fbpx
Wikipedia

Reglamento General de Protección de Datos

Junio 19, 2022

El Reglamento General de Protección de Datos (RGPD) es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. Entró en vigor el 24 de mayo de 2016 y fue de aplicación el 25 de mayo de 2018, dos años durante los cuales las empresas, las organizaciones, los organismos y las instituciones se fueron adaptando para su cumplimiento. Es una normativa a nivel de la Unión Europea, por lo que cualquier empresa de la unión, o aquellas empresas que tengan negocios en la Unión Europea, que manejen información personal de cualquier tipo, deberán acogerse a ella. Las multas por el no cumplimiento del RGPD pueden llegar a los 20 millones de euros.

Reglamento (EU) 2016/679
Reglamento de la Unión Europea
Título Reglamento relativo a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
Hecho por Parlamento Europeo y Consejo de la Unión Europea
Referencia del DOUE L 119, 4.5.2016, p. 1–88
Historia
Fecha de aprobación 14 de abril de 2016
Fecha de aplicación 25 de mayo de 2018
Textos preparatorios
Propuesta de la Comisión COM/2012/010 final – 2012/0010 (COD)
Legislación relacionada
Reemplaza Directiva de Protección de Datos
Legislación vigente
[editar datos en Wikidata]

En España, el RGPD dejó obsoleta la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) de 1999, siendo sustituida el 6 de diciembre de 2018 por la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, acorde con el RGPD.[1]

Resumen

El nuevo régimen de protección de datos de la UE amplía el alcance de la ley de protección de datos de la UE a todas las compañías extranjeras que tratan datos de residentes de la UE. Para cumplir con estas regulaciones, sin embargo, esto implica el coste de un estricto régimen de cumplimiento de protección de datos con penalizaciones severas de hasta el 4% de la facturación mundial ".[2]

El RGPD también ofrece un nuevo conjunto de "derechos digitales" para los ciudadanos de la UE en una época en la que el valor económico de los datos personales está aumentando en la economía digital.

Contenido

El Reglamento General de Protección de Datos contiene los siguientes requisitos clave:[3][4]

Alcance

La regulación se aplica si el controlador de datos (una organización que recolecta datos de residentes de la UE) o el procesador (una organización que trata datos en nombre del controlador de datos, por ejemplo, proveedores de servicios en la nube) o el interesado (persona) tiene su sede en la UE. Además, la regulación también se aplica a las organizaciones con sede fuera de la Unión Europea si recopilan o tratan datos personales de los residentes de la UE. Según la Comisión Europea, "los datos personales son cualquier información relacionada con un individuo, ya sea que se refiera a su vida privada, profesional o pública. Puede ser cualquier cosa desde un nombre, domicilio, foto, dirección de correo electrónico, detalles bancarios, publicaciones en sitios web de redes sociales, información médica o la dirección IP de una computadora ".[5]

El reglamento no pretende aplicarse al tratamiento de datos personales para actividades de seguridad nacional o aplicación de la ley en la Unión Europea; sin embargo, grupos industriales preocupados por enfrentar un posible conflicto de leyes han cuestionado si el artículo 48 de la RGPD podría invocarse para evitar que un controlador de datos sujeto a las leyes de un tercer país cumpla con un orden legal de la aplicación de la ley de ese país, judicial, o las autoridades de seguridad nacional divulguen a dichas autoridades los datos personales de una persona de la UE, independientemente de si los datos residen dentro o fuera de la UE.

El artículo 48 establece que cualquier juicio de un tribunal o tribunal y cualquier decisión de una autoridad administrativa de un tercer país que requiera que un controlador o procesador transfiera o divulgue datos personales solo podrá ser reconocido o exigible de cualquier manera si se basa en un acuerdo internacional, tal como un tratado de asistencia jurídica mutua vigente entre el tercer país (no UE) solicitante y la Unión o un Estado miembro, el paquete de reforma de protección de datos también incluye una Directiva de protección de datos separada para el sector policial y de justicia penal que proporciona normas sobre personal intercambios de datos a nivel nacional, europeo e internacional.

Conjunto único de reglas y ventanilla única

Un único conjunto de reglas se aplicará a todos los estados miembros de la UE. Cada estado miembro establecerá una Autoridad de Supervisión (SA) independiente para escuchar e investigar denuncias, sancionar infracciones administrativas, etc. Las SA de cada Estado miembro cooperarán con otras SA, proporcionando asistencia mutua y organizando operaciones conjuntas. Cuando una empresa tenga múltiples establecimientos en la UE, tendrá una sola SA como su "autoridad principal", según la ubicación de su "establecimiento principal" (es decir, el lugar donde se llevan a cabo las principales actividades de tratamiento). La autoridad principal actuará como "ventanilla única" para supervisar todas las actividades de tratamiento de esa empresa en toda la UE.[6][7]​ (Artículos 46–55 de la RGPD). La Junta Europea de Protección de Datos (EDPB) coordinará las SA. EDPB reemplazará al Artículo 29 Grupo de Trabajo.

Existen excepciones para los datos tratados en un contexto de empleo y los datos tratados para fines de seguridad nacional que aún podrían estar sujetos a las reglamentaciones de cada país (artículos 2 (2) (a) y 82 de la RGPD).

Responsabilidad

Los requisitos de notificación permanecen y se expanden. Deben incluir el tiempo de retención para los datos personales y la información de contacto para el controlador de datos y se debe proporcionar un delegado de protección de datos.

La toma de decisiones individual automatizada, incluida la elaboración de perfiles (artículo 22) es discutible, de forma similar a la Directiva de protección de datos (artículo 15). Los ciudadanos tienen el derecho de cuestionar y luchar contra las decisiones importantes que les afecten y que se hayan realizado sobre la base exclusiva de algoritmo ic. Muchos medios de comunicación han comentado la introducción de un "derecho a la explicación" de decisiones algorítmicas,[8][9]​ pero desde entonces los académicos legales han argumentado que la existencia de tal derecho no está muy clara sin una prueba judicial y, en el mejor de los casos, es limitada.[10][11]

Para poder demostrar el cumplimiento con el RGPD, el controlador de datos debe implementar medidas que cumplan con los principios de protección de datos por diseño y protección de datos por defecto. Privacidad por diseño y por defecto (Artículo 25) requieren que las medidas de protección de datos estén diseñadas para el desarrollo de procesos comerciales para productos y servicios. Tales medidas incluyen datos personales Seudonimizamiento, por parte del controlador, tan pronto como sea posible (considerando 78).

Es responsabilidad del controlador de datos implementar medidas efectivas y ser capaz de demostrar el cumplimiento de las actividades de tratamiento, incluso si el tratamiento se lleva a cabo por un procesador de datos en nombre del controlador. (Considerando 74).

Las evaluaciones de impacto de protección de datos (artículo 35) deben llevarse a cabo cuando se producen riesgos específicos a los derechos y libertades de los interesados. Se requiere la evaluación y mitigación de riesgos y se requiere la aprobación previa de las Autoridades de Protección de Datos (DPA) para los riesgos más altos. Los delegados de protección de datos (artículos 37-39) deben garantizar el cumplimiento dentro de las organizaciones.

