{"id":2895,"date":"2017-09-12T16:13:11","date_gmt":"2017-09-12T14:13:11","guid":{"rendered":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/?p=2895"},"modified":"2023-12-26T17:42:08","modified_gmt":"2023-12-26T16:42:08","slug":"gdpr-reglamento-general-de-proteccion-de-datos-de-la-union-europea","status":"publish","type":"post","link":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/gdpr-reglamento-general-de-proteccion-de-datos-de-la-union-europea\/","title":{"rendered":"C\u00f3mo funciona GDPR: el Reglamento General de Protecci\u00f3n de Datos de la Uni\u00f3n Europea"},"content":{"rendered":"<p><strong>25 de mayo de 2018:<\/strong> esta es la fecha que tienen marcada en rojo muchas empresas a nivel mundial porque es el l\u00edmite establecido para poder adaptarse al nuevo <strong>Reglamento General de Protecci\u00f3n de Datos de la Uni\u00f3n Europea<\/strong>. Esta normativa, mundialmente conocida por las siglas <strong>GDPR (General Data Protection Regulation<\/strong>) y por <strong>RGPD<\/strong> en Espa\u00f1a, est\u00e1 obligando a modificar ciertos aspectos en materia de seguridad de las empresas.<\/p>\n<p><a class=\"lightbox\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/europe-2021308_960_720.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"alignright wp-image-2909\" src=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-content\/uploads\/2023\/12\/europe-2021308_960_720.jpg\" alt=\"gdpr\" width=\"243\" height=\"162\"><\/a>El GDPR est\u00e1 dise\u00f1ado para otorgar <strong>mayor control a las personas<\/strong> sobre sus datos personales y establecer unas reglas comunes en toda Europa. Las empresas fuera de la UE estar\u00e1n sujetas a esta normativa cuando lleven a cabo actividades de tratamiento de datos personales de individuos que residan en la UE.<\/p>\n<p>El 50% de las compa\u00f1\u00edas internacionales afirma que ser\u00e1 complejo aplicar estas reglas, a menos que implementen cambios significativos en su forma de trabajar, una situaci\u00f3n que puede conducir al nombramiento de un <strong>Delegado de Protecci\u00f3n de Datos (DPO) <\/strong>en muchas de ellas.<\/p>\n<p>El incumplimiento de este nuevo reglamento acarrea un importante<strong> incremento de las sanciones<\/strong> que podr\u00e1n alcanzar hasta los <strong>diez millones de euros<\/strong>, o un <strong>dos por ciento de la facturaci\u00f3n global<\/strong> anual del ejercicio financiero anterior, en caso de infracciones en materia de medidas t\u00e9cnicas y organizativas para la protecci\u00f3n de datos, mantenimiento de registros, notificaci\u00f3n de violaciones de seguridad de los datos personales y obligaciones de evaluaci\u00f3n de impacto relativa a la protecci\u00f3n de los mismos.<\/p>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">\u00cdndice de contenidos <\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Alternar tabla de contenidos\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #3acdef;color:#3acdef\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #3acdef;color:#3acdef\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/gdpr-reglamento-general-de-proteccion-de-datos-de-la-union-europea\/#%c2%bfque-legislacion-aplica-a-dia-de-hoy-en-espana\" >\u00bfQu\u00e9 legislaci\u00f3n aplica a d\u00eda de hoy en Espa\u00f1a?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/gdpr-reglamento-general-de-proteccion-de-datos-de-la-union-europea\/#%c2%bfque-medidas-de-seguridad-debemos-aplicar\" >\u00bfQu\u00e9 medidas de seguridad debemos aplicar?<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/gdpr-reglamento-general-de-proteccion-de-datos-de-la-union-europea\/#%c2%bfque-pasos-podemos-ir-dando-para-adecuarnos\" >\u00bfQu\u00e9 pasos podemos ir dando para adecuarnos?<\/a><\/li><\/ul><\/nav><\/div>\n<h3><span class=\"ez-toc-section\" id=\"%c2%bfque-legislacion-aplica-a-dia-de-hoy-en-espana\"><\/span>\u00bfQu\u00e9 legislaci\u00f3n aplica a d\u00eda de hoy en Espa\u00f1a?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Todas las organizaciones espa\u00f1olas que traten o almacenen datos de car\u00e1cter personal deben cumplir hasta el d\u00eda <strong>25 de mayo de 2018<\/strong> con la legislaci\u00f3n vigente en materia de protecci\u00f3n de datos:<\/p>\n<ul>\n<li><strong>Ley Org\u00e1nica 15\/1999<\/strong>, de 13 de diciembre, de Protecci\u00f3n de Datos de Car\u00e1cter Personal<\/li>\n<li><strong>Real Decreto 1720\/2007<\/strong>, de 21 de diciembre, Reglamento de desarrollo de la Ley Org\u00e1nica 15\/1999, de 13 de diciembre, de Protecci\u00f3n de Datos de car\u00e1cter personal (RLOPD).