Logo - Full (Color)

Cumplimiento del RGPD

Reglamento General de Protección de Datos (RGPD), definición de cumplimiento

Buenas noticias: mejoramos la plataforma de HubSpot para facilitar el cumplimiento del RGPD

Consulta la página de preparación de los productos para ver el panorama completo.

Antes que nada, ¿qué es el RGPD?

El RGPD (Reglamento General de Protección de Datos) es una norma de la Unión Europea que mejora significativamente la protección de los datos personales de sus ciudadanos y ciudadanas y aumenta las obligaciones de las organizaciones que recopilan o procesan información personal. Esta norma se basa en muchos de los requisitos de seguridad y privacidad de los datos de la Directiva de 1995, pero incluye varias disposiciones nuevas para proteger los derechos de las partes interesadas e incorporar sanciones más severas para quienes cometan infracciones. La norma entró en vigencia el 25 de mayo de 2018.

¿Cómo era la situación antes del RGPD?

Probablemente escuchaste hablar mucho sobre el RGPD en 2018, ¿pero sabías que la Unión Europea ya contaba con leyes de protección de datos antes? Si bien en mayo de 2018 el RGPD reemplazó a la Directiva de Protección de Datos de la UE de 1995, esta última define los ocho principios de protección de datos que han regido el tratamiento de la información personal por parte de las organizaciones durante más de dos décadas.

¿El RGPD se aplica a mi empresa?

El RGPD se aplica a las empresas que a) venden sus productos a personas de la UE o b) monitorizan el comportamiento de las y los ciudadanos de la UE. Dicho de otra manera: incluso si tu empresa no tiene sede en un país de la UE, pero recopilas o procesas datos de ciudadanos europeos, deberás respetar el RGPD.

Aviso legal: Ninguna empresa podrá considerar este sitio web como asesoramiento legal respecto al cumplimiento de las leyes de privacidad de datos de la UE, como el RGPD. Este artículo únicamente proporciona información que te ayudará a comprender mejor cómo HubSpot ha abordado algunas cuestiones legales importantes. Esta información legal no constituye asesoramiento legal, en el que un profesional aplica la ley de acuerdo con tus circunstancias específicas, por lo que, nuevamente, te recomendamos que consultes con un abogado o una abogada si necesitas algún consejo para interpretar esta información o su fiabilidad. En resumen, no debes considerar este artículo como consejo ni recomendación legal de ningún tipo.

Componentes importantes del RGPD

Consentimiento

El RGPD aumenta el estándar para las divulgaciones al obtener consentimiento, ya que debe ser dado libremente, específico, informado e inequívoco y las personas responsables del tratamiento de datos (llamados «controladores de datos») deben usar un lenguaje legal simple y sencillo que se distinga claramente de otros asuntos. Los controladores de datos también deben proporcionar pruebas de que sus procesos cumplen con las normas y se respetan en todos los casos.

Básicamente, la clientela no puede estar forzada a dar su consentimiento ni desconocer que está aceptando el procesamiento de sus datos personales. También debe saber exactamente a qué está dando su consentimiento y se le debe informar con antelación que tiene derecho a retirarlo. Para obtener el consentimiento, se requiere una aceptación explícita del acuerdo, ya que el consentimiento no puede inferirse del silencio, de casillas marcadas previamente o de la falta de acción. Esto quiere decir que informar al usuario durante el registro se está volviendo fundamental.

Nuevos derechos para los individuos

La norma también incorpora dos derechos nuevos para las partes interesadas: el «derecho al olvido», que exige que las personas responsables del tratamiento de datos alerten a las y los destinatarios subsiguientes sobre las solicitudes de eliminación de información y el «derecho a la portabilidad de datos», que permite que las partes interesadas soliciten una copia de sus datos en un formato común. Estos dos derechos facilitan la tarea de solicitar que se elimine cualquier información almacenada o se proporcionen los datos recopilados.

Solicitudes de acceso

Las partes interesadas siempre han tenido el derecho de solicitar acceso a sus datos, solo que ahora el RGPD refuerza ese derecho. En la mayoría de los casos, no podrás cobrar el procesamiento de una solicitud de acceso, a menos que puedas demostrar que el gasto será excesivo. El plazo para procesar una solicitud de acceso también se acotará a un mes, aunque se puede extender a dos meses en ciertas circunstancias. En algunos casos, las organizaciones podrían rechazar una solicitud de acceso. Por ejemplo, cuando se determina claramente que la solicitud no tiene fundamentos o es excesiva. Sin embargo, las organizaciones deberán contar con políticas y procedimientos de rechazo claros, y tendrán que demostrar que la solicitud se ajusta a dichos criterios.

Diseño centrado en la privacidad y DPIA

Hay varios principios nuevos para las entidades que manejan datos personales, incluidos el requisito de incorporar la privacidad de los datos «en el diseño» cuando se desarrollan sistemas nuevos y la obligación de realizar una Evaluación del impacto de la privacidad de los datos (DPIA) cuando se lleva a cabo el procesamiento con «tecnologías nuevas» o de forma riesgosa. La DPIA es el proceso de evaluar sistemáticamente el impacto potencial que un proyecto o una iniciativa podrían tener en la privacidad de los individuos para que los problemas de privacidad de los datos se puedan identificar antes de que surjan, lo que le da tiempo a la organización para diseñar un método para mitigarlos antes de dar inicio al proyecto.

Especialista en privacidad de los datos

Con respecto a la seguridad, el RGPD exige que muchas empresas cuenten con especialistas en privacidad de los datos (DPO) para supervisar el cumplimiento normativo. Entre las organizaciones que deben tener un DPO se incluyen las autoridades públicas, las organizaciones cuyas actividades suponen la monitorización frecuente y sistemática de las partes interesadas a gran escala o las organizaciones que procesan datos personales confidenciales en forma masiva.

Contratos y documentación sobre privacidad

Dado que el eje del RGPD son la transparencia y la justicia, los equipos de control y procesamiento deben revisar los avisos de privacidad, las declaraciones de privacidad y todas las políticas de datos internas para asegurarse de que cumplan con los requisitos expuestos en el RGPD. Si un controlador contrata a proveedores externos para que procesen los datos personales que están bajo su control, deberá asegurarse de que los contratos con ese equipo de procesamiento estén actualizados e incluyan las nuevas disposiciones obligatorias para los equipos de procesamiento que se definen en el artículo 28 del reglamento. Del mismo modo, los equipos de procesamiento deberán evaluar los cambios que tengan que hacer en los contratos que hayan firmado con la clientela para poder cumplir con el RGPD.

Integralidad

Una disposición específica del RGPD facilita las tareas de las y los especialistas en protección de datos: la nueva disposición de «integralidad», según la cual las organizaciones que tengan oficinas en varios países de la Unión Europea tendrán una «autoridad supervisora principal» que actuará como punto de ejecución central, de modo que no tengan que lidiar con instrucciones incoherentes de diferentes autoridades.

Informes de filtraciones

El RGPD exige que los equipos de control notifiquen a la autoridad supervisora de su país sobre las filtraciones de datos personales en un plazo de 72 horas después de enterarse de ellas, a menos que los datos estén anonimizados o cifrados. En la práctica, esto significa que se debe informar la mayoría de las filtraciones de datos al Comisionado de Protección de Datos.  Las filtraciones que puedan causar daño a los individuos, como el robo de identidad o la violación de la confidencialidad, también se deben informar a los equipos pertinentes.

Alcance

El RGPD se aplica a las empresas ajenas a la Unión Europea que venden sus productos a personas de estos países o monitorizan su comportamiento. Dicho de otra manera: incluso si tu empresa no tiene sede en un país de la UE, pero recopilas o procesas datos de sus ciudadanos, probablemente también debas respetar el RGPD.

Responsabilidad

Este concepto requiere que los equipos de control y procesamiento puedan demostrar que cumplen con el RGPD ante la autoridad supervisora local. Los procesos se deben registrar, implementar y revisar con frecuencia. El personal debe recibir capacitación y se deben tomar las medidas técnicas y organizativas adecuadas para garantizar y demostrar el cumplimiento.

Sanciones severas

La importancia de las últimas disposiciones del RGPD se ve reflejada en las nuevas sanciones que impone en caso de infracción. Según el tipo de infracción, los equipos de control y procesamiento que hagan un mal manejo de los datos personales o que, de algún otro modo, infrinjan los derechos de las partes interesadas podrían contraer multas de hasta 20 millones de euros o el 4% de su facturación anual internacional (lo que sea superior).

Si eres partner de HubSpot o si ya usas nuestros servicios, comunícate con tu mánager de cuenta si tienes preguntas, comentarios o sugerencias.

Obtén más información sobre el cumplimiento del RGPD

Si bien el RGPD remplazó la DPD, se basa en los ocho principios de protección de datos de esta directiva. Las reglas que se mencionan a continuación rigen la manera en la que las organizaciones deben utilizar los datos personales:

  1. Obtener y procesar la información personal de manera legítima.
  2. Conservar los datos únicamente con fines específicos y lícitos.
  3. Procesar los datos solo de manera compatible con los fines para los que se proporcionaron inicialmente.
  4. Garantizar la seguridad y protección de los datos.
  5. Asegurarse de que los datos sean precisos y estén actualizados.
  6. Garantizar que los datos sean adecuados, pertinentes y no excesivos.
  7. Retener los datos solo por el tiempo que sea necesario para el propósito en cuestión.
  8. Darles a los individuos una copia de sus datos personales si así lo solicitaran.

La DPD era una directiva, es decir, un acto legislativo que establecía un objetivo que todos los países de la UE debían cumplir. Sin embargo, cada país tenía derecho a sancionar leyes propias en relación con cómo se debían alcanzar estos objetivos. En Irlanda, por ejemplo, los objetivos de la DPD se implementaron por medio de la Ley de Protección de Datos de Irlanda de 1998.

Por su parte, una regulación, como el RGPD, es un acto legislativo vinculante que se aplica en su totalidad en todos los países de la Unión Europea.

Para quienes desconocen el término, «suscripción doble» es un mecanismo que consta de 2 pasos donde una persona debe confirmar su dirección de correo electrónico tras registrarse por primera vez. El RGPD no exige la suscripción doble, aunque en determinados países esto podría ser obligatorio.

Merece la pena mencionar que las y los suscriptores al servicio de HubSpot ya pueden elegir habilitar la funcionalidad de suscripción doble en sus portales como una medida de protección adicional a la hora de demostrar que obtuvieron el consentimiento requerido.

En junio de 2016, la mayoría del pueblo del Reino Unido votó a favor de abandonar la Unión Europea en el referéndum conocido como «Brexit». En marzo de 2017, Theresa May comunicó la salida de la Unión Europea en virtud del artículo 50, lo que marcó el comienzo de las negociaciones del Brexit. Este recurso sobre normativas puede resultarte útil, ya que las condiciones del Brexit cambian con el tiempo: https://ico.org.uk/for-organisations/data-protection-and-brexit/

Si no vives en el Reino Unido, pero tienes proveedores o afiliados allí con los que compartes datos personales, también deberás estar alerta a los desarrollos que se produzcan en esta área. Es posible que los flujos de datos transfronterizos no tengan automáticamente las protecciones adecuadas y, por lo tanto, tal vez sea necesario que hagas otras proyecciones para proteger los datos que transfieras a esa región.