Deben ser designados:

  • Para todas las autoridades públicas, a excepción de los tribunales que actúan en su capacidad judicial
  • Si las actividades centrales del controlador o del procesador consisten en
    • Tratamiento de "operaciones" que, en virtud de su naturaleza, su alcance y / o sus propósitos, requieren un control regular y sistemático de los interesados a gran escala
    • Tratamiento en una "escala" grande de categorías especiales de datos de conformidad con el artículo 9 y datos personales relacionados con condenas penales y delitos a que se refiere el artículo 10[12]

Base legal para tratamiento

Los datos solo se pueden tratar si existe al menos una base legal para hacerlo.[13]​ Las bases legales para tratar datos son:

  • El interesado ha dado su consentimiento para el tratamiento de sus datos personales con uno o más propósitos específicos.
  • El tratamiento es necesario para la ejecución de un contrato del que el interesado es parte o para tomar medidas a petición del interesado antes de celebrar un contrato.
  • El tratamiento es necesario para cumplir con una obligación legal a la cual el controlador está sujeto.
  • El tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física.
  • El tratamiento es necesario para la realización de una tarea llevada a cabo en interés público o en el ejercicio de la autoridad oficial conferida al controlador.
  • El tratamiento es necesario para los fines de los intereses legítimos perseguidos por el responsable o por un tercero, salvo cuando dichos intereses sean anulados por los intereses o los derechos y libertades fundamentales del interesado que requieren protección de datos personales, en particular cuando el interesado es un niño.

Consentimiento

Cuando el consentimiento se utiliza como la base legal para el tratamiento, el consentimiento debe ser explícito para los datos recopilados y los fines para los que se utilizan los datos (Artículo 7, definido en el Artículo 4). Consentimiento para niños[14]​ debe ser otorgado por el padre o tutor del niño, y verificable (Artículo 8). Los controladores de datos deben poder probar el "consentimiento" (opt-in) y el consentimiento puede ser retirado.[15]

La cuestión del consentimiento de RGPD tiene una serie de implicaciones para las empresas que graban llamadas en la práctica. Los típicos avisos del tipo "esta llamada está siendo grabada por motivos de seguridad" ya no serán suficientes para obtener el consentimiento asumido para grabar llamadas. Además, cuando la grabación haya comenzado, si la persona que es grabada retira su consentimiento, entonces el agente que recibe la llamada debe ser capaz de detener una grabación previamente iniciada y asegurarse de que la grabación no se guarde.[16]

Delegado de protección de datos

Cuando el tratamiento lo lleve a cabo una autoridad pública, a excepción de los tribunales o autoridades judiciales independientes cuando actúan en su capacidad judicial, o cuando, en el sector privado, el tratamiento lo lleva a cabo un controlador cuyas actividades centrales consisten en operaciones de tratamiento que requieren regular y la supervisión sistemática de los interesados, una persona con conocimiento experto de la legislación y prácticas de protección de datos debería ayudar al controlador o procesador a supervisar el cumplimiento interno de este Reglamento.

El DPO es similar pero no es lo mismo que un Oficial de Cumplimiento, ya que también se espera que sea competente en la gestión de procesos de TI, seguridad de datos (incluido el tratamiento de ciberataques) y otros problemas críticos de continuidad empresarial en la retención y tratamiento de datos personales y confidenciales datos. El conjunto de habilidades requeridas se extiende más allá de comprender el cumplimiento legal con las leyes y regulaciones de protección de datos.

El nombramiento de un DPO dentro de una gran organización será un desafío para la Junta, así como para el individuo en cuestión. Hay una miríada de problemas de gobernanza y factores humanos que las organizaciones y compañías deberán abordar dado el alcance y la naturaleza de la designación. Además, el titular del puesto tendrá que crear su propio equipo de soporte y también será responsable de su propio desarrollo profesional continuo, ya que deben ser independientes de la organización que los emplea, efectivamente como un "mini-regulador".

El 13 de diciembre de 2016 (revisado el 5 de abril de 2017) se proporcionaron más detalles sobre la función y la función del delegado de protección de datos con un documento de orientación.[17]

Seudonimización

La seudonimización es un procedimiento de gestión de datos y desidentificación de datos mediante el cual los campos de información personalmente identificables dentro de un registro de datos se sustituyen por uno o más identificadores artificiales. Un único seudónimo para cada campo sustituido o conjunto de campos sustituidos hace que el registro de datos sea menos identificable, pero sigue siendo adecuado para el análisis de datos y el procesamiento de datos.

Los datos seudonimizados encarnan el estado de la técnica en materia de Protección de Datos por Diseño y por defecto, ya que requiere la protección de los identificadores directos e indirectos (no sólo los directos). Los principios de la protección de datos por diseño y por defecto del RGPD, tal y como se plasman en la seudonimización, exigen la protección de los identificadores directos e indirectos, de modo que los datos personales no puedan ser objeto de referencias cruzadas (o re-identificación) a través del "efecto mosaico" sin acceder a la "información adicional" que el responsable del tratamiento conserva por separado. Dado que el acceso a la "información adicional" conservada por separado es necesario para la re-identificación, el responsable del tratamiento puede limitar la atribución de los datos a un sujeto de datos específico para apoyar únicamente los fines legales.

La seudonimización (o pseudonimización, la grafía según las directrices europeas) es una forma de cumplir con las exigencias del nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea para el almacenamiento seguro de la información personal. Los datos seudonimizados pueden ser restaurados a su estado original con la adición de información que permita volver a identificar a los individuos, mientras que los datos anonimizados nunca pueden ser restaurados a su estado original.

El RGPD de la Unión Europea se refiere al cifrado, o encriptación, de los datos como la fórmula más segura para su protección. De hecho, señala en sus artículos 33 y 34 que, si se tiene cifrada la información, aunque se produzca una fuga no es necesaria la notificación a los afectados, ni a la autoridad administrativa correspondiente, en el caso de España la Agencia Española de Protección de Datos..

También señala la seudonimización como algo demandado para cualquier almacenaje de datos personales sobre personas dentro del UE como alternativa a la otra opción de anonimización de datos.[18]

Seguridad de los datos personales

Para aplicar los principios de protección de datos, los encargados y los responsables del tratamiento de datos personales deben establecer medidas técnicas y medidas organizativas. Y los procesos empresariales que manejan datos personales , deben estar diseñados y construidos teniendo en cuenta los principios y proporcionando salvaguardias para proteger los datos (ejemplo, utilizando la seudonimización o la anonimización completa cuando sea necesario). Los responsables del tratamiento diseñan los sistemas de información teniendo en cuenta la privacidad. Por ejemplo, utilizando una configuración de privacidad lo más alta posible por defecto, de modo que los conjuntos de datos no estén disponibles públicamente y no puedan utilizarse para identificar a un sujeto. No se puede tratar ningún dato personal a menos que este tratamiento se realice en virtud de una de las seis bases legales especificadas por el reglamento (consentimiento, contrato, función pública, interés vital, interés legítimo o requisito legal). Cuando el tratamiento se basa en el consentimiento, el interesado tiene derecho a revocarlo en cualquier momento.

Violaciones de datos

Bajo el RGPD, el Controlador de Datos estará bajo la obligación legal de notificar a la Autoridad de Supervisión sin demora indebida. La notificación de una filtración de datos no está sujeta a ninguna norma de minimis y debe notificarse a la Autoridad de Supervisión dentro de las 72 horas posteriores a haber tenido conocimiento de la violación de datos (Artículo 33). Las personas deben ser notificadas si se determina un impacto adverso (Artículo 34). Además, el procesador de datos deberá notificar al controlador sin demora después de conocer una violación de datos personales (Artículo 33).

Sin embargo, la notificación a los interesados no es necesaria si el responsable del tratamiento ha implementado medidas de protección técnicas y organizativas apropiadas que hacen que los datos personales sean ininteligibles para cualquier persona que no esté autorizada para acceder, como el cifrado (Artículo 34).