<\/li>\n<\/ul>\n<p>Por otro lado, disponemos del <strong>Reglamento (UE) 2016\/679 del Parlamento Europeo<\/strong> y del Consejo del 27 de abril de 2016 relativo a la protecci\u00f3n de datos personales de las personas f\u00edsicas y a la libre circulaci\u00f3n de estos (Reglamento General de Protecci\u00f3n de Datos).<\/p>\n<p>Este reglamento recoge las directrices del Parlamento Europeo a las cuales deber\u00e1n adecuarse las normativas en materia de protecci\u00f3n de datos de cada uno de los pa\u00edses miembros de la Uni\u00f3n Europea.<\/p>\n<p>Por ello, en Espa\u00f1a se present\u00f3 en junio de este a\u00f1o un <strong>anteproyecto de Ley<\/strong> para adecuar dicha legislaci\u00f3n vigente al nuevo reglamento europeo. Aunque a\u00fan est\u00e1 pendiente de ser aprobado, establece las l\u00edneas a seguir en materia de datos de car\u00e1cter personal.<\/p>\n<h3><span class=\"ez-toc-section\" id=\"%c2%bfque-medidas-de-seguridad-debemos-aplicar\"><\/span>\u00bfQu\u00e9 medidas de seguridad debemos aplicar?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>A diferencia de la filosof\u00eda de la legislaci\u00f3n espa\u00f1ola en la cual se establec\u00eda un listado de medidas dirigidas a las organizaciones dependiendo del tipo de datos que manejasen, la nueva legislaci\u00f3n establece una forma de actuar totalmente diferente.<\/p>\n<p>Cada organizaci\u00f3n es distinta y est\u00e1 afectada por <strong>diferentes amenazas.<\/strong> Por ejemplo, un hospital no presenta las mismas amenazas y el mismo nivel de riesgo que una peque\u00f1a consulta m\u00e9dica. Sin embargo, con el esp\u00edritu de la anterior legislaci\u00f3n, deb\u00edan aplicar el mismo conjunto de medidas de seguridad al tener ambos datos de salud.<\/p>\n<p>Por ello, no se establece un cat\u00e1logo prefijado de medidas a aplicar, sino que las organizaciones deber\u00e1n <strong>evaluar los riesgos<\/strong> a los cuales est\u00e1n sometidas las actividades de tratamiento de datos, y decidir qu\u00e9 <strong>medidas<\/strong> van a aplicar para garantizar su seguridad. Es decir, cuando vayamos a realizar un cambio en el tratamiento de los datos en cualquiera de sus \u00e1mbitos (t\u00e9cnico, organizativo\u2026) habr\u00e1 que pensar en las <strong>implicaciones<\/strong> en materia de seguridad y qu\u00e9 medidas vamos a aplicar para asegurar su correcta protecci\u00f3n.<\/p>\n<p>\u00danicamente la legislaci\u00f3n espa\u00f1ola, plasm\u00e1ndolo en el anteproyecto de ley, indica que las organizaciones de <strong>\u00e1mbito p\u00fablico<\/strong> deber\u00e1n cumplir con las medidas indicadas en el <strong>Esquema Nacional de Seguridad.<\/strong> El resto de las organizaciones, adem\u00e1s de cumplir con sus normativas sectoriales, puede elegir las medidas de seguridad que desee, aunque es recomendable basarse en est\u00e1ndares de seguridad reconocidos como la <strong>ISO 27001<\/strong>.<\/p>\n<p>En l\u00edneas generales, las medidas para cumplir con el RGPD deben incluir:<\/p>\n<ul>\n<li><strong>Seudonimizaci\u00f3n y\/o cifrado<\/strong> de datos personales<\/li>\n<li>Capacidad de garantizar la <strong>confidencialidad<\/strong>, la <strong>integridad<\/strong>, la <strong>disponibilidad<\/strong> y la <strong>resiliencia<\/strong> de los sistemas de forma continua<\/li>\n<li>Capacidad de <strong>restaurar la disponibilidad<\/strong> y el acceso a los datos de forma puntual tras un incidente t\u00e9cnico o f\u00edsico<\/li>\n<li>Introducci\u00f3n de un <strong>proceso<\/strong> para realizar pruebas y evaluar la efectividad de estos sistemas peri\u00f3dicamente<\/li>\n<\/ul>\n<h3><span class=\"ez-toc-section\" id=\"%c2%bfque-pasos-podemos-ir-dando-para-adecuarnos\"><\/span>\u00bfQu\u00e9 pasos podemos ir dando para adecuarnos?<span class=\"ez-toc-section-end\"><\/span><\/h3>\n<ul>\n<li>Realizar un <strong>registro de actividades<\/strong> de tratamiento de datos para que nos sirva de base a la hora de saber de qu\u00e9 tipo de informaci\u00f3n disponemos<\/li>\n<li>Nombramiento de un <strong>Delegado de Protecci\u00f3n de Datos (DPO)<\/strong> en el caso que sea necesario<\/li>\n<li>Realizaci\u00f3n de un <strong>an\u00e1lisis de riesgos<\/strong> para identificar las amenazas a las que est\u00e1n sometidos los datos de car\u00e1cter personal.<\/li>\n<li>Selecci\u00f3n de<strong> medidas de seguridad<\/strong> a aplicar a los datos y los sistemas en base a los riesgos identificados<\/li>\n<li><strong>Modificaci\u00f3n de cl\u00e1usulas<\/strong> en los formularios de recogida de datos, adapt\u00e1ndolos para obtener el <strong>consentimiento<\/strong> expl\u00edcito para las diferentes finalidades. Este aspecto es clave en el nuevo reglamento europeo que obliga a requerir el consentimiento de la persona cuyos datos son tratados (el consentimiento, para esta la ley, se define como \u201ctoda manifestaci\u00f3n de voluntad libre espec\u00edfica, informada e inequ\u00edvoca por la que el interesado acepta, ya sea mediante una declaraci\u00f3n o una clara acci\u00f3n afirmativa, el tratamiento de sus datos personales\u201d).<\/li>\n<\/ul>\n<p>La <strong>Agencia Espa\u00f1ola de Protecci\u00f3n de Datos<\/strong> est\u00e1 publicando gu\u00edas para ayudar a las empresas a realizar las tareas de adecuaci\u00f3n y dichas gu\u00edas son accesibles desde su p\u00e1gina web:<br>\n<a href=\"http:\/\/www.agpd.es\/portalwebAGPD\/canaldocumentacion\/publicaciones\/index-ides-idphp.php\" target=\"_blank\" rel=\"noopener noreferrer\">Gu\u00edas de la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos<\/a><\/p>\n<p>Entre esta documentaci\u00f3n, se encuentra la <a href=\"http:\/\/www.agpd.es\/portalwebAGPD\/temas\/reglamento\/common\/pdf\/guia_rgpd.pdf\" target=\"_blank\" rel=\"noopener noreferrer\">Gu\u00eda del Reglamento General de Protecci\u00f3n de Datos para Responsables de Tratamiento<\/a>&nbsp;publicada por la Agencia Espa\u00f1ola de Protecci\u00f3n de Datos el 26 de enero de 2017 y donde se incluye una <strong>lista de verificaci\u00f3n<\/strong> que pretende ayudar a las organizaciones a llevar a cabo una valoraci\u00f3n de su situaci\u00f3n frente a las principales obligaciones del GDPR.<\/p>\n<p>Independientemente de materiales como estos y debido a la complejidad de ciertas tareas, siempre es recomendable dejarse asesorar por profesionales en materia de seguridad y con experiencia en la implantaci\u00f3n del GPDR.<\/p>\n<p>Fuentes:<br>\n<a href=\"https:\/\/www.ibm.com\/analytics\/us\/en\/technology\/general-data-protection-regulation\/\" target=\"_blank\" rel=\"noopener noreferrer\">https:\/\/www.ibm.com\/analytics\/us\/en\/technology\/general-data-protection-regulation\/<\/a><\/p>\n\n\n<p>Art\u00edculo redactado por Miguel Ib\u00e1\u00f1ez <\/p>\n","protected":false},"excerpt":{"rendered":"<p>25 de mayo de 2018: esta es la fecha que tienen marcada en rojo muchas empresas a nivel mundial porque es el l\u00edmite establecido para poder adaptarse al nuevo Reglamento General de Protecci\u00f3n de Datos de la Uni\u00f3n Europea. Esta normativa, mundialmente conocida por las siglas GDPR (General Data Protection Regulation) y por RGPD en [&hellip;]<\/p>\n","protected":false},"author":92,"featured_media":9158,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"om_disable_all_campaigns":false,"_genesis_hide_title":false,"_genesis_hide_breadcrumbs":false,"_genesis_hide_singular_image":false,"_genesis_hide_footer_widgets":false,"_genesis_custom_body_class":"","_genesis_custom_post_class":"","_genesis_layout":"","footnotes":""},"categories":[336],"tags":[168,195],"class_list":{"0":"post-2895","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-seguridad","8":"tag-ciberseguridad","9":"tag-gdpr","10":"entry"},"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/posts\/2895","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/users\/92"}],"replies":[{"embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/comments?post=2895"}],"version-history":[{"count":0,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/posts\/2895\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/media\/9158"}],"wp:attachment":[{"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/media?parent=2895"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/categories?post=2895"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.integratecnologia.es\/la-innovacion-necesaria\/wp-json\/wp\/v2\/tags?post=2895"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}