GDPR or General Data Protection Regulation, Compliance Definition

Cumplimiento del RGPD

El RGPD entrará en vigor en mayo de 2018. ¿Estás preparado?

¿Qué es el RGPD?

El RGPD (Reglamento General de Protección de Datos) es una nueva norma de la UE que sustituirá la Directiva de Protección de Datos de la UE de 1995 (DPD) para mejorar significativamente la protección de los datos personales de los ciudadanos de la UE y aumentar las obligaciones de las organizaciones que recopilan o procesan datos de carácter personal. El reglamento en vigor el 25 de mayo de 2018 y se basa en varios de los requisitos de la Directiva de 1995 para la privacidad y la seguridad de los datos, pero incluye varias disposiciones nuevas para reforzar los derechos de los interesados y agregar sanciones más severas por las infracciones que se cometan.

Puedes consultar el texto completo del RGPD aquí. Además, en esta página encontrarás un glosario de todos los términos legales que necesitarás conocer.

Antecedentes

Puede que últimamente hayas oído hablar del RGPD, pero ¿sabías que existe una ley de protección de datos en la UE desde hace tiempo? Aunque en mayo de 2018 el RGPD sustituirá la Directiva de Protección de Datos de la UE de 1995, este documento establece los ocho principios de protección de datos que han regido el tratamiento de datos personales por parte de las organizaciones durante más de dos décadas. Dado que el RGPD se basa en estos principios y los mejora, te recomendamos familiarizarte con las leyes vigentes antes de profundizar en las modificaciones del RGPD.

Si deseas obtener más información sobre la Directiva de 1995 y los ocho principios de protección de datos originales, dirígete a la sección de preguntas frecuentes al final de esta página. 

Alcance

Si bien la legislación vigente de la UE (la Directiva de Protección de Datos de 1995) regula las entidades dentro de la Unión, el alcance territorial del RGPD es mucho más amplio, ya que también se aplicará a las empresas no pertenecientes a la UE que a) comercialicen sus productos en la UE o b) monitoricen el comportamiento de ciudadanos en la UE.

Dicho de otra manera, incluso si tu empresa no tiene sede en la UE, pero recopilas o procesas datos de ciudadanos de la UE, también estarás obligado a respetar el RGPD.

Descubre si estás preparado para el RGPD con nuestra lista de comprobación.

Exención de responsabilidad:

Este sitio web no representa un compendio exhaustivo en materia de privacidad de datos en la UE ni debe considerarse como sustituto a cualquier tipo de asesoramiento legal profesional que tu empresa pueda necesitar para cumplir con las leyes de privacidad de datos en la UE, como el RGPD. La página únicamente proporciona información general para que entiendas mejor cómo ha abordado HubSpot algunos puntos legales importantes. La información legal que te proporcionamos no reemplaza el asesoramiento legal, en el que un abogado aplica la ley a las circunstancias específicas de tu empresa; por ello, insistimos en que consultes a un abogado si deseas obtener asesoramiento sobre tu interpretación de esta información o su precisión. En resumen: no debes interpretar este documento como asesoramiento legal ni como recomendación de ningún tipo de sentido jurídico.

Modificaciones del RGPD

  • Derechos de las personas
  • Procedimientos internos
  • Autoridades supervisoras
  • Alcance, responsabilidad proactiva y sanciones

Derechos de las personas

Consentimiento 

Cuando una parte interesada está a punto de enviar su información personal, el responsable del tratamiento de los datos (generalmente, una empresa) debe asegurarse de que dicha parte interesada haya expresado su consentimiento. El RGPD aumenta el estándar para las divulgaciones al obtener consentimiento, ya que este debe ser “dado libremente, específico, informado e inequívoco” y los responsables del tratamiento de datos deben emplear un lenguaje legal “claro y sencillo” que se “distinga claramente de otros asuntos”. Asimismo, se requiere que los responsables del tratamiento de datos faciliten pruebas de que sus procesos cumplen con las normas y se respetan en cada caso. Anteriormente, en virtud de la DPD, se podía inferir el consentimiento de una acción o inacción en circunstancias en las que la acción o la inacción claramente significaban consentimiento. De este modo, la Directiva dejó abierta la posibilidad de un mecanismo para “cancelar una suscripción”. Sin embargo, esto cambiará en el marco del RGPD, que requiere que los interesados manifiesten su acuerdo a través de “una declaración o una clara acción afirmativa”.