Sanciones

Las siguientes sanciones pueden ser impuestas:

  • Una advertencia por escrito en los casos de incumplimiento previo e intencional,
  • Auditorías periódicas de protección de datos,
  • Una multa de hasta 10 000 000 de euros o hasta el 2 % del volumen de negocios mundial anual del ejercicio anterior en el caso de una empresa, cualquiera que sea mayor, cuando haya habido una infracción de las siguientes disposiciones (Artículo 83, Párrafo 4)[19]​):
    • Las obligaciones del controlador y del procesador de conformidad con los artículos 8, 11, 25 a 39, 42 y 43,
    • Las obligaciones del organismo de certificación de conformidad con los artículos 42 y 43,
    • Las obligaciones del organismo de supervisión de conformidad con el artículo 41 (4).
  • Una multa de hasta 20 000 000 de euros o hasta el 4 % del volumen de negocios anual del año financiero anterior en el caso de una empresa, cualquiera que sea mayor, cuando se haya infringido las siguientes disposiciones: (Artículo 83, párrafos 5 y 6[19]​).
    • Los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento, de conformidad con los artículos 5, 6, 7 y 9,
    • the data subjects' rights pursuant to Articles 12 to 22,
    • Las transferencias de datos personales a un destinatario en un tercer país o una organización internacional de conformidad con los artículos 44 a 49,
    • Cualquier obligación conforme a la ley de los Estados miembros adoptada en virtud del Capítulo IX,
    • El incumplimiento de una orden o una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad supervisora de conformidad con el artículo 58 (2) o la falta de acceso en violación del artículo 58 (1).

Cronología

La propuesta[7]​ para RGPD se lanzó el 25 de enero de 2012.

  • 21 de octubre de 2013: Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo (LIBE) tenía su voto de orientación.
  • 17 de diciembre de 2015: La comisión LIBE del Parlamento Europeo votó positivamente sobre el resultado de las negociaciones entre las tres partes.
  • 8 de abril de 2016: Adopción por el Consejo de la Unión Europea.[20]​ El único estado miembro que votó en contra fue Austria, argumentando que el nivel de protección de datos en algunos aspectos es bajo en comparación con la directiva de 1995.[21][22]
  • 14 de abril de 2016: Adopción por el Parlamento Europeo.[23]
  • El reglamento entró en vigor 20 días después de su publicación en el Diario oficial de la Unión Europea el 4 de mayo de 2016.[24]​ Sus disposiciones serán directamente aplicables en todos los estados miembros dos años después de esta fecha.
  • Es aplicable desde el 25 de mayo de 2018.[24]
 
El mercado único digital de la UE y la facilitación de los servicios públicos a través de las fronteras.

Mercado único digital de la UE

La estrategia de mercado único digital de la UE tiene como objetivo abrir oportunidades digitales para las personas y las empresas y mejorar la posición de Europa como líder mundial en la economía digital.[25]

Como parte de esta estrategia, el RGPD y la Directiva sobre seguridad de redes y sistemas de información (Directiva NIS) es aplicable desde el 25 de mayo de 2018. El "[propuesto]" Reglamento de privacidad también es aplicable a partir del 25 de mayo de 2018. El el Reglamento eIDAS también es parte de la estrategia.

Control Ciudadano de Datos Personales

Bajo el RGPD, se alienta a las organizaciones a devolver el control de los datos personales al individuo o ciudadano. Haciéndoles más fácil el acceso a las organizaciones de datos que tienen y para que puedan cambiar los permisos que otorgan para que se utilicen (ver Bases legales para el tratamiento) o compartido.

Gestión de información personal ayuda a las organizaciones a devolver este control, y hay una serie de herramientas y soluciones para ayudar con esto.

Recibimiento

Según un estudio dirigido por Deloitte en 2018, el 92% de las compañías creen que pueden cumplir con la RGPD en sus prácticas a largo plazo.[26]

Compañías que operan fuera de la UE han invertido mucho para orientar sus prácticas de empresa con la RGPD. El rango de consentimiento de la RGPD tiene un número de implicaciones para negocios que registraban llamadas como una cuestión de práctica. El típico aviso legal no es considerado suficiente para obtener el consentimiento para grabar llamadas. Además, cuando la grabación ha comenzado, la persona que llama debería retirar su consentimiento, después, el agente quien recibe la llamada debería poder parar una grabación previamente empezada y garantizar que la grabación no se va a almacenar.[27]

Los profesionales de informática esperan que el cumplimiento de la RGPD va a requerir una inversión adicional en general: más del 80 por ciento de los encuestados esperaban que los gastos relacionados con el RGPD fueran al menos de 100.000 dólares estadounidenses.[28]​ Las preocupaciones se repitieron en un informe de los encargados del bufete de abogados Baker & McKenzie, que encontraron que sobre "un 70 por ciento de los encuestados creen que las organizaciones necesitarán una inversión adicional en presupuesto/esfuerzo para cumplir con el consentimiento, mapeo de datos y requerimientos bajo la RGPD de transferencia de datos transfronteriza".[29]​ El coste total de las compañías de la UE es estimado en 200 mil millones de euros mientras que las compañías estadounidenses se espera de un coste de 41,7 mil millones de dólares. Esto ha sido discutido que pequeños negocios y empresas emergentes pueden no tener los recursos financieros para cumplir adecuadamente con la RGPD, diferente a las internacionales y grandes compañías tecnológicas(como Facebook y Google) que aparentemente está destinada esta regulación.[30][31]​ Una falta de conocimiento y un malentendido de las regulaciones también ha sido motivo de preocupación en el periodo previo a su adaptación.[32]​ El contraargumento a esto ha sido que las compañías se hicieron conscientes de estos cambios dos años antes de que entrasen en vigor y, por eso, deberían tener tiempo suficiente para prepararse.[33]

Las regulaciones, incluida si una empresa debe tener un delegado de protección de datos, han sido criticadas por posibles cargas administrativas y requisitos de cumplimiento poco claros.[34]​ Además, la minimización de datos es un requisito, que la seudonimización es un de los posibles medios, la regulación no proviene una guía de cómo y qué constituye un esquema efectivo de desidentificación de datos, con un área gris sobre que podría considerarse como seudonimización inadecuada sujeta a acciones de ejecución de la Sección 5.[35]​ También existe preocupación con respecto a la implementación de la RGPD en sistemas blockchain, como el registro transparente y registro de las transacciones blockchain que contradice con la naturaleza de la RGPD.[36]​ Muchos medios de comunicación han comentado sobre la introducción de un “derecho a la explicación” de las decisiones algorítmicas,[37][38]​ pero licenciados en derecho han argumentado que la existencia de ese derecho es muy poco clara sin tests judiciales y limitada en el mejor de los casos.[39][40]

La RGPD ha ido ganando apoyos de negocios quienes ven esto como una oportunidad para mejorar su gestión de los datos.[41][42]Mark Zuckerberg también lo ha llamado como “algo muy positivo para el Internet”,[43]​ y ha pedido que se adopten leyes del estilo RGPD en los EE. UU..[44]​ Grupos de derechos del consumidor, como la Organización Europea del Consumidor, se encuentran entre los defensores más activos de la legislación.[45]​ Otros simpatizantes han atribuido su paso al denunciante Edward Snowden.[46]​ El defensor del software libre, Richard Stallman, ha elogiado algunos aspectos de la RGPD pero pidió salvaguardias adicionales para prevenir que las empresas de tecnología “autoricen su manufacturación”.[47]

