Reglamento General de Protección de Datos
[1] El Reglamento se convirtió en un modelo para muchas otras leyes en todo el mundo, como en Turquía, Mauricio, Chile, Japón, Brasil, Corea del Sur, Sudáfrica, Argentina y Kenia, con polémicas sobre los impactos que su rigurosidad pudiese causar en países en desarrollo[2].
[4][5] El Reglamento se aplica si el responsable del tratamiento (una organización que recoge datos de residentes en la UE), o el encargado del tratamiento (una organización que trata datos en nombre de un responsable del tratamiento, como los proveedores de servicios en la nube), o el interesado (persona) tienen su sede en la UE.
Según la Comisión Europea, "los datos personales son cualquier información relacionada con un individuo, ya sea que se refiera a su vida privada, profesional o pública.
Cada estado miembro establecerá una Autoridad de Supervisión (SA) independiente para escuchar e investigar denuncias, sancionar infracciones administrativas, etc.
Hay excepciones para los datos tratados en un contexto laboral o de seguridad nacional, que aún podrían estar sujetos a la normativa de cada país (artículos 2.2.a y 88 del RGPD).
Tales medidas incluyen datos personales Seudonimizamiento, por parte del controlador, tan pronto como sea posible (considerando 78).
Deben ser designados: Los datos solo se pueden tratar si existe al menos una base legal para hacerlo.
(Apartado 3 del artículo 7[24]) El responsable del tratamiento no podrá denegar el servicio a los usuarios que denieguen su consentimiento a un tratamiento que no sea estrictamente necesario para utilizar el servicio.
Dado que el acceso a la "información adicional" conservada por separado es necesario para la re-identificación, el responsable del tratamiento puede limitar la atribución de los datos a un sujeto de datos específico para apoyar únicamente los fines legales.
Los responsables del tratamiento diseñan los sistemas de información teniendo en cuenta la privacidad.
No se puede tratar ningún dato personal a menos que este tratamiento se realice en virtud de una de las seis bases legales especificadas por el reglamento (consentimiento, contrato, función pública, interés vital, interés legítimo o requisito legal).
Cuando el tratamiento se basa en el consentimiento, el interesado tiene derecho a revocarlo en cualquier momento.
Las personas deben ser notificadas si se determina un alto riesgo de impacto perjudicial (artículo 34).
Sin embargo, la notificación a los interesados no será necesaria si el responsable del tratamiento ha aplicado medidas técnicas y organizativas de protección adecuadas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado (artículo 34) Bajo el RGPD, el Controlador de Datos estará bajo la obligación legal de notificar a la Autoridad de Supervisión sin demora indebida.
Las personas deben ser notificadas si se determina un impacto adverso (Artículo 34).
Lo que no está cubierto por el RGPD es la información no comercial o las actividades domésticas Un ejemplo de estas actividades domésticas pueden ser los correos electrónicos entre dos amigos del instituto.
Por el contrario, una entidad o, más exactamente, una "empresa", tiene que desarrollar una "actividad económica" para estar cubierta por el RGPD.
El RGPD también se aplica a los responsables y encargados del tratamiento de datos fuera del Espacio Económico Europeo (EEE) si se dedican a la "oferta de bienes o servicios" (independientemente de si se requiere un pago o no) a interesados dentro del EEE, o si supervisan el comportamiento de interesados dentro del EEE (artículo 3, apartado 2).
[44] El establecimiento no perteneciente a la UE debe emitir un documento debidamente firmado (carta de acreditación) en el que se designe a una determinada persona física o jurídica como su Representante de la UE.
[46] Un establecimiento no necesita nombrar a un representante de la UE si solo realiza un tratamiento ocasional que no incluya, a gran escala, el tratamiento de categorías especiales de datos a que se refiere el artículo 9, apartado 1, del RGPD o el tratamiento de datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10, y no es probable que dicho tratamiento suponga un riesgo para los derechos y libertades de las personas físicas, teniendo en cuenta la naturaleza, el contexto, el alcance y los fines del tratamiento.
A partir de entonces, el reglamento se denominará "RGPD del Reino Unido".
Esto ha sido discutido que pequeños negocios y empresas emergentes pueden no tener los recursos financieros para cumplir adecuadamente con la RGPD, a diferencia de las grandes empresas internacionales de tecnología (como Facebook y Google) que aparentemente está destinada esta regulación.
[74][75] Mark Zuckerberg también lo ha llamado como “algo muy positivo para el Internet”,[76] y ha pedido que se adopten leyes del estilo RGPD en los EE. UU..
La RGPD incorpora los datos personales a un régimen regulador complejo y protector."
[98][99][100][101] Algunas empresas, como Klout, y varios videojuegos en línea, cesaron sus operaciones por completo coincidiendo con su aplicación, citando el GDPR como una carga para sus operaciones continuas, especialmente debido al modelo de negocio de las primeras.
Según los académicos en el campo, el RGPD afectará la forma en que se desarrollen las tecnologías emergentes.
Las tecnologías emergentes como la inteligencia artificial y la computación en la nube son un gran impulso para la economía, pero también requieren un uso sustancial de datos.
Las regulaciones que impone el GDPR probablemente afectarán el desarrollo de nuevas tecnologías al aumentar los costos y limitar el alcance.
Según el RGPD, el consentimiento de los usuarios finales debe ser válido, libre, específico, informado y activo[113].
Por ejemplo, un estudio de 2020 mostró que las grandes empresas tecnológicas, es decir, Google, Amazon, Facebook, Apple y Microsoft conocidos como "GAFAM", utilizan métodos poco transparentes en sus mecanismos de obtención del consentimiento, lo que plantea dudas sobre la legalidad del consentimiento obtenido.