Esencialmente, no se puede obligar a los clientes a dar su consentimiento, y estos no pueden desconocer que están otorgando dicho consentimiento para el tratamiento de sus datos personales. Deben saber exactamente para qué están otorgando su consentimiento y deben ser informados previamente de su derecho a retirar dicho consentimiento. Obtener el consentimiento requiere una indicación positiva de acuerdo. El consentimiento no puede ser inferido de la ausencia de afirmaciones (silencio de la parte interesada), de casillas marcadas de manera predeterminada o de la inactividad, lo que significa que informar al usuario durante el proceso de autorización se volverá más importante tras la implementación del Reglamento. 

Nuevos derechos para los individuos

El reglamento también integra dos nuevos derechos para las partes interesadas: elderecho al olvido, que exige que los responsables del tratamiento de datos alerten a los destinatarios subsiguientes sobre las peticiones de eliminación de datos y el derecho a la portabilidad de datos, que permite que los interesados soliciten una copia de sus datos en un formato común. Estos dos derechos harán que sea más fácil para los usuarios solicitar que cualquier información almacenada sea eliminada o que la información recopilada sea compartida con ellos.

Solicitud de acceso

Las partes interesadas siempre han tenido derecho a solicitar el acceso a sus datos. Sin embargo, el RGPD mejora estos derechos, y en la mayoría de los casos, no podrás cobrar por procesar una solicitud de acceso, a menos que puedas demostrar que el costo será excesivo. El plazo para procesar una solicitud de acceso también se reducirá significativamente en comparación con el período actual de 40 días. En ciertos casos, las organizaciones pueden negarse a conceder una solicitud de acceso; por ejemplo, cuando la solicitud se considere evidentemente infundada o excesiva. Sin embargo, las organizaciones tendrán que contar con políticas y procedimientos claros de negación y demostrar por qué una solicitud cumple con estos criterios.

Procedimientos internos

Privacidad por Diseño y EIPD

Existen varios principios nuevos para las entidades que manejan datos personales, que incluyen el requisito de crear la privacidad de los datos “desde el diseño” a la hora de desarrollar nuevos sistemas y la obligación de realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) al procesarlos mediante el uso de “nuevas tecnologías” o medios que impliquen riesgos. La EIPD es el proceso mediante el cual se considera sistemáticamente el impacto potencial que un proyecto o una iniciativa podría tener sobre la privacidad de los individuos para que se puedan detectar posibles problemas de privacidad antes de que surjan, y así la organización tenga tiempo de encontrar una manera de mitigarlos antes de que el proyecto esté en marcha.

Delegado de Protección de Datos

En términos de seguridad, el RGPD obligará a muchas empresas a nombrar a un Delegado de Protección de Datos (DPO) para ayudar a supervisar sus esfuerzos de cumplimiento. Las organizaciones que necesitarán contar con la figura del DPO incluyen autoridades públicas, organizaciones cuyas actividades implican monitorizar de manera regular y sistemática los datos a gran escala u organizaciones que procesan a gran escala lo que actualmente se conoce como datos personales de carácter confidencial. Aunque el RGPD actualmente conserva los métodos aprobados de la DPD para garantizar la “idoneidad” al transferir datos personales a países terceros (incluyendo el Escudo de la Privacidad y las Cláusulas Modelo), los DPO también ayudarán en la supervisión de las relaciones de los responsables con los proveedores que procesan y almacenan datos personales. De esta manera, contribuirán a revisar las prácticas de seguridad de los proveedores e informarán a estos sobre las solicitudes de las partes interesadas.

Contratos y documentación de privacidad

Dado que el RGPD se basa en la transparencia y la equidad, los responsables y los encargados deberán revisar sus Avisos de Privacidad, Declaraciones de Privacidad y cualquier política interna de datos para asegurar que cumplan con los requisitos del RGPD. Si un responsable del tratamiento de datos contrata a proveedores terceros para procesar los datos personales bajo su control, deberá asegurarse de que sus contratos con dichos encargados del tratamiento de datos estén actualizados e incluyan las nuevas disposiciones obligatorias para los encargados que se establecen en el Artículo 28 del Reglamento. Asimismo, los encargados del tratamiento de datos deben considerar qué cambios tendrán que hacer para que sus contratos con los clientes se adhieran al RGPD antes de mayo de 2018.

Autoridades supervisoras

Ventanilla única

Hay un elemento particular en el RGPD que facilitará la labor de los DPO: la nueva disposición de “ventanilla única”, bajo la cual las organizaciones con oficinas en varios países de la UE contarán con una “autoridad supervisora encargada” que actuará a modo de enlace central de cumplimiento, a fin de que no deban lidiar con indicaciones contradictorias de diversas autoridades supervisoras.