Referencias

  1. «Aprobada la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales». Agencia Española de Protección de Datos. 23 de noviembre de 2018. 
  2. «https://via.hypothes.is/http://mlawgroup.de/news/publications/detail.php#annotations:oExZ4PVtEeefHEPs4cEz6w». via.hypothes.is (en alemán). Consultado el 18 de enero de 2018. 
  3. "Inofficial [sic] consolidated version GDPR" el 31 de diciembre de 2013 en Wayback Machine.. Rapporteur Jan Philipp Albrecht. Retrieved 9 December 2013.
  4. Proposal for the EU General Data Protection Regulation. Comisión Europea. 25 de enero de 2012. Consultado el 3 de enero de 2013.
  5. European Commission’s press release announcing the proposed comprehensive reform of data protection rules. 25 de enero de 2012. Consultado el 3 de enero de 2013.
  6. El Reglamento de Protección de Datos General de la UE propuesto. Una guía para abogados internos, Hunton & Williams LLP, June 2015, p. 14
  7. "Propuesta GDPR "
  8. editor, Ian Sample Science (27 de enero de 2017). «El perro guardián de la IA necesita regular la toma de decisiones automatizada, dicen los expertos». The Guardian (en inglés británico). ISSN 0261-3077. Consultado el 15 de julio de 2017. 
  9. «EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence». www.techzone360.com (en inglés). Consultado el 15 de julio de 2017. 
  10. Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28 de diciembre de 2016). Por qué no existe un derecho a la explicación de la toma de decisiones automatizada en el Reglamento general de protección de datos – via SSRN. 
  11. Edwards, Lilian; Veale, Michael (2017). «Esclavo del algoritmo? Por qué el "derecho a una explicación" probablemente no sea el remedio que está buscando». Duke Law and Technology Review. SSRN 2972855. doi:10.2139/ssrn.2972855.  El material ha sido copiado de esta fuente. Se autoriza la reutilización de los datos EUR-Lex con fines comerciales o no comerciales siempre que se indique la fuente.
  12. «EUR-Lex – Art. 37». eur-lex.europa.eu (en inglés). Consultado el 23 de enero de 2017.  El material ha sido copiado de esta fuente. La reutilización de los datos EUR-Lex para fines comerciales o no comerciales está autorizada siempre que se mencione la fuente.
  13. «EUR-Lex - 32016R0679 - EN - EUR-Lex». eur-lex.europa.eu (en inglés). Consultado el 7 de noviembre de 2017.  El material ha sido copiado de esta fuente. Se autoriza la reutilización de los datos EUR-Lex con fines comerciales o no comerciales siempre que se indique la fuente.
  14. Artículo 8 (1): "A los efectos del presente Reglamento, en relación con la oferta de servicios de la sociedad de la información directamente a un niño, el tratamiento de los datos personales de un niño menor de 13 años deberá solo será legal si y en la medida en que el padre o el tutor del niño brinde o autorice el consentimiento ".
  15. "How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide". Judy Schmitt, Florian Stahl. 11 de octubre de 2012. Consultado el 3 de enero de 2013.
  16. . www.xewave.io (en inglés británico). Archivado desde el original el 14 de abril de 2018. Consultado el 13 de abril de 2018. 
  17. «Directrices sobre oficiales de protección de datos». Consultado el 27 de agosto de 2017. 
  18. Data science under GDPR with pseudonymization in the data pipeline Publicado por Dativa, 17 de abril de 2018 (en inglés)
  19. Article 83, GDPR
  20. Reforma de la protección de datos: el Consejo adopta posición en primera lectura
  21. Aprobación de la posición del Consejo en primera lectura el 25 de noviembre de 2017 en Wayback Machine., Votewatch.eu
  22. Procedimiento escrito, 8 de abril de 2016, Consejo de la Unión Europea
  23. Data Reforma de la protección - El Parlamento aprueba nuevas reglas adecuadas para la era digital
  24. EU Official Journal issue L 119
  25. The Digital Single Market on europa.eu
  26. Gooch, Peter (2018). «A new era for privacy-GDPR six months on». https://www2.deloitte.com/content/dam/Deloitte/uk/Documents/risk/deloitte-uk-risk-gdpr-six-months-on.pdf (en inglés) (Deloitte UK). Consultado el 15 de noviembre de 2021. 
  27. «What Smart Business Can Do to Avoid GDPR Penalties When Recording Calls» (en inglés). 14 de abril de 2018. Consultado el 15 de noviembre de 2021. 
  28. BabelCEO, Chris (11 de julio de 2017). «The High Costs of GDPR Compliance». Dark Reading (en inglés). Consultado el 15 de noviembre de 2021. 
  29. «Preparing for New Privacy Regimes: Privacy Professionals' Views on the General Data Protection Regulation and Privacy Shield». https://f.datasrvr.com/fr1/416/76165/IAPP_GDPR_and_Privacy_Shield_Survey_Report.pdf (en inglés) (bakermckenzie.com). 04/05/2016. Consultado el 15 de noviembre de 2021. 
  30. «How Europe's 'breakthrough' privacy law takes on Facebook and Google». the Guardian (en inglés). 19 de abril de 2018. Consultado el 15 de noviembre de 2021. 
  31. «Europe’s new privacy rules are no silver bullet». POLITICO (en inglés estadounidense). 22 de abril de 2018. Consultado el 15 de noviembre de 2021. 
  32. «Lack of GDPR knowledge is a danger and an opportunity». MicroscopeUK (en inglés). Consultado el 15 de noviembre de 2021. 
  33. Jeong, Sarah (22 de mayo de 2018). «No one’s ready for GDPR». The Verge (en inglés). Consultado el 15 de noviembre de 2021. 
  34. Edwards, Elaine. «New rules on data protection pose compliance issues for firms». The Irish Times (en inglés). Consultado el 15 de noviembre de 2021. 
  35. «Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization». Consultado el 15 de noviembre de 2021. 
  36. Gorey, Colm (23 de noviembre de 2017). «Are financial institutions ready for blockchain and GDPR?». Silicon Republic (en inglés). Consultado el 15 de noviembre de 2021. 
  37. «AI watchdog needed to regulate automated decision-making, say experts». the Guardian (en inglés). 27 de enero de 2017. Consultado el 15 de noviembre de 2021. 
  38. «EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence». www.techzone360.com (en inglés). Consultado el 15 de noviembre de 2021. 
  39. Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28 de diciembre de 2016). Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation (en inglés) (ID 2903469). Social Science Research Network. Consultado el 15 de noviembre de 2021. 
  40. Edwards, Lilian; Veale, Michael (23 de mayo de 2017). Slave to the Algorithm? Why a 'Right to an Explanation' Is Probably Not the Remedy You Are Looking For (en inglés) (ID 2972855). Social Science Research Network. Consultado el 15 de noviembre de 2021. 
  41. Fimin, Michael. «Council Post: Five Benefits GDPR Compliance Will Bring To Your Business». Forbes (en inglés). Consultado el 15 de noviembre de 2021. 
  42. Butterworth, Trevor (26 de marzo de 2018). «Europe’s tough new digital privacy law should be a model for US policymakers». Vox (en inglés). Consultado el 15 de noviembre de 2021. 
  43. Jaffe, Justin. «What the GDPR means for Facebook, Google and you». CNET (en inglés). Consultado el 15 de noviembre de 2021. 
  44. Schulze, Elizabeth (1 de abril de 2019). «Mark Zuckerberg says he wants stricter European-style privacy laws — but some experts are questioning his motives». CNBC (en inglés). Consultado el 15 de noviembre de 2021. 
  45. Tiku, Nitasha. «How Europe's New Privacy Law Will Change the Web, and More». Wired (en inglés estadounidense). ISSN 1059-1028. Consultado el 15 de noviembre de 2021. 
  46. «Analysis | Today, a new E.U. law transforms privacy rights for everyone. Without Edward Snowden, it might never have happened.». Washington Post (en inglés estadounidense). ISSN 0190-8286. Consultado el 15 de noviembre de 2021. 
  47. «A radical proposal to keep your personal data safe | Richard Stallman». the Guardian (en inglés). 3 de abril de 2018. Consultado el 15 de noviembre de 2021. 

