento . Consultado el 25 de agosto de 2023 .
  25. ^ ab "Derecho de oposición". ico.org.uk. _ 30 de agosto de 2019. Archivado desde el original el 2 de diciembre de 2019 . Consultado el 14 de noviembre de 2019 .
  26. ^ Sookman, Barry; Carlos Morgan; Adam Goldenberg (30 de abril de 2021). "Uso de leyes de privacidad para regular la toma de decisiones automatizada". Barry Sookman . Archivado desde el original el 24 de mayo de 2021 . Consultado el 24 de mayo de 2021 .
  27. ^ Sentencia del Tribunal de Justicia (Sala Tercera) de 4 de mayo de 2023. UI contra Österreichische Post AG. Petición de decisión prejudicial planteada por el Oberster Gerichtshof. Asunto C-300/21, ECLI:EU:C:2023:370: Petición de decisión prejudicial – Protección de las personas físicas en lo que respecta al tratamiento de datos personales – Reglamento (UE) 2016/679 - Artículo 82, apartado 1 - Derecho a una indemnización por el daño causado por un tratamiento de datos que infringe dicho Reglamento - Condiciones que rigen el derecho a una indemnización - La mera infracción de dicho Reglamento no es suficiente - Necesidad del daño causado por esa infracción - Indemnización por el daño moral resultante de dicho tratamiento - Incompatibilidad de una norma nacional que supedite la indemnización de dichos daños a la superación de un umbral de gravedad - Normas para la determinación de los daños por los tribunales nacionales.
  28. ^ Österreichische Post (C-300/21), sub 54.
  29. ^ Conclusiones del Abogado General Campos Sánchez-Bordona presentadas el 25 de mayo de 2023. ZQ contra Medizinischer Dienst der Krankenversicherung Nordrhein, Körperschaft des öffentlichen Rechts. Asunto C‑667/21, ECLI:EU:C:2023:433 (Texto provisional)
  30. ^ "Avisos de privacidad según el Reglamento general de protección de datos de la UE". ico.org.uk. _ 19 de enero de 2018. Archivado desde el original el 23 de mayo de 2018 . Consultado el 22 de mayo de 2018 .
  31. ^ "¿Qué información se debe proporcionar a las personas cuyos datos se recopilan?". Europa (portal web). Archivado desde el original el 23 de mayo de 2018 . Consultado el 23 de mayo de 2018 .
  32. ^ "Privacidad y Protección de Datos por Diseño - ENISA". Europa (portal web). Archivado desde el original el 5 de abril de 2017 . Consultado el 4 de abril de 2017 .
  33. ^ Ciencia de datos según GDPR con seudonimización en el proceso de datos Archivado el 18 de abril de 2018 en Wayback Machine Publicado por Dativa, 17 de abril de 2018
  34. ^ "¿Quiere cumplir con el RGPD? Aquí encontrará una introducción a la anonimización y la seudonimización". iapp.org . Archivado desde el original el 19 de febrero de 2018 . Consultado el 19 de febrero de 2018 .
  35. ^ "EUR-Lex - Artículo 37". eur-lex.europa.eu . Archivado desde el original el 22 de enero de 2017 . Consultado el 23 de enero de 2017 .
  36. ^ "Explicación de las solicitudes de los interesados ​​del RGPD". TrueVault . Archivado desde el original el 20 de febrero de 2019 . Consultado el 19 de febrero de 2019 .
  37. ^ "Directrices sobre los delegados de protección de datos ('DPO')" . Archivado desde el original el 29 de junio de 2017 . Consultado el 2 de noviembre de 2023 .
  38. ^ Jankowski, Piper-Meredith (21 de junio de 2017). "alcance del RGPD: ¿Qué está en juego?". Lexología . Archivado desde el original el 26 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
  39. ^ ab "L_2016119EN.01000101.xml". eur-lex.europa.eu . Archivado desde el original el 10 de noviembre de 2017 . Consultado el 28 de agosto de 2016 .
  40. ^ "Exenciones". ico.org.uk. _ 20 de julio de 2020. Archivado desde el original el 11 de noviembre de 2020 . Consultado el 11 de noviembre de 2020 .