Notificación de incumplimiento

El RGPD contiene un nuevo requisito en el que los responsables deben informar a las autoridades supervisoras de su país sobre cualquier incumplimiento en el tratamiento de datos personales dentro de las 72 horas siguientes a su conocimiento, a menos que los datos sean anónimos o estén cifrados. En la práctica, esto significará que la mayoría de los incumplimientos en el tratamiento de datos deberán notificarse a la Comisión de Protección de Datos (CPD). Los incumplimientos que puedan perjudicar a un individuo (como el robo de identidad o el incumplimiento de la confidencialidad) también deben notificarse a los individuos pertinentes.

Alcance, responsabilidad proactiva y sanciones

Alcance

Si bien la legislación de la UE vigente (la Directiva de Protección de datos de 1995) regula las entidades dentro de la UE, el alcance territorial del RGPD es mucho más amplio, ya que también se aplicará a las empresas no pertenecientes a la UE que comercialicen sus productos en la UE o monitoricen el comportamiento de ciudadanos de la UE. Dicho de otra manera, incluso si tu empresa no tiene sede en la UE pero recopilas o procesas datos de ciudadanos de la UE, deberás cumplir las disposiciones del RGPD.

Responsabilidad proactiva

Este nuevo concepto requerirá que los responsables y encargados del tratamiento de datos puedan demostrar a la autoridad de supervisión local que dicho tratamiento se realiza de conformidad con el RGPD. Los procedimientos deben registrarse, implementarse y revisarse regularmente. Se debe capacitar al personal y tomar las medidas técnicas y organizativas apropiadas para garantizar y demostrar el cumplimiento.

Sanciones graves

La importancia de las nuevas disposiciones del RGPD se pone de manifiesto mediante nuevas sanciones que se imponen a las infracciones. Dependiendo del tipo de infracción en cuestión, los responsables y encargados que no velen por el buen procesamiento de los datos personales o que incumplan de alguna otra manera los derechos de las partes interesadas, podrían incurrir en multas de hasta 20 millones de euros o el 4% de su ingreso anual global (la cifra que sea mayor).

Las modificaciones en HubSpot

A medida que nos acercamos a mayo de 2018, HubSpot hace hincapié en el cumplimiento del RGPD. Durante este periodo de implementación del Reglamento, estamos evaluando los nuevos requisitos y restricciones impuestas por el mismo y tomaremos las medidas necesarias para garantizar el correcto tratamiento de los datos del cliente antes de la fecha límite de 2018. Recibirás notificaciones de nuevas funcionalidades y modificaciones en nuestros términos dentro de tu Portal de HubSpot de la manera habitual. Además, actualizaremos esta página y compartiremos contenido durante los próximos meses para mantenerte informado.

HubSpot GDPR Product Changes
Modificaciones del producto

Actualmente, nuestros equipos de tecnología y seguridad están trabajando concienzudamente para efectuar los cambios necesarios en el servicio de HubSpot y cumplir con la fecha límite de mayo de 2018. Además, te ayudarán a cumplir con tus obligaciones en el marco del RGPD en la medida en que utilices HubSpot para recopilar y almacenar datos personales de la UE. Te mantendremos informado hasta mayo de 2018, y estableceremos los pasos que vamos a realizar para garantizar que tanto nosotros como nuestro producto cumplamos con el RGPD antes de la fecha límite. Recomendamos a las partes interesadas visitar esta página con frecuencia para estar al corriente de las novedades.

Our Legal Documentation about GDPR
Nuestra documentación legal

Nuestro equipo legal también se está ocupando de garantizar que nuestra documentación legal (es decir, nuestros Términos de Uso para los Clientes, nuestro Acuerdo de Procesamiento de Datos y nuestra Política de Privacidad) se actualice para reflejar cualquier modificación del producto e incluir las disposiciones obligatorias para el Encargado del tratamiento de datos que exige el artículo 28 del RGPD. Te mantendremos informado sobre las actualizaciones en esta página a medida que se implementen estos cambios, y también te notificaremos “en el portal” de la manera habitual.

About GDPR and transfers outside the EU
Transferencias fuera de la UE

HubSpot, Inc. dispone de una Certificación del Escudo de la Privacidad con el Departamento de Comercio de EE. UU., la cual garantiza que se establezcan las salvaguardias adecuadas al transferir datos personales de la UE a EE. UU. Se incluyen referencias a nuestra certificación del Escudo de la Privacidad tanto en nuestros Términos de Uso para los Clientes como en nuestra Política de Privacidad (consulta la sección F.2). También ofrecemos un Acuerdo de Tratamiento de datos (que contiene las Cláusulas Modelo aprobadas por la UE) a determinados clientes que radican en la UE/EEE bajo solicitud. La buena noticia es que las leyes de transferencia de datos personales en el extranjero no cambian en el RGPD.