Enlaces externos

  • Agencia Española de Protección de Datos - RGPD
  • DPA GDPR y la gestión de logs en el SIEM
  •   Datos: Q1172506
  •   Multimedia: General Data Protection Regulation

Junio 19, 2022
reglamento, general, protección, datos, rgpd, reglamento, europeo, relativo, protección, personas, físicas, respecta, tratamiento, datos, personales, libre, circulación, estos, datos, entró, vigor, mayo, 2016, aplicación, mayo, 2018, años, durante, cuales, emp. El Reglamento General de Proteccion de Datos RGPD es el reglamento europeo relativo a la proteccion de las personas fisicas en lo que respecta al tratamiento de sus datos personales y a la libre circulacion de estos datos Entro en vigor el 24 de mayo de 2016 y fue de aplicacion el 25 de mayo de 2018 dos anos durante los cuales las empresas las organizaciones los organismos y las instituciones se fueron adaptando para su cumplimiento Es una normativa a nivel de la Union Europea por lo que cualquier empresa de la union o aquellas empresas que tengan negocios en la Union Europea que manejen informacion personal de cualquier tipo deberan acogerse a ella Las multas por el no cumplimiento del RGPD pueden llegar a los 20 millones de euros Reglamento EU 2016 679Reglamento de la Union EuropeaTituloReglamento relativo a la proteccion de datos de las personas fisicas en lo que respecta al tratamiento de datos personales y a la libre circulacion de estos datos y por el que se deroga la Directiva 95 46 CE Reglamento general de proteccion de datos Hecho porParlamento Europeo y Consejo de la Union EuropeaReferencia del DOUEL 119 4 5 2016 p 1 88HistoriaFecha de aprobacion14 de abril de 2016Fecha de aplicacion25 de mayo de 2018Textos preparatoriosPropuesta de la ComisionCOM 2012 010 final 2012 0010 COD Legislacion relacionadaReemplazaDirectiva de Proteccion de DatosLegislacion vigente editar datos en Wikidata En Espana el RGPD dejo obsoleta la Ley Organica de Proteccion de Datos de Caracter Personal LOPD de 1999 siendo sustituida el 6 de diciembre de 2018 por la Ley Organica de Proteccion de Datos Personales y garantia de los derechos digitales acorde con el RGPD 1 Indice 1 Resumen 2 Contenido 2 1 Alcance 2 2 Conjunto unico de reglas y ventanilla unica 2 3 Responsabilidad 2 4 Base legal para tratamiento 2 5 Consentimiento 2 6 Delegado de proteccion de datos 2 7 Seudonimizacion 2 8 Seguridad de los datos personales 2 9 Violaciones de datos 2 10 Sanciones 3 Cronologia 4 Mercado unico digital de la UE 5 Control Ciudadano de Datos Personales 6 Recibimiento 7 Referencias 8 Enlaces externosResumen EditarEl nuevo regimen de proteccion de datos de la UE amplia el alcance de la ley de proteccion de datos de la UE a todas las companias extranjeras que tratan datos de residentes de la UE Para cumplir con estas regulaciones sin embargo esto implica el coste de un estricto regimen de cumplimiento de proteccion de datos con penalizaciones severas de hasta el 4 de la facturacion mundial 2 El RGPD tambien ofrece un nuevo conjunto de derechos digitales para los ciudadanos de la UE en una epoca en la que el valor economico de los datos personales esta aumentando en la economia digital Contenido EditarEl Reglamento General de Proteccion de Datos contiene los siguientes requisitos clave 3 4 Alcance Editar La regulacion se aplica si el controlador de datos una organizacion que recolecta datos de residentes de la UE o el procesador una organizacion que trata datos en nombre del controlador de datos por ejemplo proveedores de servicios en la nube o el interesado persona tiene su sede en la UE Ademas la regulacion tambien se aplica a las organizaciones con sede fuera de la Union Europea si recopilan o tratan datos personales de los residentes de la UE Segun la Comision Europea los datos personales son cualquier informacion relacionada con un individuo ya sea que se refiera a su vida privada profesional o publica Puede ser cualquier cosa desde un nombre domicilio foto direccion de correo electronico detalles bancarios publicaciones en sitios web de redes sociales informacion medica o la direccion IP de una computadora 5 El reglamento no pretende aplicarse al tratamiento de datos personales para actividades de seguridad nacional o aplicacion de la ley en la Union Europea sin embargo grupos industriales preocupados por enfrentar un posible conflicto de leyes han cuestionado si el articulo 48 de la RGPD podria invocarse para evitar que un controlador de datos sujeto a las leyes de un tercer pais cumpla con un orden legal de la aplicacion de la ley de ese pais judicial o las autoridades de seguridad nacional divulguen a dichas autoridades los datos personales de una persona de la UE independientemente de si los datos residen dentro o fuera de la UE El articulo 48 establece que cualquier juicio de un tribunal o tribunal y cualquier decision de una autoridad administrativa de un tercer pais que requiera que un controlador o procesador transfiera o divulgue datos personales solo podra ser reconocido o exigible de cualquier manera si se basa en un acuerdo internacional tal como un tratado de asistencia juridica mutua vigente entre el tercer pais no UE solicitante y la Union o un Estado miembro el paquete de reforma de proteccion de datos tambien incluye una Directiva de proteccion de datos separada para el sector policial y de justicia penal que proporciona normas sobre personal intercambios de datos a nivel nacional europeo e internacional Conjunto unico de reglas y ventanilla unica Editar Un unico conjunto de reglas se aplicara a todos los estados miembros de la UE Cada estado miembro establecera una Autoridad de Supervision SA independiente para escuchar e investigar denuncias sancionar infracciones administrativas etc Las SA de cada Estado miembro cooperaran con otras SA proporcionando asistencia mutua y organizando operaciones conjuntas Cuando una empresa tenga multiples establecimientos en la UE tendra una sola SA como su autoridad principal segun la ubicacion de su establecimiento principal es decir el lugar donde se llevan a cabo las principales actividades de tratamiento La autoridad principal actuara como ventanilla unica para supervisar todas las actividades de tratamiento de esa empresa en toda la UE 6 7 Articulos 46 55 de la RGPD La Junta Europea de Proteccion de Datos EDPB coordinara las SA EDPB reemplazara al Articulo 29 Grupo de Trabajo Existen excepciones para los datos tratados en un contexto de empleo y los datos tratados para fines de seguridad nacional que aun podrian estar sujetos a las reglamentaciones de cada pais articulos 2 2 a y 82 de la RGPD Responsabilidad Editar Los requisitos de notificacion permanecen y se expanden Deben incluir el tiempo de retencion para los datos personales y la informacion de contacto para el controlador de datos y se debe proporcionar un delegado de proteccion de datos La toma de decisiones individual automatizada incluida la elaboracion de perfiles articulo 22 es discutible de forma similar a la Directiva de proteccion de datos articulo 15 Los ciudadanos tienen el derecho de cuestionar y luchar contra las decisiones importantes que les afecten y que se hayan realizado sobre la base exclusiva de algoritmo ic Muchos medios de comunicacion han comentado la introduccion de un derecho a la explicacion de decisiones algoritmicas 8 9 pero desde entonces los academicos legales han argumentado que la existencia de tal derecho no esta muy clara sin una prueba judicial y en el mejor de los casos es limitada 10 11 Para poder demostrar el cumplimiento con el RGPD el controlador de datos debe implementar medidas que cumplan con los principios de proteccion de datos por diseno y proteccion de datos por defecto Privacidad por diseno y por defecto Articulo 25 requieren que las medidas de proteccion de datos esten disenadas para el desarrollo de procesos comerciales para productos y servicios Tales medidas incluyen datos personales Seudonimizamiento por parte del controlador tan pronto como sea posible considerando 78 Es responsabilidad del controlador de datos implementar medidas efectivas y ser capaz de demostrar el cumplimiento de las actividades de tratamiento incluso si el tratamiento se lleva a cabo por un procesador de datos en nombre del controlador Considerando 74 Las evaluaciones de impacto de proteccion