Las personas ya tenían muchos derechos que protegían sus datos personales con la Directiva de Protección de Datos de 1995, pero el RGPD reforzó en gran medida esos derechos, de modo que ahora los titulares de los datos pueden hacer lo siguiente:

  • Obtener detalles sobre cómo una organización o empresa procesa sus datos.
  • Obtener copias de los datos personales que una organización conserva sobre ellos o ellas.
  • Solicitar que se corrijan los datos incorrectos o incompletos.
  • Solicitar que una organización borre sus datos en casos en los que, por ejemplo, la empresa no tenga motivos legítimos para retenerlos.
  • Acceder a los datos que una organización tiene sobre ellos o ellas y solicitar que se transfieran a otra (portabilidad de los datos).
  • Oponerse a que una organización procese sus datos en ciertas circunstancias.
  • No estar sujetos o sujetas a decisiones automatizadas (con algunas excepciones), como la creación de perfiles.

No. El RGPD no obliga a almacenar los datos en la UE, y las reglas que rigen la transferencia de datos personales fuera de la UE no cambiarán. Esto significa que, siempre y cuando los datos personales estén adecuadamente protegidos, podrán transferirse de forma internacional. Por ejemplo, la UE preparó una lista de países que considera que ofrecen un estándar de protección adecuado (conocida como «lista países permitidos»), lo que significa que se puede transferir datos a esas naciones. En el caso de que un país no esté en esa lista de la UE, el equipo de control deberá recurrir a disposiciones contractuales aprobadas (como las cláusulas modelo o las reglas de vinculación empresarial) o a una de las otras medidas alternativas que estipula la ley, como la certificación del Escudo de Privacidad (Privacy Shield).

A continuación, hemos recopilado una lista de sitios adicionales para que obtengas más información sobre el nuevo reglamento. No dudes en echarles un vistazo.

  • Sitio web sobre el RGPD del Comisionado de Protección de Datos de Irlanda

  • Orientación sobre el RGPD del Comisionado Federal de Alemania para la Protección de Datos

  • Información sobre la función de cumplimiento del RGPD de HubSpot

  • Sitio web del Supervisor Europeo de Protección de Datos

  • Página del Programa de Seguridad de HubSpot

  • Encuentra la autoridad supervisora para tu empresa aquí

  • Texto completo del RGPD aquí

  • Texto completo del RGPD en alemán aquí

  • Sitio web del RGPD de la UE

  • Sitio web de la Oficina del Comisionado de Información del Reino Unido

Investigación sobre el RGPD

¿Cuán preparado estaba el resto para el RGPD? ¿Qué opinan las y los consumidores acerca de este cambio? Obtén más información en nuestra investigación.

Leer ahora

Class_Room_ES

Crea una estrategia de RGPD

En esta clase, aprenderás qué es el RGPD, los cambios que ayudarán a proteger los datos personales y el impacto que dicho reglamento tendrá sobre el mundo del inbound marketing y las ventas inbound. Analizaremos los cambios que deberás llevar a cabo para tu empresa y cómo prepararte para el RGPD de la mejor manera.

Empezar

Lista de comprobación sobre el cumplimiento del RGPD

Lista gratuita para comprobar el cumplimiento del RGPD

Para la clientela y los partners, HubSpot creó una lista de comprobación gratuita sobre el cumplimiento del RGPD que permitirá definir los próximos pasos.

Leer ahora

Investigación sobre la relación del RGPD con los equipos de marketing y las y los consumidores

¿Cuán preparados estaban los equipos de marketing para el RGPD?

Descubre cómo ven el RGPD los equipos de marketing y las y los consumidores. Encuestamos a más de 3000 personas para ofrecerte la información más confiable.

Leer ahora

Un glosario con todas las definiciones legales relacionadas con el RGPD

Glosario del RGPD

El RGPD fue redactado por especialistas en legislación, por lo que no sorprende que contenga mucha terminología de carácter legal. No te preocupes: nuestro glosario te ayudará a entender las definiciones más importantes.

Leer ahora