Si ya eres cliente o partner de HubSpot y tienes más preguntas, comentarios o sugerencias, ponte en contacto con tu mánager de cuenta. Si todavía no tienes una relación comercial con HubSpot, puedes enviar un correo a privacy@hubspot.com.

Obtén más información sobre el cumplimiento del RGPD

  • Aunque el RGPD reemplazará a la DPD, esta última establece los ocho principios de protección de datos sobre los que se basa el RGPD. Estas normas rigen la manera en que las organizaciones deben tratar los datos personales y se presentan a continuación:

    1. Obtener y procesar los datos personales de forma justa
    2. Conservar los datos solo para uno o más propósitos especificados y legales
    3. Procesar los datos solo de manera compatible con los fines para los que se proporcionaron inicialmente
    4. Garantizar la seguridad y protección de los datos
    5. Mantener los datos precisos y actualizados
    6. Garantizar que los datos son adecuados, pertinentes y no excesivos
    7. Conservar los datos no más de lo necesario para los propósitos especificados
    8. Entregar una copia de sus datos personales a cualquier persona que lo solicite

    La DPD es una Directiva; es decir, un acto legislativo que establece un objetivo que todos los países de la UE deben cumplir. Sin embargo, será responsabilidad de cada país elaborar sus propias leyes sobre cómo alcanzar la consecución de dichos objetivos. En Irlanda, por ejemplo, los objetivos de la DPD fueron implementados a través de la Ley de Protección de Datos Irlandesa de 1998.

    Por otra parte, un Reglamento, como el RGPD, es un acto legislativo vinculante que se aplica en su totalidad en toda la UE. 

  • Para quienes no conocen este término, la “doble suscripción”es un mecanismo de dos pasos por el cual un usuario debe confirmar su dirección de correo electrónico después de registrarse. El RGPD no dice nada acerca de si se requiere esta forma de consentimiento. La definición de “consentimiento” se expuso anteriormente. El considerando 32 del RGPD aclara lo que significa el consentimiento en virtud del reglamento y tampoco menciona expresamente el requisito de doble consentimiento. El considerando 32 establece que:

    El consentimiento se otorgará a través de un acto afirmativo y claro que establezca una indicación libre, específica, informada e inequívoca del consentimiento del interesado para el tratamiento de los datos personales que le conciernen, mediante una declaración escrita, incluso por medios electrónicos o a través de una declaración oral. Esto podría incluir marcar una casilla cuando se visite un sitio web de Internet, elegir los ajustes técnicos para los servicios de la sociedad de la información u otra declaración o conducta que indique claramente en este contexto la aceptación por parte del interesado del tratamiento propuesto de sus datos personales. En consecuencia, el silencio, las casillas marcadas previamente o la inactividad no constituyen un consentimiento. El consentimiento debe incluir todas las actividades de tratamiento realizadas para los mismos propósitos. Cuando el tratamiento tiene varios propósitos, el consentimiento debe otorgarse en todos ellos. Si el consentimiento del interesado se otorga a través de una solicitud por medios electrónicos, la solicitud debe ser clara y concisa, y no debe interrumpir innecesariamente el uso del servicio para el que se proporciona.
     

    A la hora de redactar el presente documento, no existe una directriz oficial del Grupo de Trabajo del Artículo 29 en la UE que sugiera que este mecanismo es obligatorio en el marco del RGPD. HubSpot estará pendiente de las novedades e información en esta área y actualizará esta página en caso de que la UE emita alguna directriz oficial con respecto a este asunto.

    Cabe señalar que los suscriptores del servicio de HubSpot ya pueden optar por activar la funcionalidad de doble confirmación en sus portales como una medida de protección adicional para demostrar que obtuvieron el consentimiento requerido.

  • En junio de 2016, la mayoría de votantes del Reino Unido optó por abandonar la Unión Europea en el referéndum conocido como "Brexit". En marzo de 2017, la primera ministra británica Theresa May dio aviso de abandonar la Unión Europea en virtud del Art. 50, lo que generó el inicio de las negociaciones Brexit y significó la decisión del Reino Unido de abandonar la UE antes de que las condiciones de retirada se acordaran y en un periodo de dos años a partir de la notificación; es decir, a finales de marzo de 2019. Por lo tanto, es muy probable que el Reino Unido siga siendo parte de la UE para cuando el RGPD entre en vigor en mayo de 2018. Esto significa que si tu empresa se encuentra en el Reino Unido, tendrás que trabajar en el cumplimiento como si el Brexit no existiera.