de datos articulo 35 deben llevarse a cabo cuando se producen riesgos especificos a los derechos y libertades de los interesados Se requiere la evaluacion y mitigacion de riesgos y se requiere la aprobacion previa de las Autoridades de Proteccion de Datos DPA para los riesgos mas altos Los delegados de proteccion de datos articulos 37 39 deben garantizar el cumplimiento dentro de las organizaciones Deben ser designados Para todas las autoridades publicas a excepcion de los tribunales que actuan en su capacidad judicial Si las actividades centrales del controlador o del procesador consisten en Tratamiento de operaciones que en virtud de su naturaleza su alcance y o sus propositos requieren un control regular y sistematico de los interesados a gran escala Tratamiento en una escala grande de categorias especiales de datos de conformidad con el articulo 9 y datos personales relacionados con condenas penales y delitos a que se refiere el articulo 10 12 Base legal para tratamiento Editar Los datos solo se pueden tratar si existe al menos una base legal para hacerlo 13 Las bases legales para tratar datos son El interesado ha dado su consentimiento para el tratamiento de sus datos personales con uno o mas propositos especificos El tratamiento es necesario para la ejecucion de un contrato del que el interesado es parte o para tomar medidas a peticion del interesado antes de celebrar un contrato El tratamiento es necesario para cumplir con una obligacion legal a la cual el controlador esta sujeto El tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona fisica El tratamiento es necesario para la realizacion de una tarea llevada a cabo en interes publico o en el ejercicio de la autoridad oficial conferida al controlador El tratamiento es necesario para los fines de los intereses legitimos perseguidos por el responsable o por un tercero salvo cuando dichos intereses sean anulados por los intereses o los derechos y libertades fundamentales del interesado que requieren proteccion de datos personales en particular cuando el interesado es un nino Consentimiento Editar Cuando el consentimiento se utiliza como la base legal para el tratamiento el consentimiento debe ser explicito para los datos recopilados y los fines para los que se utilizan los datos Articulo 7 definido en el Articulo 4 Consentimiento para ninos 14 debe ser otorgado por el padre o tutor del nino y verificable Articulo 8 Los controladores de datos deben poder probar el consentimiento opt in y el consentimiento puede ser retirado 15 La cuestion del consentimiento de RGPD tiene una serie de implicaciones para las empresas que graban llamadas en la practica Los tipicos avisos del tipo esta llamada esta siendo grabada por motivos de seguridad ya no seran suficientes para obtener el consentimiento asumido para grabar llamadas Ademas cuando la grabacion haya comenzado si la persona que es grabada retira su consentimiento entonces el agente que recibe la llamada debe ser capaz de detener una grabacion previamente iniciada y asegurarse de que la grabacion no se guarde 16 Delegado de proteccion de datos Editar Cuando el tratamiento lo lleve a cabo una autoridad publica a excepcion de los tribunales o autoridades judiciales independientes cuando actuan en su capacidad judicial o cuando en el sector privado el tratamiento lo lleva a cabo un controlador cuyas actividades centrales consisten en operaciones de tratamiento que requieren regular y la supervision sistematica de los interesados una persona con conocimiento experto de la legislacion y practicas de proteccion de datos deberia ayudar al controlador o procesador a supervisar el cumplimiento interno de este Reglamento El DPO es similar pero no es lo mismo que un Oficial de Cumplimiento ya que tambien se espera que sea competente en la gestion de procesos de TI seguridad de datos incluido el tratamiento de ciberataques y otros problemas criticos de continuidad empresarial en la retencion y tratamiento de datos personales y confidenciales datos El conjunto de habilidades requeridas se extiende mas alla de comprender el cumplimiento legal con las leyes y regulaciones de proteccion de datos El nombramiento de un DPO dentro de una gran organizacion sera un desafio para la Junta asi como para el individuo en cuestion Hay una miriada de problemas de gobernanza y factores humanos que las organizaciones y companias deberan abordar dado el alcance y la naturaleza de la designacion Ademas el titular del puesto tendra que crear su propio equipo de soporte y tambien sera responsable de su propio desarrollo profesional continuo ya que deben ser independientes de la organizacion que los emplea efectivamente como un mini regulador El 13 de diciembre de 2016 revisado el 5 de abril de 2017 se proporcionaron mas detalles sobre la funcion y la funcion del delegado de proteccion de datos con un documento de orientacion 17 Seudonimizacion Editar La seudonimizacion es un procedimiento de gestion de datos y desidentificacion de datos mediante el cual los campos de informacion personalmente identificables dentro de un registro de datos se sustituyen por uno o mas identificadores artificiales Un unico seudonimo para cada campo sustituido o conjunto de campos sustituidos hace que el registro de datos sea menos identificable pero sigue siendo adecuado para el analisis de datos y el procesamiento de datos Los datos seudonimizados encarnan el estado de la tecnica en materia de Proteccion de Datos por Diseno y por defecto ya que requiere la proteccion de los identificadores directos e indirectos no solo los directos Los principios de la proteccion de datos por diseno y por defecto del RGPD tal y como se plasman en la seudonimizacion exigen la proteccion de los identificadores directos e indirectos de modo que los datos personales no puedan ser objeto de referencias cruzadas o re identificacion a traves del efecto mosaico sin acceder a la informacion adicional que el responsable del tratamiento conserva por separado Dado que el acceso a la informacion adicional conservada por separado es necesario para la re identificacion el responsable del tratamiento puede limitar la atribucion de los datos a un sujeto de datos especifico para apoyar unicamente los fines legales La seudonimizacion o pseudonimizacion la grafia segun las directrices europeas es una forma de cumplir con las exigencias del nuevo Reglamento General de Proteccion de Datos RGPD de la Union Europea para el almacenamiento seguro de la informacion personal Los datos seudonimizados pueden ser restaurados a su estado original con la adicion de informacion que permita volver a identificar a los individuos mientras que los datos anonimizados nunca pueden ser restaurados a su estado original El RGPD de la Union Europea se refiere al cifrado o encriptacion de los datos como la formula mas segura para su proteccion De hecho senala en sus articulos 33 y 34 que si se tiene cifrada la informacion aunque se produzca una fuga no es necesaria la notificacion a los afectados ni a la autoridad administrativa correspondiente en el caso de Espana la Agencia Espanola de Proteccion de Datos Tambien senala la seudonimizacion como algo demandado para cualquier almacenaje de datos personales sobre personas dentro del UE como alternativa a la otra opcion de anonimizacion de datos 18 Seguridad de los datos personales Editar Para aplicar los principios de proteccion de datos los encargados y los responsables del tratamiento de datos personales deben establecer medidas tecnicas y medidas organizativas Y los procesos empresariales que manejan datos personales deben estar disenados y construidos teniendo en cuenta los principios y proporcionando salvaguardias para proteger los datos ejemplo utilizando la seudonimizacion o la anonimizacion completa cuando sea necesario Los responsables del tratamiento disenan los sistemas de informacion teniendo en cuenta la privacidad Por ejemplo utilizando una configuracion de privacidad lo mas alta posible por defecto de modo que los conjuntos de datos no esten disponibles publicamente y no puedan utilizarse para identificar a un sujeto No se puede tratar ningun dato personal a menos que este tratamiento se realice en virtud de una de las seis bases legales especificadas por el reglamento consentimiento contrato funcion