GDPR
B C
Created on November 26, 2024
Over 30 million people build interactive content in Genially.
Check out what others have designed:
Transcript
📄
Bianca Esmeralda Cardona Rivera
CiberseguridadGDPR
Implicaciones Legales
GDPR
Reglamento por el que el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea tienen la intención de reforzar y unificar la protección de datos para todos los individuos dentro de la Unión Europea (UE).
Reglamento General de Protección de Datos
A continuacion presento un mapa mental con el objetivo y mas características del GDPR
Da control a los ciudadanos y residentes sobre sus datos personales y unifica la regulación dentro de la UE
Contro-ladores
Procesa-dores
Identifi-cadores online
Direcciones IP
Pseudo-nimos
Pseudo-nimos
Pseudo-nimos
Informa-cion
- economica
- cultural
- salud mental
Legalidad, Equidad y Transparencia
Clasificación de los Datos
Sujetos Obligados
Consenti-miento
Derechos
Infracciones, Sanciones y Autoridades
Principios Rectores
GDPR
Limitación de la Finalidad
Minimiza-cion de datos
Precision
Limitación del Almace- namiento
Rendición de Cuentas
Integridad y Confide-ncialidad
Decisiones Automatizadas y Elaboración de Perfiles
Derecho de Supresión
Rectificación y Derecho de Oposición
De Portabili-dad
De Acceso
Expreso
Tacito
Multas
Sanciones
Autori-dades
Para cumplir con el GDPR, es esencial entender qué tipos de datos personales se recopilan, cómo se procesan y quién está involucrado en cada fase del procesamiento. Por ejemplo, una empresa de TI podría actuar como *procesador de datos* y otra organización, como *controlador*, si su objetivo es obtener ganancias. Los procesadores tienen una responsabilidad mayor en caso de violaciones de datos bajo el GDPR en comparación con la antigua Ley de Protección de Datos.
Como empresa, ¿qué se debe cuidar para cumplir con este reglamento?
Caso de estudio
1. Conocimiento de los datos personales
Caso de estudio
La ignorancia no exime de responsabilidad, por lo que es crucial entender el marco del GDPR. Se recomienda contratar un técnico especializado en protección de datos para adaptar las regulaciones al negocio. Cada organización tiene un enfoque único, por lo que el proceso de cumplimiento será diferente según el caso.
2. Conocimiento del reglamento
Es fundamental llevar un registro de los procesos de datos personales. Cada país cuenta con una Autoridad de Protección de Datos (DPA), que será responsable de hacer cumplir el GDPR. En caso de una violación de datos, la empresa debe demostrar su progreso hacia el cumplimiento mediante este registro.
3. Registro de datos
Caso de estudio
Es necesario entender qué datos deben protegerse y cómo se están gestionando. Esto incluye identificar quién es responsable de la recopilación y el procesamiento de los datos personales.
4. Clasificación de datos
Las empresas deben preguntarse si realmente necesitan ciertos datos personales y cuál es su justificación. Estos datos suelen ser objetivos de ataques, por lo que se debe garantizar su protección mediante medidas como encriptación, tokenización o seudonimización.
5. Evaluación de impacto en la privacidad
Es crucial identificar y documentar riesgos potenciales, especialmente aquellos relacionados con el almacenamiento y procesamiento de datos en la nube. Las empresas deben proteger los datos desde su recolección hasta su eliminación, asegurándose de que los datos innecesarios sean destruidos de manera segura.
Caso de estudio
6. Evaluación y documentación de riesgos
El proceso de cumplimiento debe ser revisado y actualizado regularmente. Las empresas deben identificar áreas de mejora, realizar modificaciones necesarias y repetir los pasos cuando sea necesario para seguir cumpliendo con el GDPR.
7. Revisión continua
BIBLIOGRAFIA
- Noonan, L. (2023, 7 marzo). 7 Principios del GDPR: Buenas prácticas para la protección de datos. MetaCompliance. https://www.metacompliance.com/es/blog/governance-risk-compliance-grc/7-gdpr-principles
- Protección de Datos conforme al reglamento RGPD - Your Europe. (2022, 7 junio). Your Europe. https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_es.htm
- González, A. (2021, 14 septiembre). Consentimiento RGPD: Expreso y tácito. Ayuda Ley Protección Datos. https://ayudaleyprotecciondatos.es/2020/11/05/consentimiento-rgpd-expreso-tacito/
GRACIAS
Derecho de Rectificación: Los titulares pueden solicitar que se corrijan o completen sus datos si son incorrectos, incompletos o inexactos.
- Las modificaciones deben hacerse sin demora.
- Se debe notificar a los destinatarios con quienes se hayan compartido datos incorrectos.
- Basado en interés legítimo o interés público: La empresa debe cesar el tratamiento, a menos que pueda demostrar que su interés prevalece sobre el del titular.
- Para fines de marketing directo: El tratamiento debe cesar automáticamente al recibir la solicitud del interesado.
Excepciones:
- Protección de la libertad de expresión e información.
- Cumplimiento de obligaciones legales.
- Razones de interés público (salud pública, investigación científica o histórica).
- Para ejercer o defender acciones legales.
Permite solicitar la eliminación de datos personales en ciertas condiciones:
- Cuando los datos ya no sean necesarios para la finalidad original.
- Si el interesado retira su consentimiento y no hay otra base legal para el tratamiento.
- Si los datos se procesaron ilegalmente
- Ejemplo: Si se obtienen datos para una compra, no deben usarse para publicidad sin consentimiento.