    Una vez que el Reino Unido abandone la UE, el RGPD desaparecerá automáticamente, a menos que el Reino Unido adopte una legislación nacional para retenerlo en su totalidad o en parte. Los anuncios actuales del gobierno del Reino Unido apoyan dicha retención, pero tendremos que esperar y ver lo que realmente sucede. 

    Si tu empresa está ubicada fuera del Reino Unido, pero tiene proveedores o afiliados en este territorio con los que comparte datos personales, también tendrás que estar pendiente de los avances en esta área. Cuando el Reino Unido abandone la UE, se convertirá en un “país tercero” a los fines de transferencias de datos en el extranjero, por lo que podrían ser necesarias proyecciones adicionales para proteger los datos que transfieres a este territorio. Si la UE determina que el Reino Unido cumple las normas necesarias para proteger adecuadamente los datos personales de los ciudadanos de la UE, podría agregarlo a la lista de países aprobados (o “lista blanca”), en cuyo caso no se requerirán protecciones adicionales, como las cláusulas modelo de la UE, para proteger estas transferencias.

  • Las personas ya cuentan con muchos derechos que protegen sus datos personales en la Directiva de Protección de Datos de 1995, pero el RGPD refuerza de manera significativa estos derechos, de modo que ahora los interesados pueden:

    • Obtener detalles del tratamiento de sus datos por parte una organización o empresa.
    • Obtener copias de los datos personales que una organización tiene de ellos.
    • Solicitar que se corrijan datos incorrectos o incompletos.
    • Solicitar que se eliminen datos en una organización en la que, por ejemplo, la organización no tenga motivos legítimos para retenerlos.
    • Obtener sus datos de una organización y pedir que se transfieran a otra organización (portabilidad de datos).
    • Oponerse al tratamiento de sus datos por parte de una organización en determinadas circunstancias.
    • No someterse (con algunas excepciones) a la toma automatizada de decisiones, incluida la elaboración de perfiles.
  • No. No existe ninguna obligación en el RGPD de almacenar los datos en la UE, y las normas relativas a la transferencia de datos personales fuera de la UE no cambiarán. Esto significa que los datos se pueden transferir al extranjero siempre y cuando se encuentren “protegidos adecuadamente”. Por ejemplo, la UE ha elaborado una lista de países que considera que proporcionan un nivel de protección adecuado (conocidos como “países de la lista blanca”), por lo que está permitido transferir datos a esos países. Cuando un país no figura en esa lista de la UE (por ejemplo, Estados Unidos), el responsable del tratamiento debe recurrir al uso de disposiciones contractuales aprobadas (por ejemplo, las Cláusulas Modelo o las Normas Empresariales Obligatorias) u otra medida alternativa, determinada por la ley, como la certificación del Escudo de la Privacidad.

  • A continuación, hemos recopilado una lista de sitios adicionales para obtener más información sobre el nuevo reglamento. Puedes consultarlos en cualquier momento. 

¿Cuándo debo cumplir con el GDPR?

El Reglamento General de Protección de Datos de la UE (RGPD)
entrará en vigor el 25 de mayo de 2018.

DÍAS
HORAS
MINUTOS
SEGUNDOS

El 25 de mayo de 2018, el Reglamento General de Protección de Datos de la UE (RGPD) entrará en vigor.

Como cliente actual o futuro de HubSpot, ahora es un buen momento para prepararse para el cumplimiento del RGPD. Los siguientes recursos te proporcionarán una comprensión sólida de dónde te encuentras hoy y cuáles son los siguientes pasos.

  1. Glosario definiciones RGPD

    Glosario del RGPD

    El RGPD fue redactado por abogados, por lo que no debe sorprendernos que contenga mucha terminología legal. Pero no te preocupes; nuestro glosario te ayudará a comprender las definiciones más importantes.

    Consultar
  2. Lista de comprobacion RGPD

    Lista de comprobación gratuita para el cumplimiento del RGPD

    HubSpot ha elaborado una lista de comprobación gratuita para el cumplimiento del RGPD que ayudará a sus clientes y partners a determinar los siguientes pasos.

    Consultar
  3. Our GDPR Compliance Checklist

    Nuestro estudio sobre el RGPD

    ¿Su empresa cumple con las nuevas disposiciones del RGPD? ¿Qué piensan los consumidores de estos cambios? Descubre las respuestas a estas preguntas en nuestro estudio sobre el RGPD.

    Consultar