Reglamento General de Proteccion de Datos

Guia de implementacion de cumplimiento del RGPD

El Reglamento General de Proteccion de Datos de la UE es la ley de privacidad de datos mas estricta del mundo. Ya sea que trate datos de residentes de la UE desde cualquier parte del mundo, le ayudamos a implementar derechos de los interesados, EIPD, notificacion de violaciones y responsabilidad proactiva con procesos claros y evidencia.

Iniciar evaluacion RGPDReservar llamada de cumplimiento

Que es el RGPD?

El Reglamento General de Proteccion de Datos (UE) 2016/679 es una ley integral de proteccion de datos que entro en vigor el 25 de mayo de 2018. El RGPD se aplica a cualquier organizacion que trate datos personales de personas en la Union Europea, independientemente de donde se encuentre la organizacion.

Por que es importante: El RGPD tiene alcance extraterritorial y sanciones ejecutables de hasta 20 millones de euros o el 4% de la facturacion anual global. Establece el estandar global de privacidad de datos e influye en las leyes de privacidad en todo el mundo.

Ejecutable

Sanciones significativas por infracciones

Extraterritorial

Se aplica globalmente para el tratamiento de datos de la UE

Complementa el cumplimiento de la Ley de IA de la UE y se alinea con la gobernanza de datos de ISO 42001.

Quien necesita cumplir con el RGPD?

Cualquier organizacion que trate datos personales de la UE

Se aplica independientemente de la ubicacion si trata datos de residentes de la UE

Empresas de IA que tratan datos de usuarios

Sistemas de IA que usan datos personales para entrenamiento o toma de decisiones

Proveedores de servicios en la nube

Proveedores SaaS, PaaS, IaaS que almacenan o tratan datos de la UE

Empresas de marketing y AdTech

Organizaciones que usan datos personales para segmentacion o perfilado

Sistemas sanitarios y de RRHH

Tratamiento de categorias especiales de datos personales sensibles

Comercio electronico y plataformas en linea

Recogida de datos de clientes para transacciones o servicios

Como VerifyWise apoya el cumplimiento del RGPD

VerifyWise proporciona un preset de cumplimiento del RGPD que combina obligaciones de proteccion de datos y antidiscriminacion en un unico flujo de trabajo estructurado

Requisito del RGPD
Cobertura de VerifyWise
Evaluacion de Impacto en la Proteccion de Datos
Elemento de lista de verificacion estructurado para la realizacion y documentacion de EIPD
Justificacion de decisiones automatizadas
Elemento de lista de verificacion para documentar la base legal y la necesidad segun el Articulo 22
Evaluacion de caracteristicas protegidas
Categorias preconfiguradas para edad, discapacidad, genero, raza, religion, sexo y orientacion sexual
Procedimientos de revision humana
Elemento de lista de verificacion dedicado para documentar la supervision y los procesos de revision humana

Capacidades adicionales de cumplimiento

Inventario y registros de tratamiento de datos

Mantenga registros completos de todas las actividades de tratamiento (Articulo 30). Documente la base legal, las categorias de datos, los periodos de retencion y las transferencias a terceros para cada operacion de tratamiento. VerifyWise genera registros conformes con el RGPD que satisfacen las auditorias de las autoridades de control.

Aborda: Articulo 30: Registros de actividades de tratamiento

Evaluaciones de Impacto en la Proteccion de Datos (EIPD)

Realice EIPD estructuradas para actividades de tratamiento de alto riesgo mediante flujos de trabajo guiados (Articulo 35). Evalue la necesidad, proporcionalidad, riesgos para los interesados y medidas de mitigacion. Realice un seguimiento automatico del estado de las EIPD y los requisitos de consulta previa.

Aborda: Articulo 35: Evaluacion de Impacto en la Proteccion de Datos

Gestion de derechos de los interesados

Gestione los ocho derechos de los interesados con flujos de trabajo estructurados y pistas de auditoria. Haga seguimiento de solicitudes de acceso, rectificacion, supresion, limitacion, portabilidad y oposicion. Genere respuestas conformes dentro del plazo de 30 dias.

Aborda: Articulos 15-22: Derechos de los interesados

Notificacion de violaciones y respuesta a incidentes

Gestione las violaciones de datos con flujos de trabajo automatizados para la notificacion a la autoridad de control en 72 horas (Articulo 33) y la comunicacion al interesado (Articulo 34). Documente la evaluacion de la violacion, la evaluacion de impacto y las acciones de remediacion.

