¿Qué es el RGPD?

RGDP es la sigla por la cual se conoce el Reglamento General de Protección de Datos de carácter europeo y que es aplicable desde el 25 de mayo de 2018. Este reglamento controla el uso de los datos personales por parte de las empresas u otras organizaciones que presten sus servicios dentro de la Unión Europea (Reino Unido implementará en el futuro una legislación equivalente) y garantiza la protección de las libertades y derechos fundamentales de los individuos.

El RGPD entiende por datos personales como “toda información sobre una persona identificada o identificable (“el interesado”), una persona natural identificable es una que puede ser identificada, directa o indirectamente, en especial a través de un identificador como un nombre, un número de identificación, un dato de localización o un identificador en línea o uno o más factores relacionados con la identidad social, cultura, económica, mental, genética, fisiológica, psíquica de la persona natural“. Los datos personales seudonimizados, siempre que el propietario sea identificable, también están sometidos al RGPD. Por último, los identificadores en línea, (como las direcciones IP) se consideran también datos personales, salvo que estén anonimizados.

Los individuos gozan de derechos como la portabilidad de datos, acceso a datos y el “derecho al olvido”. Además, deben autorizar siempre previamente el tratamiento de sus datos y puede revocar su autorización siempre que lo deseen. Para ellos, las empresas y organizaciones proveerán a las personas de una autorización, clara y explícita, a la cual deben dar su consentimiento. En  el caso de que se produjera una violación de la ley, la empresa debe notificarlo en un máximo de 72 horas, tanto a autoridades como personas afectadas.

Tanto las empresas y organizaciones (controladores de datos) como las terceras partes implicadas (procesadores de datos como por ejemplo, proveedores de software) deben llevar un registro y hacer un seguimiento de cada una de las actividades que impliquen el tratamiento de los datos personales de que disponen de manera que puedan rendir cuentas sobre el tipo de datos tratados, finalidad y destino final, pues sólo podrán emitir información a otras empresas o terceros que también cumplan con el RGDP o a países cuyas legislaciones se consideren adecuadas. Al cargo de estas actividades se encuentra el Oficial de Protección de Datos (OPD), una figura fundamental y obligatoria en todas las empresas pues garantizan el cumplimiento del RGPD dentro de la organización para la que trabaja.

¿Qué significa el RGPD para mi sitio web?

Si tu sitio web atiende a personas de la UE, tiene servicios integrados de terceros como Google y Facebook o tratáis de cualquier otra forma datos personales, los usuarios deben disponer de toda la información al respecto, que por otra parte, debe estar siempre disponible y accesible (por ejemplo, como parte de tu política de privacidad). Además, también es necesario tener una autorización previa de vuestros usuarios, que explique clara y sencillamente la finalidad y magnitud del tratamiento de sus datos. Deberá llevarse un registro de las mismas, recordando además, que los usuarios tienen derecho a revocarlas o modificarlas.

Cómo funciona jibu.io

jibu.io te permite hacer un seguimiento y documentar cualquier tipo de rastreo en tu sitio web, mostrar la información relevante para los visitantes y obtener y registrar de forma automática todas las autorizaciones de los usuarios.

jibu.io soluciona la automatización del tratamiento de autorizaciones de usuarios en tu sitio web y documenta cookies y otros rastreadores en funcionamiento.

Lista de comprobación del RGPD: 6 cosas que debo hacer

  1. Organiza:
    Presenta a los accionistas de tu empresa los requisitos del RGPD, nombra un Oficial de Protección de Datos (OPD) cuando tu empresa supere los 250 empleados y forma a tus trabajadores en términos de Seguridad Cibernética, Privacidad desde el Diseño y Privacidad por Defecto.
  2. Controla tus datos:
    Siempre debes saber dónde están todos los datos, desde dónde se tratan, quién dispone de acceso a los mismos y a través de qué dispositivos. Documenta las causas para un tratamiento legal y actualiza las políticas de privacidad.
  3. Analiza a tus socios:
    Tus socios de servicios (servicios integrados de terceros o proveedores de software como servicio) también deben cumplir el RGPD. Asegúrate de que lo hacen.
  4. Consigue autorización:
    Mantén un registro actualizado de las autorizaciones y para ello, implementa métodos de búsqueda, obtención y registro de autorizaciones para garantizar el cumplimiento del RGPS.
  5. Responde a derechos sobre datos:
    Recuerda que los individuos tienen derecho de acceso, rectificación y supresión de sus datos. Asegúrate de que dispones de los procedimientos necesarios para que puedan hacerlo.
  6. Afronta posibles crisis:
    Asegúrate de la existencia de procedimientos establecidos para detectar, investigar y denunciar filtraciones de datos dentro del plazo límite de 72 horas que marca el RGPD.

Cumplimiento y requisitos del RGPD

Cursos, formación y certificación del RGPD:

Puedes conseguir la certificación de iniciación al RGPD (EU GDPR F) y la certificación profesional avanzada del RGPD (EU GDPR P) (ambas con acreditación ISO 17024) partiendo de varios cursos de IT Governance. La Asociación Internacional de Profesionales de la Privacidad (IAPP) también ofrece formación digital.

Sanciones y penalizaciones del RGPD

Las empresas u organizaciones que incumplan lo impuesto por la ley, podrían enfrentarse a graves sanciones que podrían llegar a alcanzar los 20 millones de euros o el 4% de la facturación anual global, dependiendo de cuál fuera el de mayor importe.