Los datos personales solo deben ser recopilados y utilizados para propósitos específicos, explícitos y legítimos, notificados previamente al titular.
Indica cómo y por qué se procesan los datos personales (cualquier organización, desde una empresa con fines de lucro hasta una organización benéfica o un gobierno)
- Ejemplo: Actualizar una dirección incorrecta en una base de clientes.
Se deben mantener los datos actualizados y corregir o eliminar información inexacta sin demora.
Ejemplo: Borrar registros de clientes inactivos después de un período establecido.
Los datos no deben conservarse más tiempo del necesario para los fines definidos. Se deben establecer políticas claras de retención y eliminación segura.
- Ejemplo: Si se obtienen datos para una compra, no deben usarse para publicidad sin consentimiento.
Los datos personales solo deben ser recopilados y utilizados para propósitos específicos, explícitos y legítimos, notificados previamente al titular.
- • Ejemplo: Si solo se requiere nombre y dirección, no pedir información adicional innecesaria como fecha de nacimiento.
Recoger únicamente los datos necesarios para cumplir con el objetivo definido.
Es la parte que realiza el procesamiento real de los datos (podría ser una empresa de TI que realice el procesamiento de datos real.)
• Políticas documentadas. • Medidas técnicas y organizativas verificables. • Disponibilidad de pruebas de cumplimiento en auditorías o inspecciones.
Las organizaciones deben demostrar el cumplimiento del GDPR mediante:
- Basarse en fundamentos legales válidos (consentimiento, necesidad contractual, interés legítimo, entre otros).
- Ser transparente para los titulares mediante políticas claras que expliquen cómo y por qué se usan sus datos.
- Cumplir con normas legales, respetando los derechos de los individuos.
El tratamiento de datos debe:
Excepciones:
- Si el interesado ha dado su consentimiento explícito.
- Si está permitido por la ley.
- Informar al interesado sobre la decisión automatizada.
- Permitir la revisión de la decisión por una persona.
- Facilitar que el interesado pueda impugnarla.
Los interesados tienen derecho a no ser objeto de decisiones basadas únicamente en un tratamiento automatizado, incluida la elaboración de perfiles.
• Ejemplo: Implementar protocolos de seguridad y capacitar al personal para prevenir brechas de datos.
Proteger los datos personales contra accesos no autorizados, pérdidas, daños o destrucción mediante medidas técnicas (cifrado, backups) y organizativas (formación, simulaciones de seguridad).
Derecho de Acceso
Los individuos tienen derecho a obtener confirmación sobre si se están procesando sus datos personales y acceder a ellos gratuitamente. Incluye: o Información sobre el tratamiento: finalidad, categorías de datos, destinatarios, etc. o Una copia de los datos tratados en un formato accesible.
Derecho a la Portabilidad de los Datos
Permite a los interesados recuperar sus datos personales o transferirlos directamente a otra organización cuando el tratamiento se base en el consentimiento o en un contrato. Requisitos:
- Los datos deben proporcionarse en un formato estándar, de uso común y lectura automática.
El consentimiento es uno de los principios de la protección de datos recogidos en el RGPD, que nos dice que debe ser una comunicación libre del interesado, en la que acepta el tratamiento de sus datos para un fin concreto, dentro de unas condiciones determinadas y de las que ha sido debidamente informado con carácter previo a dar su consentimiento.Además, el consentimiento debe ser libre, específico, informado e inequívoco.Desde mayo de 2018, el único consentimiento válido es el consentimiento expreso.
Según el RGPD el consentimiento expreso «exige que se manifieste de forma clara e inequívoca por parte del interesado que permite o consiente el tratamiento o la cesión de los que se le informa, a través de la declaración de su voluntad, que podrá realizarse por escrito, de forma verbal, a través de notificación telemática o por cualquier otro medio».Este consentimiento existe cuando el usuario debe decir explícitamente que sí (ejemplo: «si deseas que te envíe información comercial, marca esta casilla») o que no, pero en cualquier caso debe realizar una acción. Por lo tanto, en el RGPD el consentimiento tácito ya no es suficiente.
Según la LOPD el consentimiento tácito se deduce la inacción o del silencio del interesado, de manera que se considera consentimiento tácito cuando, después de haber recibido la información correspondiente, el usuario no dice que no.Actualmente no se admite el consentimiento tácito como válido, ni por el RGPD ni por la actual LOPDGDD, de manera que no puede haber ninguna duda entre el consentimiento expreso o tácito, puesto que el consentimiento debe ser siempre expreso (salvo excepciones).
Las infracciones pueden implicar multas significativas dependiendo de la gravedad, que pueden llegar hasta el 4% de la facturación global anual o 20 millones de euros, lo que sea mayor.
Las sanciones se aplican por incumplir principios clave como el consentimiento, la transparencia, la protección de datos, y la gestión de derechos de los usuarios.
El contenido visual es un lenguaje transversal, universal, como la música. Somos capaces de entender imágenes de hace millones de años, incluso de otras culturas. No nos gusta aburrir. No queremos ser repetitivos. Comunicar como siempre aburre y no engancha. Lo hacemos diferente. Hacemos sabotaje al aburrimiento. Creamos lo que al cerebro le gusta consumir porque le estimula.
Enlace
Escribe un título genial aquí
Las autoridades de protección de datos de cada país de la UE son responsables de supervisar la aplicación del reglamento y pueden investigar y sancionar las infracciones.