Aborda: Articulos 33-34: Requisitos de notificacion de violaciones

Gestion del consentimiento y seguimiento de la base legal

Documente la base legal para cada actividad de tratamiento (Articulo 6). Para el tratamiento basado en consentimiento, mantenga prueba de consentimiento libre, especifico, informado e inequivoco. Haga seguimiento de solicitudes de retirada y cese de tratamiento.

Aborda: Articulo 6: Licitud del tratamiento, Articulo 7: Consentimiento

Gobernanza de encargados del tratamiento y transferencias

Gestione los contratos con encargados del tratamiento con las clausulas requeridas por el RGPD (Articulo 28). Haga seguimiento de transferencias internacionales usando Clausulas Contractuales Tipo, decisiones de adecuacion o excepciones (Capitulo V). Mantenga evaluaciones de impacto de transferencias para paises sin nivel adecuado.

Aborda: Articulo 28: Requisitos del encargado, Articulos 44-50: Transferencias

Todas las actividades de cumplimiento del RGPD se rastrean con marcas de tiempo, propietarios asignados y flujos de trabajo de aprobacion. Esta pista de auditoria demuestra responsabilidad proactiva y cumplimiento sistematico en lugar de documentacion creada a posteriori.

Cobertura completa de los principios del RGPD

VerifyWise proporciona herramientas dedicadas para todos los principios y requisitos del RGPD

8

Principios fundamentales del RGPD

21

Articulos relacionados con herramientas dedicadas

100%

Cobertura en todos los principios

Licitud, lealtad, transparencia5/5

Base legal, tratamiento leal, comunicacion transparente

Limitacion de la finalidad3/3

Fines especificos, uso compatible, documentacion

Minimizacion de datos2/2

Recopilacion adecuada, pertinente y limitada

Exactitud2/2

Datos exactos, actualizaciones oportunas, supresion de datos inexactos

Limitacion del plazo de conservacion2/2

Periodos de retencion, criterios de archivado, eliminacion

Integridad y confidencialidad3/3

Medidas de seguridad, proteccion contra acceso no autorizado

Responsabilidad proactiva4/4

Demostrar cumplimiento, registros de tratamiento, gobernanza

Construido para el cumplimiento del RGPD desde cero

Automatizacion de registros del Articulo 30

Genere registros conformes de actividades de tratamiento

Flujos de trabajo de derechos de los interesados

Gestione los 8 derechos con seguimiento de plazo de 30 dias

Notificacion de violaciones en 72 horas

Flujos de trabajo automatizados para cumplimiento de Articulos 33-34

Mapeo multi-marco

Correspondencia con la Ley de IA de la UE y requisitos de ISO 42001

Ocho principios del RGPD

Principios fundamentales que rigen todo el tratamiento de datos personales bajo el RGPD

Licitud, lealtad y transparencia

Tratar los datos personales de manera licita, leal y transparente. Identificar la base legal y comunicar el tratamiento a los interesados de forma clara.

  • Base legal documentada para cada actividad de tratamiento
  • Tratamiento leal sin engano ni coaccion
  • Avisos de privacidad transparentes en lenguaje claro
  • Informacion accesible sobre el tratamiento
  • Comunicacion de derechos de los interesados

Limitacion de la finalidad

Recoger datos para fines determinados, explicitos y legitimos. No tratar para fines incompatibles sin nuevo consentimiento.

  • Fines especificados y documentados antes de la recogida
  • Comunicacion explicita de los fines
  • Fines legitimos alineados con las expectativas
  • Evaluacion de compatibilidad para nuevos usos
  • Restricciones de tratamiento ulterior

Minimizacion de datos

Recoger solo datos adecuados, pertinentes y limitados a lo necesario para los fines declarados.

  • Evaluacion de necesidad para cada elemento de datos
  • Datos adecuados para alcanzar los fines
  • Datos pertinentes sin recogida excesiva
  • Revision periodica de los datos recogidos
  • Minimizacion por diseno

Exactitud

Mantener los datos personales exactos y actualizados. Suprimir o rectificar los datos inexactos sin demora.

  • Revisiones periodicas de exactitud de datos
  • Actualizaciones oportunas cuando se identifiquen inexactitudes
  • Supresion de datos inexactos
  • Derechos de rectificacion del interesado
  • Procedimientos de verificacion de exactitud

Limitacion del plazo de conservacion

Conservar los datos personales solo el tiempo necesario para los fines especificados. Definir periodos de retencion y procedimientos de eliminacion.

  • Periodos de retencion documentados por categoria de datos
  • Retencion justificada basada en el fin
  • Eliminacion o anonimizacion tras la retencion
  • Criterios de archivado para retencion prolongada
  • Revisiones periodicas de eliminacion

Integridad y confidencialidad

Tratar los datos de forma segura para protegerlos contra acceso no autorizado, perdida, destruccion o dano. Implementar medidas tecnicas y organizativas apropiadas.

