Cumplimiento del RGPD
El RGPD (Reglamento General de Protección de Datos) es un Reglamento de la UE (Unión Europea) que mejora significativamente la protección de los datos personales de los ciudadanos de la UE y aumenta las obligaciones de las organizaciones que recopilan o procesan datos personales. El reglamento se basa en muchos de los requisitos de la Directiva de 1995 para la privacidad y seguridad de los datos, pero incluye varias disposiciones nuevas para reforzar los derechos de los interesados y agregar sanciones más duras por las violaciones. El reglamento entró en vigor el 25 de mayo de 2018.
​
El RGPD se aplica a las empresas que a) comercializan sus productos a personas en la UE o que b) supervisan el comportamiento de las personas en la UE. En otras palabras, incluso si tiene su sede fuera de la UE pero controla o procesa los datos de los ciudadanos de la UE, se le aplicará el RGPD.
​
​
Consentir
El RGPD intensifica el estándar para las divulgaciones al obtener el consentimiento, ya que debe ser "libremente otorgado, especÃfico, informado e inequÃvoco", y los controladores utilizan un lenguaje legal "claro y sencillo" que es "claramente distinguible de otros asuntos". Los controladores también deberán proporcionar evidencia de que sus procesos cumplen y se siguen en cada caso.
Esencialmente, no se puede obligar a su cliente a dar su consentimiento, o ignorar que está dando su consentimiento para el procesamiento de sus datos personales. También debe saber exactamente a qué está consintiendo y debe ser informado previamente de su derecho a retirar dicho consentimiento. Obtener el consentimiento requiere una indicación positiva de acuerdo; no se puede inferir del silencio, las casillas marcadas previamente o la inactividad. Esto significa que informar al usuario durante la suscripción es cada vez más importante.
Nuevos derechos para las personas
El reglamento también incorpora dos nuevos derechos para los interesados: un "derecho al olvido" que requiere que los controladores alerten a los destinatarios posteriores de las solicitudes de eliminación y un "derecho a la portabilidad de datos" que permite a los interesados exigir una copia de sus datos en un formato común. Estos dos derechos facilitan que los usuarios soliciten que se elimine cualquier información almacenada o que se comparta con ellos la información que se ha recopilado.
Solicitudes de acceso
Los interesados siempre tuvieron derecho a solicitar el acceso a sus datos. Pero el RGPD mejora estos derechos. En la mayorÃa de los casos, no podrá cobrar por procesar una solicitud de acceso, a menos que pueda demostrar que el costo será excesivo. El plazo para procesar una solicitud de acceso también se reducirá a un perÃodo de un mes (pero esto se puede extender dos meses más en algunas circunstancias. En ciertos casos, las organizaciones pueden negarse a otorgar una solicitud de acceso, por ejemplo, cuando la solicitud se considera manifiestamente infundado o excesivo Sin embargo, las organizaciones deberán tener polÃticas y procedimientos de rechazo claros y demostrar por qué la solicitud cumple con estos criterios.
​
​
Privacidad por diseño y DPIA
Hay varios principios nuevos para las entidades que manejan datos personales, incluido el requisito de incorporar la privacidad de los datos "desde el diseño" al desarrollar nuevos sistemas y la obligación de realizar una Evaluación de impacto de la privacidad de los datos (DPIA) cuando se procesa utilizando "nuevas tecnologÃas" o en caminos arriesgados. Una DPIA es un proceso de consideración sistemática del impacto potencial que un proyecto o iniciativa podrÃa tener en la privacidad de las personas para que los posibles problemas de privacidad puedan identificarse antes de que surjan, lo que da tiempo a la organización para encontrar una forma de mitigarlos antes de que surjan. el proyecto está en marcha.
​
Oficial de privacidad de datos
Por el lado de la seguridad, el RGPD requiere que muchas empresas tengan un Oficial de privacidad de datos (DPO) para ayudar a supervisar sus esfuerzos de cumplimiento. Las organizaciones que requieren DPO incluyen autoridades públicas, organizaciones cuyas actividades involucran el monitoreo regular y sistemático de interesados a gran escala u organizaciones que procesan datos personales confidenciales a gran escala.
​
Contratos y Documentación de Privacidad
Dado que el RGPD tiene que ver con la transparencia y la equidad, los Controladores y Procesadores deben revisar sus Avisos de privacidad, Declaraciones de privacidad y cualquier polÃtica de datos interna para asegurarse de que cumplan con los requisitos del RGPD. Si un Controlador contrata a proveedores externos para procesar los datos personales bajo su control, debe asegurarse de que sus contratos con esos Procesadores se actualicen para incluir las nuevas disposiciones obligatorias del Procesador establecidas en el ArtÃculo 28 del Reglamento. Del mismo modo, los Procesadores deben considerar qué cambios deberán realizar en los contratos de sus clientes para cumplir con el RGPD.
​
​
Ventanilla única
Un artÃculo en particular en el RGPD deberÃa servir para facilitar la vida de estos oficiales de protección de datos: la nueva disposición de "ventanilla única" del RGPD, según la cual las organizaciones con oficinas en varios paÃses de la UE tendrán una "autoridad de control lÃder" para actuar como un punto central de cumplimiento para que no tengan problemas con instrucciones inconsistentes de múltiples autoridades de supervisión.
Informe de infracciones
El RGPD contiene el requisito de que los controladores deben notificar a la autoridad de control de su paÃs sobre una violación de datos personales dentro de las 72 horas posteriores a su conocimiento, a menos que los datos hayan sido anonimizados o encriptados. En la práctica, esto significará que la mayorÃa de las violaciones de datos deben informarse al Comisionado de Protección de Datos. Las infracciones que puedan causar daño a una persona, como el robo de identidad o la violación de la confidencialidad, también deben informarse a las personas involucradas.
​
​
Alcance
El RGPD se aplica a empresas fuera de la UE que comercializan sus productos a personas en la UE o que controlan el comportamiento de las personas en la UE. En otras palabras, incluso si tiene su sede fuera de la UE pero controla o procesa los datos de los ciudadanos de la UE, es probable que el RGPD se aplique a usted.
Responsabilidad
Este concepto requiere que los Controladores y Procesadores puedan demostrar su cumplimiento con el RGPD a su autoridad supervisora local. Los procesos deben registrarse, implementarse y revisarse periódicamente. Se debe capacitar al personal y se deben tomar las medidas técnicas y organizativas apropiadas para garantizar y demostrar el cumplimiento.