publica interes vital interes legitimo o requisito legal Cuando el tratamiento se basa en el consentimiento el interesado tiene derecho a revocarlo en cualquier momento Violaciones de datos Editar Bajo el RGPD el Controlador de Datos estara bajo la obligacion legal de notificar a la Autoridad de Supervision sin demora indebida La notificacion de una filtracion de datos no esta sujeta a ninguna norma de minimis y debe notificarse a la Autoridad de Supervision dentro de las 72 horas posteriores a haber tenido conocimiento de la violacion de datos Articulo 33 Las personas deben ser notificadas si se determina un impacto adverso Articulo 34 Ademas el procesador de datos debera notificar al controlador sin demora despues de conocer una violacion de datos personales Articulo 33 Sin embargo la notificacion a los interesados no es necesaria si el responsable del tratamiento ha implementado medidas de proteccion tecnicas y organizativas apropiadas que hacen que los datos personales sean ininteligibles para cualquier persona que no este autorizada para acceder como el cifrado Articulo 34 Sanciones Editar Las siguientes sanciones pueden ser impuestas Una advertencia por escrito en los casos de incumplimiento previo e intencional Auditorias periodicas de proteccion de datos Una multa de hasta 10 000 000 de euros o hasta el 2 del volumen de negocios mundial anual del ejercicio anterior en el caso de una empresa cualquiera que sea mayor cuando haya habido una infraccion de las siguientes disposiciones Articulo 83 Parrafo 4 19 Las obligaciones del controlador y del procesador de conformidad con los articulos 8 11 25 a 39 42 y 43 Las obligaciones del organismo de certificacion de conformidad con los articulos 42 y 43 Las obligaciones del organismo de supervision de conformidad con el articulo 41 4 Una multa de hasta 20 000 000 de euros o hasta el 4 del volumen de negocios anual del ano financiero anterior en el caso de una empresa cualquiera que sea mayor cuando se haya infringido las siguientes disposiciones Articulo 83 parrafos 5 y 6 19 Los principios basicos para el tratamiento incluidas las condiciones para el consentimiento de conformidad con los articulos 5 6 7 y 9 the data subjects rights pursuant to Articles 12 to 22 Las transferencias de datos personales a un destinatario en un tercer pais o una organizacion internacional de conformidad con los articulos 44 a 49 Cualquier obligacion conforme a la ley de los Estados miembros adoptada en virtud del Capitulo IX El incumplimiento de una orden o una limitacion temporal o definitiva del tratamiento o la suspension de los flujos de datos por parte de la autoridad supervisora de conformidad con el articulo 58 2 o la falta de acceso en violacion del articulo 58 1 Cronologia EditarLa propuesta 7 para RGPD se lanzo el 25 de enero de 2012 21 de octubre de 2013 Comision de Libertades Civiles Justicia y Asuntos de Interior del Parlamento Europeo LIBE tenia su voto de orientacion 15 de diciembre de 2015 Negociaciones entre Parlamento Europeo Consejo y Comision tripartito resulto en una propuesta conjunta 17 de diciembre de 2015 La comision LIBE del Parlamento Europeo voto positivamente sobre el resultado de las negociaciones entre las tres partes 8 de abril de 2016 Adopcion por el Consejo de la Union Europea 20 El unico estado miembro que voto en contra fue Austria argumentando que el nivel de proteccion de datos en algunos aspectos es bajo en comparacion con la directiva de 1995 21 22 14 de abril de 2016 Adopcion por el Parlamento Europeo 23 El reglamento entro en vigor 20 dias despues de su publicacion en el Diario oficial de la Union Europea el 4 de mayo de 2016 24 Sus disposiciones seran directamente aplicables en todos los estados miembros dos anos despues de esta fecha Es aplicable desde el 25 de mayo de 2018 24 El mercado unico digital de la UE y la facilitacion de los servicios publicos a traves de las fronteras Mercado unico digital de la UE EditarLa estrategia de mercado unico digital de la UE tiene como objetivo abrir oportunidades digitales para las personas y las empresas y mejorar la posicion de Europa como lider mundial en la economia digital 25 Como parte de esta estrategia el RGPD y la Directiva sobre seguridad de redes y sistemas de informacion Directiva NIS es aplicable desde el 25 de mayo de 2018 El propuesto Reglamento de privacidad tambien es aplicable a partir del 25 de mayo de 2018 El el Reglamento eIDAS tambien es parte de la estrategia Control Ciudadano de Datos Personales EditarBajo el RGPD se alienta a las organizaciones a devolver el control de los datos personales al individuo o ciudadano Haciendoles mas facil el acceso a las organizaciones de datos que tienen y para que puedan cambiar los permisos que otorgan para que se utilicen ver Bases legales para el tratamiento o compartido Gestion de informacion personal ayuda a las organizaciones a devolver este control y hay una serie de herramientas y soluciones para ayudar con esto Recibimiento EditarSegun un estudio dirigido por Deloitte en 2018 el 92 de las companias creen que pueden cumplir con la RGPD en sus practicas a largo plazo 26 Companias que operan fuera de la UE han invertido mucho para orientar sus practicas de empresa con la RGPD El rango de consentimiento de la RGPD tiene un numero de implicaciones para negocios que registraban llamadas como una cuestion de practica El tipico aviso legal no es considerado suficiente para obtener el consentimiento para grabar llamadas Ademas cuando la grabacion ha comenzado la persona que llama deberia retirar su consentimiento despues el agente quien recibe la llamada deberia poder parar una grabacion previamente empezada y garantizar que la grabacion no se va a almacenar 27 Los profesionales de informatica esperan que el cumplimiento de la RGPD va a requerir una inversion adicional en general mas del 80 por ciento de los encuestados esperaban que los gastos relacionados con el RGPD fueran al menos de 100 000 dolares estadounidenses 28 Las preocupaciones se repitieron en un informe de los encargados del bufete de abogados Baker amp McKenzie que encontraron que sobre un 70 por ciento de los encuestados creen que las organizaciones necesitaran una inversion adicional en presupuesto esfuerzo para cumplir con el consentimiento mapeo de datos y requerimientos bajo la RGPD de transferencia de datos transfronteriza 29 El coste total de las companias de la UE es estimado en 200 mil millones de euros mientras que las companias estadounidenses se espera de un coste de 41 7 mil millones de dolares Esto ha sido discutido que pequenos negocios y empresas emergentes pueden no tener los recursos financieros para cumplir adecuadamente con la RGPD diferente a las internacionales y grandes companias tecnologicas como Facebook y Google que aparentemente esta destinada esta regulacion 30 31 Una falta de conocimiento y un malentendido de las regulaciones tambien ha sido motivo de preocupacion en el periodo previo a su adaptacion 32 El contraargumento a esto ha sido que las companias se hicieron conscientes de estos cambios dos anos antes de que entrasen en vigor y por eso deberian tener tiempo suficiente para prepararse 33 Las regulaciones incluida si una empresa debe tener un delegado de proteccion de datos han sido criticadas por posibles cargas administrativas y requisitos de cumplimiento poco claros 34 Ademas la minimizacion de datos es un requisito que la seudonimizacion es un de los posibles medios la regulacion no proviene una guia de como y que constituye un esquema efectivo de desidentificacion de datos con un area gris sobre que podria considerarse como seudonimizacion inadecuada sujeta a acciones de ejecucion de la Seccion 5 35 Tambien existe preocupacion con respecto a la implementacion de la RGPD en sistemas blockchain como el registro transparente y registro de las transacciones blockchain que contradice con la naturaleza de la RGPD 36 Muchos medios de comunicacion han comentado sobre la introduccion de un derecho a la explicacion de las decisiones algoritmicas 37 38 pero licenciados en derecho han argumentado que la existencia de ese derecho es muy poco clara sin tests judiciales y limitada en el mejor de los casos 39 40 La RGPD ha ido ganando apoyos de negocios quienes ven esto como una oportunidad para