  • Medidas de seguridad apropiadas al riesgo
  • Proteccion contra acceso no autorizado
  • Prevencion de perdida o dano de datos
  • Cifrado y seudonimizacion cuando sea apropiado
  • Pruebas y evaluacion periodica de seguridad

Responsabilidad proactiva

Demostrar el cumplimiento de todos los principios del RGPD. Mantener documentacion, implementar gobernanza y asegurar el cumplimiento continuo.

  • Registros de actividades de tratamiento
  • Politicas y procedimientos de proteccion de datos
  • Formacion y concienciacion del personal
  • EIPD para tratamientos de alto riesgo
  • Evidencia de medidas de cumplimiento

Privacidad por diseno y por defecto

Implementar la proteccion de datos desde el diseno del sistema. Tratar solo los datos necesarios por defecto. Integrar la privacidad en todas las operaciones de tratamiento.

  • Privacidad integrada en el diseno del sistema
  • Proteccion de datos como configuracion por defecto
  • Tratamiento minimo de datos por defecto
  • Tecnologias de mejora de la privacidad
  • Revisiones periodicas de privacidad

Ocho derechos de los interesados

El RGPD otorga a las personas derechos exhaustivos sobre sus datos personales

Derecho de acceso

Los interesados pueden solicitar confirmacion del tratamiento y obtener una copia de sus datos personales.

Articulo 15

Requisitos

  • Confirmar si se tratan datos
  • Proporcionar copia de los datos
  • Revelar fines del tratamiento
  • Respuesta en 30 dias

Derecho de rectificacion

Los interesados pueden solicitar la correccion de datos personales inexactos y la complecion de datos incompletos.

Articulo 16

Requisitos

  • Corregir datos inexactos con prontitud
  • Completar datos incompletos
  • Comunicar a los destinatarios
  • Respuesta en 30 dias

Derecho de supresion

Los interesados pueden solicitar la supresion de datos personales en circunstancias especificas (derecho al olvido).

Articulo 17

Requisitos

  • Suprimir cuando ya no sean necesarios
  • Consentimiento retirado
  • Tratamiento ilicito
  • Obligacion legal de supresion

Derecho a la limitacion

Los interesados pueden solicitar la limitacion del tratamiento en circunstancias especificas mientras se verifica la exactitud o la licitud.

Articulo 18

Requisitos

  • Limitar durante verificacion de exactitud
  • Limitar si tratamiento ilicito
  • Marcar datos limitados
  • Comunicar las limitaciones

Derecho a la portabilidad de datos

Los interesados pueden recibir sus datos en un formato estructurado y de lectura mecanica y transmitirlos a otro responsable.

Articulo 20

Requisitos

  • Proporcionar datos en formato de lectura mecanica
  • Permitir transmision directa
  • Aplicable al tratamiento automatizado
  • Basado en consentimiento o contrato

Derecho de oposicion

Los interesados pueden oponerse al tratamiento basado en intereses legitimos, marketing directo o fines de investigacion.

Articulo 21

Requisitos

  • Cesar tratamiento ante oposicion
  • Demostrar motivos legitimos imperiosos
  • Siempre cesar tratamiento de marketing
  • Informar sobre el derecho de oposicion

Derechos relativos a decisiones automatizadas

Los interesados tienen derechos respecto a decisiones unicamente automatizadas con efectos legales o significativos, incluida la elaboracion de perfiles.

Articulo 22

Requisitos

  • Derecho a no ser objeto de decisiones automatizadas
  • Proporcionar opcion de intervencion humana
  • Explicar la logica de decisiones automatizadas
  • Permitir expresar su punto de vista

Derecho a retirar el consentimiento

Los interesados pueden retirar el consentimiento en cualquier momento, y la retirada debe ser tan facil como dar el consentimiento.

Articulo 7(3)

Requisitos

  • Mecanismo facil de retirada
  • Instrucciones claras de retirada
  • Cesar tratamiento tras retirada
  • Informar sobre el derecho antes del consentimiento

Hoja de ruta de implementacion de 26 semanas

Un camino practico hacia el cumplimiento del RGPD con hitos claros

Fase 1Semanas 1-6

Fundamentos y analisis de brechas

  • Designar Delegado de Proteccion de Datos (si se requiere)
  • Realizar evaluacion de preparacion para el RGPD
  • Crear inventario de actividades de tratamiento
  • Identificar actividades de tratamiento de alto riesgo
  • Revisar avisos de privacidad existentes
Fase 2Semanas 7-14

Documentacion y politicas

  • Documentar base legal para todo el tratamiento
  • Actualizar avisos y politicas de privacidad
  • Crear Registros de Actividades de Tratamiento (Articulo 30)
  • Implementar procedimientos de derechos de los interesados
  • Desarrollar proceso y plantillas de EIPD
Fase 3Semanas 15-22

Medidas tecnicas y organizativas

  • Implementar medidas de seguridad apropiadas al riesgo
  • Desplegar privacidad por diseno en nuevos sistemas
  • Establecer procedimientos de notificacion de violaciones
  • Revisar acuerdos y contratos con encargados
  • Realizar EIPD para tratamientos de alto riesgo
Fase 4Semanas 23-26

Cumplimiento y monitorizacion continua

  • Formacion del personal sobre requisitos del RGPD
  • Probar procedimientos de derechos de los interesados
  • Implementar monitorizacion de cumplimiento continuo
  • Programar auditorias periodicas del RGPD
  • Establecer responsabilidad proactiva y gobernanza
Aplicacion y sanciones

Las sanciones del RGPD son significativas y se aplican

Las autoridades de control del RGPD aplican activamente las infracciones con multas administrativas que alcanzan cientos de millones de euros.

Infracciones de nivel inferior

Hasta 10 millones de euros o el 2% de la facturacion anual global

Ejemplos de infracciones:

  • Falta de mantenimiento de registros (Articulo 30)
  • Medidas de seguridad insuficientes (Articulo 32)
  • Incumplimiento de requisitos del encargado (Articulo 28)
  • Notificacion inadecuada de violacion a la autoridad de control (Articulo 33)

Infracciones de nivel superior

Hasta 20 millones de euros o el 4% de la facturacion anual global

Ejemplos de infracciones:

  • Tratamiento ilicito (Articulos 5, 6, 9)
  • Violacion de derechos de los interesados (Articulos 12-22)
  • Transferencias internacionales no autorizadas (Capitulo V)
  • Incumplimiento de ordenes de la autoridad de control (Articulo 58)

Acciones de aplicacion destacadas: Amazon (746M EUR), Meta/WhatsApp (225M EUR), Google Ireland (90M EUR), H&M (35M EUR). Las autoridades de control consideran la gravedad, duracion, intencionalidad, categorias de datos, numero de personas afectadas y cooperacion al determinar las multas.

Ver el seguimiento de aplicacion del Comite Europeo de Proteccion de Datos →
Iniciar evaluacion de cumplimiento del RGPD
Plantillas de politicas

Repositorio completo de politicas RGPD

Acceda a 37 plantillas de politicas de proteccion de datos listas para usar, alineadas con el RGPD, la Ley de IA de la UE y los requisitos de ISO 42001

Politicas basicas del RGPD

  • Politica de Proteccion de Datos
  • Plantillas de Aviso de Privacidad
  • Politica de Gestion de Consentimiento
  • Procedimientos de Derechos de los Interesados
  • Registros de Actividades de Tratamiento
  • Politica y Plantillas de EIPD
  • + 6 politicas mas

Seguridad y violaciones

  • Politica de Seguridad de Datos
  • Procedimientos de Notificacion de Violaciones
  • Plan de Respuesta a Incidentes
  • Politica de Retencion y Eliminacion de Datos
  • Politica de Control de Acceso
  • Estandares de Cifrado
  • + 5 politicas mas

Encargados y transferencias

  • Acuerdo de Tratamiento de Datos
  • Politica de Proveedores Terceros
  • Politica de Transferencias Internacionales
  • Clausulas Contractuales Tipo
  • Evaluacion de Impacto de Transferencia
  • Gestion de Encargados
  • + 4 politicas mas
Explorar todas las plantillas de politicas

Preguntas frecuentes

Preguntas comunes sobre la implementacion del cumplimiento del RGPD

El Reglamento General de Proteccion de Datos (UE) 2016/679 fue adoptado el 27 de abril de 2016 y se hizo aplicable el 25 de mayo de 2018. Las organizaciones tuvieron un periodo de transicion de dos anos para lograr el cumplimiento. Consulte el texto completo del reglamento para mas detalles.
Si, el RGPD tiene alcance extraterritorial. Se aplica a cualquier organizacion que trate datos personales de personas en la UE, independientemente de donde se encuentre la organizacion. Esto incluye ofrecer bienes o servicios a residentes de la UE o monitorizar su comportamiento. Empresas estadounidenses, asiaticas y cualquier organizacion global deben cumplir si tratan datos personales de la UE.
El RGPD impone dos niveles de multas administrativas. Las infracciones de nivel inferior pueden resultar en multas de hasta 10 millones de euros o el 2% de la facturacion anual global (la que sea mayor). Las infracciones de nivel superior pueden resultar en multas de hasta 20 millones de euros o el 4% de la facturacion anual global (la que sea mayor). Las autoridades de control consideran factores como la gravedad, duracion, intencionalidad y cooperacion al determinar las sanciones.
Un responsable del tratamiento determina los fines y medios del tratamiento de datos personales y tiene la responsabilidad principal de cumplimiento del RGPD. Un encargado del tratamiento trata datos personales por cuenta del responsable bajo contrato. Por ejemplo, una empresa SaaS que usa AWS es tipicamente el responsable, mientras que AWS actua como encargado. Ambos tienen obligaciones especificas bajo el RGPD, pero los responsables tienen una responsabilidad mas amplia.
El Articulo 37 requiere un DPD cuando: (1) el tratamiento lo realiza una autoridad publica, (2) las actividades principales implican un seguimiento regular y sistematico de interesados a gran escala, o (3) las actividades principales implican el tratamiento a gran escala de categorias especiales de datos. El Comite Europeo de Proteccion de Datos proporciona orientaciones detalladas sobre los requisitos del DPD.
El Articulo 6 define seis bases legales: (1) Consentimiento - libre, especifico, informado e inequivoco; (2) Contrato - necesario para la ejecucion de un contrato; (3) Obligacion legal - requerido por el Derecho de la Union o de los Estados miembros; (4) Intereses vitales - proteccion de la vida; (5) Mision de interes publico - autoridad oficial o interes publico; (6) Intereses legitimos - intereses legitimos del responsable equilibrados con los derechos del interesado (no disponible para autoridades publicas).
El Articulo 35 requiere EIPD para tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de los interesados. Esto incluye: perfilado sistematico y extensivo, tratamiento a gran escala de categorias especiales de datos, y vigilancia sistematica a gran escala de zonas de acceso publico. Las EIPD evaluan necesidad, proporcionalidad, riesgos y medidas de mitigacion. Consulte a la autoridad de control si el alto riesgo no puede mitigarse.
Las CCT son terminos contractuales estandarizados aprobados por la Comision Europea para transferir datos personales a paises sin decision de adecuacion (Articulo 46). Tras la decision Schrems II, tambien debe realizar una Evaluacion de Impacto de Transferencia para evaluar si el pais receptor ofrece proteccion adecuada. Consulte la pagina de la Comision Europea para las CCT actualizadas.
El Articulo 12 requiere respuestas a solicitudes de derechos de los interesados sin dilacion indebida y dentro de un mes desde la recepcion. Esto puede extenderse dos meses adicionales para solicitudes complejas o numerosas, pero debe informar al interesado de la prorroga y sus razones dentro del primer mes. El plazo comienza cuando recibe la solicitud y verifica la identidad del solicitante.
El Articulo 17 otorga a los interesados el derecho de supresion (derecho al olvido) en circunstancias especificas: datos ya no necesarios para el fin original, consentimiento retirado sin otra base legal, oposicion al tratamiento, tratamiento ilicito, obligacion legal de supresion, o datos recogidos de menores para servicios de la sociedad de la informacion. Este derecho no es absoluto: existen excepciones para obligaciones legales, interes publico e intereses legitimos.
El RGPD y la Ley de IA de la UE son complementarios. El RGPD rige el tratamiento de datos personales, mientras que la Ley de IA de la UE regula los sistemas de IA por nivel de riesgo. Los sistemas de IA que tratan datos personales deben cumplir ambos. Por ejemplo, una herramienta de contratacion con IA debe satisfacer los derechos de los interesados del RGPD (acceso, explicacion) y los requisitos de la Ley de IA de la UE (supervision humana, transparencia). Muchas obligaciones se solapan y se refuerzan mutuamente.
Si, VerifyWise proporciona herramientas completas de cumplimiento del RGPD que incluyen Registros de Actividades de Tratamiento (Articulo 30), flujos de trabajo de EIPD, gestion de derechos de los interesados, procedimientos de notificacion de violaciones y gestion de encargados. Mapeamos los requisitos del RGPD a sus controles y generamos documentacion lista para auditorias. Tambien proporcionamos correspondencias con la Ley de IA de la UE e ISO 42001 para un cumplimiento integrado.

Listo para lograr el cumplimiento del RGPD?

Inicie su camino hacia el cumplimiento del RGPD con nuestras herramientas de evaluacion guiada e implementacion.

Iniciar evaluacion RGPDProgramar consulta
GDPR Compliance Guide | Data Protection | VerifyWise