  41. ^ "La 'exención para los hogares' en el RGPD". Fenech Farrugia Fiott Legal . 22 de mayo de 2020. Archivado desde el original el 29 de octubre de 2020 . Consultado el 11 de noviembre de 2020 .
  42. ^ Wehlander, Carolina (2016). ""Actividad económica": criterios y relevancia en los ámbitos del derecho del mercado interior, el derecho de competencia y el derecho de adquisiciones de la UE" (PDF) . En Wehlander, Caroline (ed.). Los Servicios de Interés Económico General como Concepto Constitucional del Derecho de la UE . La Haya, Países Bajos: TMC Asser Press. págs. 35–65. doi :10.1007/978-94-6265-117-3_2. ISBN 978-94-6265-116-6. Archivado (PDF) desde el original el 26 de mayo de 2018 . Consultado el 23 de mayo de 2018 .
  43. ^ "El ámbito (extra) territorial del RGPD: el derecho al olvido". Fasken.com . 28 de noviembre de 2019. Archivado desde el original el 21 de febrero de 2020 . Consultado el 21 de febrero de 2020 .
  44. ^ "Alcance extraterritorial del RGPD: ¿deben cumplirlo las empresas fuera de la UE?". Asociación de Abogados de Estados Unidos. Archivado desde el original el 21 de febrero de 2020 . Consultado el 21 de febrero de 2020 .
  45. ^ Arte. 27(4) RGPD.
  46. ^ Arte. 27(1) RGPD.
  47. ^ Arte. 83(1), (2) y (4a) del RGPD.
  48. ^ Arte. 27(2) RGPD.
  49. ^ abcd "Reino Unido: comprender el impacto total del Brexit en el Reino Unido: flujos de datos de la UE". La privacidad importa . DLA Piper . 23 de septiembre de 2019. Archivado desde el original el 20 de febrero de 2020 . Consultado el 20 de febrero de 2020 .
  50. ^ abc Palmer, Danny. "En materia de protección de datos, el Reino Unido dice que actuará solo. Probablemente no lo hará". ZDNet . Archivado desde el original el 16 de febrero de 2020 . Consultado el 20 de febrero de 2020 .
  51. ^ Donnelly, Conor (18 de enero de 2018). "Cómo transferir datos a un 'tercer país' según el RGPD". Blog sobre gobernanza de TI . Archivado desde el original el 21 de febrero de 2020 . Consultado el 21 de febrero de 2020 .
  52. ^ "Derechos digitales post-Brexit". YouTube . Grupo de Derechos Abiertos . Archivado desde el original el 22 de noviembre de 2022 . Consultado el 27 de noviembre de 2022 .Video de Open Rights Group desarrollado como explicativo de las propuestas del Reino Unido
  53. ^ "Nueva Ley de Protección de Datos finalizada en el Reino Unido". Out-Law.com . Archivado desde el original el 25 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
  54. ^ Ashford, Warwick (24 de mayo de 2018). "La nueva Ley de Protección de Datos del Reino Unido no es bien recibida por todos". Computadora Semanal . Archivado desde el original el 24 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
  55. ^ Porter, Jon (20 de febrero de 2020). "Google transfiere la autoridad sobre los datos de los usuarios del Reino Unido a los EE. UU. a raíz del Brexit". El borde . Archivado desde el original el 20 de febrero de 2020 . Consultado el 20 de febrero de 2020 .
  56. ^ "Los menores de 18 años se enfrentan a límites de 'me gusta' y 'rachas'". Noticias de la BBC . 15 de abril de 2019. Archivado desde el original el 15 de abril de 2019 . Consultado el 15 de abril de 2019 .
  57. ^ Greenfield, Patrick (15 de abril de 2019). "Se insta a Facebook a desactivar la función 'Me gusta' para los usuarios infantiles". El guardián . ISSN  0261-3077. Archivado desde el original el 15 de abril de 2019 . Consultado el 15 de abril de 2019 .
  58. ^ Afifi-Sabet, Keumars (12 de marzo de 2021). "El Reino Unido busca una divergencia del RGPD para 'impulsar el crecimiento'". TI PRO . Archivado desde el original el 13 de marzo de 2021 . Consultado el 12 de marzo de 2021 .
  59. ^ "Rompidos los mitos sobre el intercambio de datos". Oficina del Comisionado de Información . Consultado el 19 de octubre de 2023 .
  60. ^ "Los nueve mitos principales del RGPD desmentidos". Ley WS . 22 de enero de 2019 . Consultado el 19 de octubre de 2023 .
  61. ^ "Cinco destructores de mitos del RGPD". Pescador de campo . 11 de mayo de 2023 . Consultado el 19 de octubre de 2023 .
  62. ^ Artículo 3 (2) del RGPD
  63. ^ Gooch, Peter (2018). "Una nueva era para la privacidad: GDPR seis meses después" (PDF) . Deloitte Reino Unido . Archivado (PDF) desde el original el 12 de octubre de 2020 . Consultado el 26 de noviembre de 2020 .
  64. ^ "Cómo las empresas inteligentes pueden evitar las sanciones del RGPD al grabar llamadas". xewave.io . Archivado desde el original el 14 de abril de 2018 . Consultado el 13 de abril de 2018 .
  65. ^ Babel, Chris (11 de julio de 2017). "Los altos costes del cumplimiento del RGPD". Semana de la Información . Grupo Tecnológico UBM. Archivado desde el original el 5 de octubre de 2017 . Consultado el 4 de octubre de 2017 .
  66. ^ "Preparación para nuevos regímenes de privacidad: opiniones de los profesionales de la privacidad sobre el Reglamento general de protección de datos y el Escudo de privacidad" (PDF) . bakermckenzie.com . Panadero y McKenzie. 4 de mayo de 2016. Archivado (PDF) desde el original el 31 de agosto de 2018 . Consultado el 4 de octubre de 2017 .
  67. ^ Georgiev, Georgi. "Calculadora de costos de cumplimiento del RGPD". GIGAcalculator.com . Archivado desde el original el 16 de mayo de 2018 . Consultado el 16 de mayo de 2018 .
  68. ^ Solon, Olivia (19 de abril de 2018). "Cómo la 'revolucionaria' ley de privacidad de Europa se enfrenta a Facebook y Google". El guardián . Archivado desde el original el 26 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
  69. ^ "Las nuevas normas de privacidad de Europa no son una solución milagrosa". Politico.eu . 22 de abril de 2018. Archivado desde el original el 26 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
  70. ^ "La falta de conocimiento del RGPD es un peligro y una oportunidad". MicroscopioReino Unido . Archivado desde el original el 26 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
  71. ^ Jeong, Sarah (22 de mayo de 2018). "Nadie está preparado para el RGPD". El borde . Archivado desde el original el 28 de mayo de 2018 . Consultado el 1 de junio de 2018 .
  72. ^ Edwards, Elaine (22 de febrero de 2018). "Las nuevas normas sobre protección de datos plantean problemas de cumplimiento para las empresas". Los tiempos irlandeses . Archivado desde el original el 26 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
  73. ^ Wes, Matt (25 de abril de 2017). "¿Quiere cumplir con el RGPD? Aquí encontrará una introducción a la anonimización y la seudonimización". IAPP. Archivado desde el original el 19 de febrero de 2018 . Consultado el 19 de febrero de 2018 .
  74. ^ Chassang, G. (2017). El impacto del reglamento general de protección de datos de la UE en la investigación científica. ciencia médica del cáncer, 11.
  75. ^ Tarhonen, Laura (2017). “Seudonimización de Datos Personales Según el Reglamento General de Protección de Datos”. Archivado desde el original el 19 de febrero de 2018 . Consultado el 19 de febrero de 2018 .
  76. ^ "Un informe reciente publicado por la Asociación Blockchain de Irlanda descubrió que hay muchas más preguntas que respuestas cuando se trata del RGPD". siliciorepublic.com . 23 de noviembre de 2017. Archivado desde el original el 5 de marzo de 2018 . Consultado el 5 de marzo de 2018 .
  77. ^ Muestra, Ian (27 de enero de 2017). "Se necesita un organismo de control de la IA para regular la toma de decisiones automatizada, dicen los expertos". El guardián . ISSN  0261-3077. Archivado desde el original el 18 de junio de 2017 . Consultado el 15 de julio de 2017 .
  78. ^ "El derecho de la UE a una explicación: una restricción dañina a la inteligencia artificial". techzone360.com . Archivado desde el original el 4 de agosto de 2017 . Consultado el 15 de julio de 2017 .
  79. ^ Vigilante, Sandra; Mittelstadt, Brent; Floridi, Luciano (28 de diciembre de 2016). "Por qué no existe en el Reglamento General de Protección de Datos el derecho a explicaciones sobre la toma de decisiones automatizada". Ley Internacional de Privacidad de Datos . SSRN  2903469.
  80. ^ Edwards, Lilian; Veale, Michael (2017). "¿Esclavo del algoritmo? Por qué un" derecho a una explicación "probablemente no sea el remedio que estás buscando". Revisión de tecnología y derecho de Duke . doi :10.2139/ssrn.2972855. SSRN  2972855.
  81. ^ Frimin, Michael (29 de marzo de 2018). "Cinco beneficios que el cumplimiento del RGPD aportará a su negocio". Forbes . Archivado desde el original el 12 de septiembre de 2018 . Consultado el 11 de septiembre de 2018 .
  82. ^ Butterworth, Trevor (23 de mayo de 2018). "La nueva y estricta ley de privacidad digital de Europa debería ser un modelo para los responsables políticos estadounidenses". Vox. Archivado desde el original el 12 de septiembre de 2018 . Consultado el 11 de septiembre de 2018 .
  83. ^ Jaffe, Justin; Hautala, Laura (25 de mayo de 2018). "Qué significa el RGPD para Facebook, la UE y para ti". CNET . Archivado desde el original el 12 de septiembre de 2018 . Consultado el 11 de septiembre de 2018 .
  84. ^ "El llamado del CEO de Facebook, Zuckerberg, a favor de leyes de privacidad GDPR plantea preguntas". www.cnbc.com . Abril de 2019. Archivado desde el original el 4 de abril de 2019 . Consultado el 8 de abril de 2019 .
  85. ^ Tiku, Nitasha (19 de marzo de 2018). "La nueva ley de privacidad de Europa cambiará la Web y más". Cableado . Archivado desde el original el 15 de octubre de 2018 . Consultado el 11 de septiembre de 2018 .
  86. ^ Kalyanpur, Nikhil; Newman, Abraham (25 de mayo de 2018). "Hoy, una nueva ley de la UE transforma los derechos de privacidad para todos. Sin Edward Snowden, esto nunca habría sucedido". El Washington Post . Archivado desde el original el 11 de octubre de 2018 . Consultado el 11 de septiembre de 2018 .
  87. ^ Stallman, Richard (3 de abril de 2018). “Una propuesta radical para mantener seguros tus datos personales”. El guardián . Archivado desde el original el 12 de septiembre de 2018 . Consultado el 11 de septiembre de 2018 .
  88. ^ Afifi-Sabet, Keumars (3 de mayo de 2018). "Los estafadores utilizan alertas por correo electrónico del RGPD para realizar ataques de phishing". TI PRO . Archivado desde el original el 26 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
  89. ^ "Los sitios de salud pública y del gobierno de la UE están repletos de tecnología publicitaria, según un estudio". TechCrunch . 18 de marzo de 2019 . Consultado el 18 de marzo de 2019 .
  90. ^ "Se rastrea a ciudadanos de la UE en sitios web gubernamentales confidenciales". Tiempos financieros . 18 de marzo de 2019. Archivado desde el original el 19 de marzo de 2019 . Consultado el 18 de marzo de 2019 .
  91. ^ "Quédese dormido en segundos escuchando una voz tranquilizadora leer la nueva legislación GDPR de la UE". El borde . Archivado desde el original el 17 de junio de 2018 . Consultado el 16 de junio de 2018 .
  92. ^ "Cómo las regulaciones europeas GDPR se convirtieron en un meme". Cableado . Archivado desde el original el 18 de junio de 2018 . Consultado el 17 de junio de 2018 .
  93. ^ "Internet creó un meme inspirado en el RGPD utilizando políticas de privacidad". Semana publicitaria . Archivado desde el original el 17 de junio de 2018 . Consultado el 17 de junio de 2018 .
  94. ^ Burgess, Matt. "¡Ayuda, mis bombillas están apagadas! Cómo el GDPR se volvió más grande que Beyonce". Wired.co.uk . Archivado desde el original el 19 de junio de 2018 . Consultado el 17 de junio de 2018 .
  95. ^ "Estos son algunos de los peores intentos de cumplir con el RGPD". Tarjeta madre . 25 de mayo de 2018. Archivado desde el original el 18 de junio de 2018 . Consultado el 17 de junio de 2018 .
  96. ^ "¿Qué porcentaje de las vulnerabilidades de su software tienen implicaciones del RGPD?" (PDF) . HackerOne. 16 de enero de 2018. Archivado (PDF) desde el original el 6 de julio de 2018 . Consultado el 6 de julio de 2018 .
  97. ^ "El Delegado de Protección de Datos (DPO): todo lo que necesita saber". Cranio y HackerOne. 20 de marzo de 2018. Archivado desde el original el 31 de agosto de 2018 . Consultado el 6 de julio de 2018 .
  98. ^ "¿Cómo serían los programas de recompensas por errores según el RGPD?". La Asociación Internacional de Profesionales de la Privacidad (IAPP). 27 de marzo de 2018. Archivado desde el original el 6 de julio de 2018 . Consultado el 6 de julio de 2018 .
  99. ^ Momento, N.; Hatamián, M.; Fritsch, L. (noviembre de 2019). "¿Mejoró la privacidad de las aplicaciones después del RGPD?". Privacidad de seguridad IEEE . 17 (6): 10–20. doi :10.1109/MSEC.2019.2938445. ISSN  1558-4046. S2CID  203699369.
  100. ^ Hatamian, Majid; Momen, Nurul; Fritsch, Lothar; Rannenberg, Kai (2019), Naldi, Maurizio; Italiano, Giuseppe F.; Rannenberg, Kai; Medina, Manel (eds.), "Un método multilateral de análisis del impacto de la privacidad para aplicaciones de Android", Políticas y tecnologías de privacidad , Apuntes de conferencias sobre informática, Springer International Publishing, vol. 11498, págs. 87–106, doi :10.1007/978-3-030-21752-5_7, ISBN 978-3-030-21751-8, S2CID  184483219, archivado desde el original el 12 de julio de 2020 , recuperado 3 de junio de 2020
  101. ^ Moen, Gro Mette, Ailo Krogh Ravna y Finn Myrstad. "Engañados por diseño: cómo las empresas de tecnología utilizan patrones oscuros para disuadirnos de ejercer nuestro derecho a la privacidad" Archivado el 20 de diciembre de 2019 en Wayback Machine . 2018. Informe del Consejo Noruego del Consumidor.
  102. ^ "Instapaper está cerrando temporalmente el acceso a los usuarios europeos debido al RGPD". El borde . Archivado desde el original el 24 de mayo de 2018 . Consultado el 24 de mayo de 2018 .
  103. ^ "Unroll.me se acercará a los usuarios de la UE que dicen que no puede cumplir con el RGPD". TechCrunch . 5 de mayo de 2018. Archivado desde el original el 30 de mayo de 2018 . Consultado el 29 de mayo de 2018 .
  104. ^ Hern, Alex; Waterson, Jim (24 de mayo de 2018). "Los sitios bloquean a los usuarios, cierran actividades e inundan las bandejas de entrada a medida que se avecinan las reglas del RGPD". El guardián . Archivado desde el original el 24 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
  105. ^ "Bloquear a 500 millones de usuarios es más fácil que cumplir con las nuevas reglas de Europa". Bloomberg LP 25 de mayo de 2018. Archivado desde el original el 25 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  106. ^ "Los medios de comunicación estadounidenses bloquean a los lectores europeos por nuevas reglas de privacidad". Los New York Times . 25 de mayo de 2018. ISSN  0362-4331. Archivado desde el original el 26 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  107. ^ "Mire: esto es lo que ven los ciudadanos de la UE ahora que ha llegado el RGPD". Era de la publicidad . Archivado desde el original el 25 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  108. ^ Tiku, Nitasha (24 de mayo de 2018). "Por qué su bandeja de entrada está repleta de políticas de privacidad". Cableado . Archivado desde el original el 24 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
  109. ^ Chen, Brian X. (23 de mayo de 2018). "¿Está recibiendo una avalancha de actualizaciones de políticas de privacidad relacionadas con el RGPD? Léalas". Los New York Times . ISSN  0362-4331. Archivado desde el original el 24 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
  110. ^ Lanxon, Nate (25 de mayo de 2018). "Bloquear a 500 millones de usuarios es más fácil que cumplir con las nuevas reglas de Europa". Bloomberg . Archivado desde el original el 25 de mayo de 2018 . Consultado el 25 de mayo de 2018 .
  111. ^ "Caos del RGPD: la compra de publicidad programática se desploma en Europa". Digidía . 25 de mayo de 2018. Archivado desde el original el 25 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  112. ^ Skiera, Bernd; Miller, Klaus Matías; Jin, Yuxi; Kraft, Lennart; Laub, René; Schmitt, Julia (5 de julio de 2022). El impacto del RGPD en el mercado de la publicidad online. Fráncfort del Meno: Bernd Skiera. ISBN 978-3-9824173-0-1. OCLC  1322186902.
  113. ^ ab "Esquina de prensa". Comisión Europea - Comisión Europea . Archivado desde el original el 27 de diciembre de 2020 . Consultado el 18 de septiembre de 2020 .
  114. ^ "Sus derechos importan: protección de datos y privacidad - Encuesta de derechos fundamentales". Agencia de Derechos Fundamentales de la Unión Europea . 12 de junio de 2020. Archivado desde el original el 25 de septiembre de 2020 . Consultado el 18 de septiembre de 2020 .
  115. ^ "GDPR: noyb.eu presentó cuatro denuncias por 'consentimiento forzado' contra Google, Instagram, WhatsApp y Facebook" (PDF) . NOYB.eu. 25 de mayo de 2018. Archivado desde el original (PDF) el 25 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  116. ^ "Facebook y Google recibieron 8.800 millones de dólares en demandas el primer día del RGPD". El borde . Archivado desde el original el 25 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  117. ^ "Max Schrems presenta los primeros casos en virtud del RGPD contra Facebook y Google". Los tiempos irlandeses . Archivado desde el original el 25 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  118. ^ "Facebook y Google enfrentan las primeras quejas del RGPD por 'consentimiento forzado'". TechCrunch . 25 de mayo de 2018. Archivado desde el original el 26 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  119. ^ Meyer, David. "Google y Facebook recibieron serias quejas sobre el RGPD: otras lo harán pronto". ZDNet . Archivado desde el original el 28 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  120. ^ Fox, Chris (21 de enero de 2019). "Google recibió una multa de 44 millones de libras esterlinas según el RGPD". Noticias de la BBC . Archivado desde el original el 21 de enero de 2019 . Consultado el 14 de junio de 2019 .
  121. ^ Porter, Jon (21 de enero de 2019). "Google multada con 50 millones de euros por infracción del RGPD en Francia". El borde . Archivado desde el original el 10 de junio de 2019 . Consultado el 14 de junio de 2019 .
  122. ^ Masnick, Mike (19 de noviembre de 2018). "Otro desastre más del RGPD: a los periodistas se les ordenó entregar fuentes secretas en virtud de la ley de 'protección de datos'". Archivado desde el original el 20 de noviembre de 2018 . Consultado el 20 de noviembre de 2018 .
  123. ^ Bălăiți, George (9 de noviembre de 2018). "Traducción al inglés de la carta de la autoridad rumana de protección de datos al proyecto RISE". Proyecto de denuncia de corrupción y crimen organizado . Archivado desde el original el 9 de noviembre de 2018 . Consultado el 20 de noviembre de 2018 .
  124. ^ "Intención de multar a British Airways con 183,39 millones de libras esterlinas en virtud del RGPD por violación de datos". ICO . 8 de julio de 2019. Archivado desde el original el 6 de diciembre de 2020 . Consultado el 22 de diciembre de 2020 .
  125. ^ Whittaker, Zack (11 de septiembre de 2018). "Violación de British Airways causada por malware de robo de tarjetas de crédito, dicen los investigadores". TechCrunch . Archivado desde el original el 10 de diciembre de 2018 . Consultado el 9 de diciembre de 2018 .
  126. ^ "El jefe de British Airways se disculpa por la violación de datos 'maliciosa'". Noticias de la BBC . 7 de septiembre de 2018. Archivado desde el original el 15 de octubre de 2018 . Consultado el 7 de septiembre de 2018 .
  127. ^ Sweney, Mark (8 de julio de 2019). "BA se enfrenta a una multa de 183 millones de libras esterlinas por violación de datos de pasajeros". El guardián . ISSN  0261-3077. Archivado desde el original el 8 de julio de 2019 . Consultado el 8 de julio de 2019 .
  128. ^ "British Airways se enfrenta a una multa récord de 183 millones de libras esterlinas por violación de datos". Noticias de la BBC . 8 de julio de 2019. Archivado desde el original el 8 de julio de 2019 . Consultado el 8 de julio de 2019 .
  129. ^ "ICO multa a British Airways con £ 20 millones por violación de datos que afecta a más de 400.000 clientes". ICO . 16 de octubre de 2020. Archivado desde el original el 16 de octubre de 2020 . Consultado el 22 de diciembre de 2020 .
  130. ^ Vinocur, Nicholas (27 de diciembre de 2019). "'Tenemos un gran problema: el regulador europeo está desesperado por la falta de cumplimiento ". Político . Archivado desde el original el 28 de diciembre de 2019 . Consultado el 6 de mayo de 2020 .
  131. ^ ab Ryan, Johnny (31 de enero de 2023). "Revisión a escala europea del seguimiento del RGPD impulsada por ICCL". Consejo Irlandés de Libertades Civiles . Archivado desde el original el 6 de abril de 2023 . Consultado el 8 de abril de 2023 .
  132. ^ Alizadeh, Fatemeh; Jakobi, Timo; Boldt, Jens; Stevens, Gunnar (2019). "GDPR-Verificación de la realidad sobre el derecho de acceso a los datos". Actas de Mensch und Computer 2019 . Nueva York: ACM Press. págs. 811–814. doi :10.1145/3340764.3344913. ISBN 978-1-4503-7198-8. S2CID  202159324.
  133. ^ ab Alizadeh, Fatemeh; Jakobi, Timo; Boden, Alejandro; Stevens, Gunnar; Boldt, Jens (2020). "Verificación de la realidad del RGPD: reclamación e investigación de datos de identificación personal de empresas" (PDF) . EuroUSEC . Archivado (PDF) desde el original el 17 de junio de 2020 . Consultado el 17 de junio de 2020 .
  134. ^ ab Humano, Soheil; Cech, Florián (2021). "Una perspectiva centrada en lo humano sobre el consentimiento digital: el caso de GAFAM" (PDF) . En Zimmermann, Alfred; Howlett, Robert J.; Jain, Lakhmi C. (eds.). Sistemas inteligentes centrados en el ser humano . Innovación, Sistemas y Tecnologías Inteligentes. vol. 189. Singapur: Springer. págs. 139-159. doi :10.1007/978-981-15-5784-2_12. ISBN 978-981-15-5784-2. S2CID  214699040. Archivado (PDF) desde el original el 14 de abril de 2021 . Consultado el 23 de agosto de 2020 .
  135. ^ Christakis y Propp, Theodore y Kenneth (8 de marzo de 2021). "Cómo los servicios de inteligencia de Europa pretenden evitar el Tribunal Supremo de la UE y qué significa para los Estados Unidos". Guerra de la ley . Archivado desde el original el 23 de septiembre de 2023 . Consultado el 13 de marzo de 2021 .
  136. ^ Browne, Ryan (18 de enero de 2022). "Las multas por infracciones de la ley de privacidad de la UE se multiplican por siete hasta alcanzar los 1.200 millones de dólares, y las grandes tecnologías son las más afectadas". CNBC . Archivado desde el original el 9 de febrero de 2022 . Consultado el 9 de febrero de 2022 .
  137. ^ Roberts, Jeff John (25 de mayo de 2018). "El RGPD está en vigor: ¿deberían tener miedo las empresas estadounidenses?". Archivado desde el original el 28 de mayo de 2018 . Consultado el 28 de mayo de 2018 .
  138. ^ "Comentario: la nueva ley de privacidad de datos de California podría provocar un desastre regulatorio". Fortuna . Archivado desde el original el 10 de abril de 2019 . Consultado el 10 de abril de 2019 .
  139. ^ "California aprueba por unanimidad un proyecto de ley de privacidad histórico". Cableado . Archivado desde el original el 29 de junio de 2018 . Consultado el 29 de junio de 2018 .
  140. ^ "Los especialistas en marketing y las empresas de tecnología se enfrentan a la versión del RGPD de California". Archivado desde el original el 29 de junio de 2018 . Consultado el 29 de junio de 2018 .
  141. ^ "Virginia aprueba la Ley de protección de datos del consumidor". Asociación Internacional de Profesionales de la Privacidad . 3 de marzo de 2021. Archivado desde el original el 30 de agosto de 2021 . Consultado el 26 de agosto de 2021 .
  142. ^ "La Ley de Privacidad de Colorado se convierte en ley". Asociación Internacional de Profesionales de la Privacidad . 8 de julio de 2021. Archivado desde el original el 26 de agosto de 2021 . Consultado el 26 de agosto de 2021 .
  143. ^ "KİŞİSEL VERİLERİ KORUMA KURUMU | KVKK | Historia". www.kvkk.gov.tr. _ Consultado el 19 de diciembre de 2020 .
  144. ^ "Nueva ley nacional de privacidad de China: PIPL - Privacidad - China". www.mondaq.com . Archivado desde el original el 9 de febrero de 2022 . Consultado el 9 de febrero de 2022 .
  145. ^ Portal, Pyme "Nueva Ley Federal de Protección de Datos (nFADP)". www.kmu.admin.ch . Archivado desde el original el 25 de marzo de 2023 . Consultado el 25 de marzo de 2023 .
  146. ^ Goldberg, Samuel G.; Johnson, Garrett A.; Shriver, Scott K. (2024). "Regulación de la privacidad en línea: una evaluación económica del RGPD". Revista económica estadounidense: política económica . 16 (1): 325–358. doi :10.1257/pol.20210309. ISSN  1945-7731.
  147. ^ "Reforma de la protección de datos: el Consejo adopta su posición en primera lectura - Consilium". Europa (portal web). Archivado desde el original el 6 de octubre de 2017 . Consultado el 14 de abril de 2016 .
  148. ^ Adopción de la posición del Consejo en primera lectura Archivado el 25 de noviembre de 2017 en Wayback Machine , Votewatch.eu
  149. Procedimiento escrito Archivado el 1 de diciembre de 2017 en Wayback Machine , 8 de abril de 2016, Consejo de la Unión Europea
  150. ^ "Reforma de la protección de datos - El Parlamento aprueba nuevas normas adaptadas a la era digital - Noticias - Parlamento Europeo". 14 de abril de 2016. Archivado desde el original el 17 de abril de 2016 . Consultado el 14 de abril de 2016 .
  151. ^ "La Historia del Reglamento General de Protección de Datos | Supervisor Europeo de Protección de Datos". edps.europa.eu . 25 de mayo de 2018 . Consultado el 2 de febrero de 2024 .
  152. ^ "El Reglamento general de protección de datos (GDPR) entró en vigor en el EEE". AELC . 20 de julio de 2018. Archivado desde el original el 1 de octubre de 2018 . Consultado el 30 de septiembre de 2018 .
  153. ^ Kolsrud, Kjetil (10 de julio de 2018). "GDPR - 20 de julio". Rett24 . Archivado desde el original el 13 de julio de 2018 . Consultado el 13 de julio de 2018 .
  154. ^ "Mercado Único Digital". Mercado Único Digital . Archivado desde el original el 8 de octubre de 2017 . Consultado el 5 de octubre de 2017 .
  155. ^ "¿Qué significa el Reglamento ePrivacy para la industria en línea? - ePrivacy". www.eprivacy.eu . Archivado desde el original el 22 de mayo de 2018 . Consultado el 26 de mayo de 2018 .
  156. ^ "Posición del Consejo y conclusiones sobre la aplicación del Reglamento general de protección de datos (GDPR), 19 de diciembre de 2019". Consilium . Archivado desde el original el 23 de diciembre de 2019 . Consultado el 23 de diciembre de 2019 .

enlaces externos

Wikimedia Commons tiene medios relacionados con el Reglamento General de Protección de Datos .