mejorar su gestion de los datos 41 42 Mark Zuckerberg tambien lo ha llamado como algo muy positivo para el Internet 43 y ha pedido que se adopten leyes del estilo RGPD en los EE UU 44 Grupos de derechos del consumidor como la Organizacion Europea del Consumidor se encuentran entre los defensores mas activos de la legislacion 45 Otros simpatizantes han atribuido su paso al denunciante Edward Snowden 46 El defensor del software libre Richard Stallman ha elogiado algunos aspectos de la RGPD pero pidio salvaguardias adicionales para prevenir que las empresas de tecnologia autoricen su manufacturacion 47 Referencias Editar Aprobada la Ley Organica de Proteccion de Datos y Garantia de los Derechos Digitales Agencia Espanola de Proteccion de Datos 23 de noviembre de 2018 https via hypothes is http mlawgroup de news publications detail php annotations oExZ4PVtEeefHEPs4cEz6w via hypothes is en aleman Consultado el 18 de enero de 2018 Inofficial sic consolidated version GDPR Archivado el 31 de diciembre de 2013 en Wayback Machine Rapporteur Jan Philipp Albrecht Retrieved 9 December 2013 Proposal for the EU General Data Protection Regulation Comision Europea 25 de enero de 2012 Consultado el 3 de enero de 2013 European Commission s press release announcing the proposed comprehensive reform of data protection rules 25 de enero de 2012 Consultado el 3 de enero de 2013 El Reglamento de Proteccion de Datos General de la UE propuesto Una guia para abogados internos Hunton amp Williams LLP June 2015 p 14 a b Propuesta GDPR editor Ian Sample Science 27 de enero de 2017 El perro guardian de la IA necesita regular la toma de decisiones automatizada dicen los expertos The Guardian en ingles britanico ISSN 0261 3077 Consultado el 15 de julio de 2017 EU s Right to Explanation A Harmful Restriction on Artificial Intelligence www techzone360 com en ingles Consultado el 15 de julio de 2017 Wachter Sandra Mittelstadt Brent Floridi Luciano 28 de diciembre de 2016 Por que no existe un derecho a la explicacion de la toma de decisiones automatizada en el Reglamento general de proteccion de datos via SSRN Edwards Lilian Veale Michael 2017 Esclavo del algoritmo Por que el derecho a una explicacion probablemente no sea el remedio que esta buscando Duke Law and Technology Review SSRN 2972855 doi 10 2139 ssrn 2972855 El material ha sido copiado de esta fuente Se autoriza la reutilizacion de los datos EUR Lex con fines comerciales o no comerciales siempre que se indique la fuente EUR Lex Art 37 eur lex europa eu en ingles Consultado el 23 de enero de 2017 El material ha sido copiado de esta fuente La reutilizacion de los datos EUR Lex para fines comerciales o no comerciales esta autorizada siempre que se mencione la fuente EUR Lex 32016R0679 EN EUR Lex eur lex europa eu en ingles Consultado el 7 de noviembre de 2017 El material ha sido copiado de esta fuente Se autoriza la reutilizacion de los datos EUR Lex con fines comerciales o no comerciales siempre que se indique la fuente Articulo 8 1 A los efectos del presente Reglamento en relacion con la oferta de servicios de la sociedad de la informacion directamente a un nino el tratamiento de los datos personales de un nino menor de 13 anos debera solo sera legal si y en la medida en que el padre o el tutor del nino brinde o autorice el consentimiento How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide Judy Schmitt Florian Stahl 11 de octubre de 2012 Consultado el 3 de enero de 2013 How Smart Businesses Can Avoid GDPR Penalties When Recording Calls www xewave io en ingles britanico Archivado desde el original el 14 de abril de 2018 Consultado el 13 de abril de 2018 Directrices sobre oficiales de proteccion de datos Consultado el 27 de agosto de 2017 Data science under GDPR with pseudonymization in the data pipeline Publicado por Dativa 17 de abril de 2018 en ingles a b Article 83 GDPR Reforma de la proteccion de datos el Consejo adopta posicion en primera lectura Aprobacion de la posicion del Consejo en primera lectura Archivado el 25 de noviembre de 2017 en Wayback Machine Votewatch eu Procedimiento escrito 8 de abril de 2016 Consejo de la Union Europea Data Reforma de la proteccion El Parlamento aprueba nuevas reglas adecuadas para la era digital a b EU Official Journal issue L 119 The Digital Single Market on europa eu Gooch Peter 2018 A new era for privacy GDPR six months on https www2 deloitte com content dam Deloitte uk Documents risk deloitte uk risk gdpr six months on pdf en ingles Deloitte UK Consultado el 15 de noviembre de 2021 What Smart Business Can Do to Avoid GDPR Penalties When Recording Calls en ingles 14 de abril de 2018 Consultado el 15 de noviembre de 2021 BabelCEO Chris 11 de julio de 2017 The High Costs of GDPR Compliance Dark Reading en ingles Consultado el 15 de noviembre de 2021 Preparing for New Privacy Regimes Privacy Professionals Views on the General Data Protection Regulation and Privacy Shield https f datasrvr com fr1 416 76165 IAPP GDPR and Privacy Shield Survey Report pdf en ingles bakermckenzie com 04 05 2016 Consultado el 15 de noviembre de 2021 How Europe s breakthrough privacy law takes on Facebook and Google the Guardian en ingles 19 de abril de 2018 Consultado el 15 de noviembre de 2021 Europe s new privacy rules are no silver bullet POLITICO en ingles estadounidense 22 de abril de 2018 Consultado el 15 de noviembre de 2021 Lack of GDPR knowledge is a danger and an opportunity MicroscopeUK en ingles Consultado el 15 de noviembre de 2021 Jeong Sarah 22 de mayo de 2018 No one s ready for GDPR The Verge en ingles Consultado el 15 de noviembre de 2021 Edwards Elaine New rules on data protection pose compliance issues for firms The Irish Times en ingles Consultado el 15 de noviembre de 2021 Looking to comply with GDPR Here s a primer on anonymization and pseudonymization Consultado el 15 de noviembre de 2021 Gorey Colm 23 de noviembre de 2017 Are financial institutions ready for blockchain and GDPR Silicon Republic en ingles Consultado el 15 de noviembre de 2021 AI watchdog needed to regulate automated decision making say experts the Guardian en ingles 27 de enero de 2017 Consultado el 15 de noviembre de 2021 EU s Right to Explanation A Harmful Restriction on Artificial Intelligence www techzone360 com en ingles Consultado el 15 de noviembre de 2021 Wachter Sandra Mittelstadt Brent Floridi Luciano 28 de diciembre de 2016 Why a Right to Explanation of Automated Decision Making Does Not Exist in the General Data Protection Regulation en ingles ID 2903469 Social Science Research Network Consultado el 15 de noviembre de 2021 Edwards Lilian Veale Michael 23 de mayo de 2017 Slave to the Algorithm Why a Right to an Explanation Is Probably Not the Remedy You Are Looking For en ingles ID 2972855 Social Science Research Network Consultado el 15 de noviembre de 2021 Fimin Michael Council Post Five Benefits GDPR Compliance Will Bring To Your Business Forbes en ingles Consultado el 15 de noviembre de 2021 Butterworth Trevor 26 de marzo de 2018 Europe s tough new digital privacy law should be a model for US policymakers Vox en ingles Consultado el 15 de noviembre de 2021 Jaffe Justin What the GDPR means for Facebook Google and you CNET en ingles Consultado el 15 de noviembre de 2021 Schulze Elizabeth 1 de abril de 2019 Mark Zuckerberg says he wants stricter European style privacy laws but some experts are questioning his motives CNBC en ingles Consultado el 15 de noviembre de 2021 Tiku Nitasha How Europe s New Privacy Law Will Change the Web and More Wired en ingles estadounidense ISSN 1059 1028 Consultado el 15 de noviembre de 2021 Analysis Today a new E U law transforms privacy rights for everyone Without Edward Snowden it might never have happened Washington Post en ingles estadounidense ISSN 0190 8286 Consultado el 15 de noviembre de 2021 A radical proposal to keep your personal data safe Richard Stallman the Guardian en ingles 3 de abril de 2018 Consultado el 15 de noviembre de 2021 Enlaces externos EditarAgencia Espanola de Proteccion de Datos RGPD DPA GDPR y la gestion de logs en el SIEM Datos Q1172506 Multimedia General Data Protection Regulation Obtenido de https es wikipedia org w index php title Reglamento General de Proteccion de Datos amp oldid 143980306, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos