Cuales son las bases legales para el tratamiento bajo el RGPD?

El Articulo 6 define seis bases legales: (1) Consentimiento, (2) Contrato, (3) Obligacion legal, (4) Intereses vitales, (5) Mision de interes publico, (6) Intereses legitimos. Cada una tiene requisitos y limitaciones especificos.

Que son las Clausulas Contractuales Tipo (CCT) para transferencias internacionales?

Las CCT son terminos contractuales estandarizados aprobados por la Comision Europea para transferir datos personales a paises sin decision de adecuacion. Tras la sentencia Schrems II, tambien debe realizar una Evaluacion de Impacto de Transferencia para evaluar si el pais receptor ofrece proteccion adecuada.

Reglamento General de Proteccion de Datos

Guia de implementacion de cumplimiento del RGPD

El Reglamento General de Proteccion de Datos de la UE es la ley de privacidad de datos mas estricta del mundo. Ya sea que trate datos de residentes de la UE desde cualquier parte del mundo, le ayudamos a implementar derechos de los interesados, EIPD, notificacion de violaciones y responsabilidad proactiva con procesos claros y evidencia.

Iniciar evaluacion RGPD Reservar llamada de cumplimiento

Que es el RGPD?

El Reglamento General de Proteccion de Datos (UE) 2016/679 es una ley integral de proteccion de datos que entro en vigor el 25 de mayo de 2018. El RGPD se aplica a cualquier organizacion que trate datos personales de personas en la Union Europea, independientemente de donde se encuentre la organizacion.

Por que es importante: El RGPD tiene alcance extraterritorial y sanciones ejecutables de hasta 20 millones de euros o el 4% de la facturacion anual global. Establece el estandar global de privacidad de datos e influye en las leyes de privacidad en todo el mundo.

Ejecutable

Sanciones significativas por infracciones

Extraterritorial

Se aplica globalmente para el tratamiento de datos de la UE

Complementa el cumplimiento de la Ley de IA de la UE y se alinea con la gobernanza de datos de ISO 42001.

Quien necesita cumplir con el RGPD?

Cualquier organizacion que trate datos personales de la UE

Se aplica independientemente de la ubicacion si trata datos de residentes de la UE

Empresas de IA que tratan datos de usuarios

Sistemas de IA que usan datos personales para entrenamiento o toma de decisiones

Proveedores de servicios en la nube

Proveedores SaaS, PaaS, IaaS que almacenan o tratan datos de la UE

Empresas de marketing y AdTech

Organizaciones que usan datos personales para segmentacion o perfilado

Sistemas sanitarios y de RRHH

Tratamiento de categorias especiales de datos personales sensibles

Comercio electronico y plataformas en linea

Recogida de datos de clientes para transacciones o servicios

Como VerifyWise apoya el cumplimiento del RGPD

VerifyWise proporciona un preset de cumplimiento del RGPD que combina obligaciones de proteccion de datos y antidiscriminacion en un unico flujo de trabajo estructurado

Requisito del RGPD

Cobertura de VerifyWise

Evaluacion de Impacto en la Proteccion de Datos

Elemento de lista de verificacion estructurado para la realizacion y documentacion de EIPD

Justificacion de decisiones automatizadas

Elemento de lista de verificacion para documentar la base legal y la necesidad segun el Articulo 22

Evaluacion de caracteristicas protegidas

Categorias preconfiguradas para edad, discapacidad, genero, raza, religion, sexo y orientacion sexual

Procedimientos de revision humana

Elemento de lista de verificacion dedicado para documentar la supervision y los procesos de revision humana

Capacidades adicionales de cumplimiento

Inventario y registros de tratamiento de datos

Mantenga registros completos de todas las actividades de tratamiento (Articulo 30). Documente la base legal, las categorias de datos, los periodos de retencion y las transferencias a terceros para cada operacion de tratamiento. VerifyWise genera registros conformes con el RGPD que satisfacen las auditorias de las autoridades de control.

Aborda: Articulo 30: Registros de actividades de tratamiento

Evaluaciones de Impacto en la Proteccion de Datos (EIPD)

Realice EIPD estructuradas para actividades de tratamiento de alto riesgo mediante flujos de trabajo guiados (Articulo 35). Evalue la necesidad, proporcionalidad, riesgos para los interesados y medidas de mitigacion. Realice un seguimiento automatico del estado de las EIPD y los requisitos de consulta previa.

Aborda: Articulo 35: Evaluacion de Impacto en la Proteccion de Datos

Gestion de derechos de los interesados

Gestione los ocho derechos de los interesados con flujos de trabajo estructurados y pistas de auditoria. Haga seguimiento de solicitudes de acceso, rectificacion, supresion, limitacion, portabilidad y oposicion. Genere respuestas conformes dentro del plazo de 30 dias.

Aborda: Articulos 15-22: Derechos de los interesados

Notificacion de violaciones y respuesta a incidentes

Gestione las violaciones de datos con flujos de trabajo automatizados para la notificacion a la autoridad de control en 72 horas (Articulo 33) y la comunicacion al interesado (Articulo 34). Documente la evaluacion de la violacion, la evaluacion de impacto y las acciones de remediacion.

Aborda: Articulos 33-34: Requisitos de notificacion de violaciones

Gestion del consentimiento y seguimiento de la base legal

Documente la base legal para cada actividad de tratamiento (Articulo 6). Para el tratamiento basado en consentimiento, mantenga prueba de consentimiento libre, especifico, informado e inequivoco. Haga seguimiento de solicitudes de retirada y cese de tratamiento.

Aborda: Articulo 6: Licitud del tratamiento, Articulo 7: Consentimiento

Gobernanza de encargados del tratamiento y transferencias

Gestione los contratos con encargados del tratamiento con las clausulas requeridas por el RGPD (Articulo 28). Haga seguimiento de transferencias internacionales usando Clausulas Contractuales Tipo, decisiones de adecuacion o excepciones (Capitulo V). Mantenga evaluaciones de impacto de transferencias para paises sin nivel adecuado.

Aborda: Articulo 28: Requisitos del encargado, Articulos 44-50: Transferencias

Todas las actividades de cumplimiento del RGPD se rastrean con marcas de tiempo, propietarios asignados y flujos de trabajo de aprobacion. Esta pista de auditoria demuestra responsabilidad proactiva y cumplimiento sistematico en lugar de documentacion creada a posteriori.

Cobertura completa de los principios del RGPD

VerifyWise proporciona herramientas dedicadas para todos los principios y requisitos del RGPD

Principios fundamentales del RGPD

Articulos relacionados con herramientas dedicadas

100%

Cobertura en todos los principios

Licitud, lealtad, transparencia5/5

Base legal, tratamiento leal, comunicacion transparente

Limitacion de la finalidad3/3

Fines especificos, uso compatible, documentacion

Minimizacion de datos2/2

Recopilacion adecuada, pertinente y limitada

Exactitud2/2

Datos exactos, actualizaciones oportunas, supresion de datos inexactos

Limitacion del plazo de conservacion2/2

Periodos de retencion, criterios de archivado, eliminacion

Integridad y confidencialidad3/3

Medidas de seguridad, proteccion contra acceso no autorizado

Responsabilidad proactiva4/4

Demostrar cumplimiento, registros de tratamiento, gobernanza

Construido para el cumplimiento del RGPD desde cero

Automatizacion de registros del Articulo 30

Genere registros conformes de actividades de tratamiento

Flujos de trabajo de derechos de los interesados

Gestione los 8 derechos con seguimiento de plazo de 30 dias

Notificacion de violaciones en 72 horas

Flujos de trabajo automatizados para cumplimiento de Articulos 33-34

Mapeo multi-marco

Correspondencia con la Ley de IA de la UE y requisitos de ISO 42001

Ocho principios del RGPD

Principios fundamentales que rigen todo el tratamiento de datos personales bajo el RGPD

Licitud, lealtad y transparencia

Tratar los datos personales de manera licita, leal y transparente. Identificar la base legal y comunicar el tratamiento a los interesados de forma clara.

Base legal documentada para cada actividad de tratamiento
Tratamiento leal sin engano ni coaccion
Avisos de privacidad transparentes en lenguaje claro
Informacion accesible sobre el tratamiento
Comunicacion de derechos de los interesados

Limitacion de la finalidad

Recoger datos para fines determinados, explicitos y legitimos. No tratar para fines incompatibles sin nuevo consentimiento.

Fines especificados y documentados antes de la recogida
Comunicacion explicita de los fines
Fines legitimos alineados con las expectativas
Evaluacion de compatibilidad para nuevos usos
Restricciones de tratamiento ulterior

Minimizacion de datos

Recoger solo datos adecuados, pertinentes y limitados a lo necesario para los fines declarados.

Evaluacion de necesidad para cada elemento de datos
Datos adecuados para alcanzar los fines
Datos pertinentes sin recogida excesiva
Revision periodica de los datos recogidos
Minimizacion por diseno

Exactitud

Mantener los datos personales exactos y actualizados. Suprimir o rectificar los datos inexactos sin demora.

Revisiones periodicas de exactitud de datos
Actualizaciones oportunas cuando se identifiquen inexactitudes
Supresion de datos inexactos
Derechos de rectificacion del interesado
Procedimientos de verificacion de exactitud

Limitacion del plazo de conservacion

Conservar los datos personales solo el tiempo necesario para los fines especificados. Definir periodos de retencion y procedimientos de eliminacion.

Periodos de retencion documentados por categoria de datos
Retencion justificada basada en el fin
Eliminacion o anonimizacion tras la retencion
Criterios de archivado para retencion prolongada
Revisiones periodicas de eliminacion

Integridad y confidencialidad

Tratar los datos de forma segura para protegerlos contra acceso no autorizado, perdida, destruccion o dano. Implementar medidas tecnicas y organizativas apropiadas.

Medidas de seguridad apropiadas al riesgo
Proteccion contra acceso no autorizado
Prevencion de perdida o dano de datos
Cifrado y seudonimizacion cuando sea apropiado
Pruebas y evaluacion periodica de seguridad

Responsabilidad proactiva

Demostrar el cumplimiento de todos los principios del RGPD. Mantener documentacion, implementar gobernanza y asegurar el cumplimiento continuo.

Registros de actividades de tratamiento
Politicas y procedimientos de proteccion de datos
Formacion y concienciacion del personal
EIPD para tratamientos de alto riesgo
Evidencia de medidas de cumplimiento

Privacidad por diseno y por defecto

Implementar la proteccion de datos desde el diseno del sistema. Tratar solo los datos necesarios por defecto. Integrar la privacidad en todas las operaciones de tratamiento.

Privacidad integrada en el diseno del sistema
Proteccion de datos como configuracion por defecto
Tratamiento minimo de datos por defecto
Tecnologias de mejora de la privacidad
Revisiones periodicas de privacidad

Ocho derechos de los interesados

El RGPD otorga a las personas derechos exhaustivos sobre sus datos personales

Derecho de acceso

Los interesados pueden solicitar confirmacion del tratamiento y obtener una copia de sus datos personales.

Articulo 15

Requisitos

Confirmar si se tratan datos
Proporcionar copia de los datos
Revelar fines del tratamiento
Respuesta en 30 dias

Derecho de rectificacion

Los interesados pueden solicitar la correccion de datos personales inexactos y la complecion de datos incompletos.

Articulo 16

Requisitos

Corregir datos inexactos con prontitud
Completar datos incompletos
Comunicar a los destinatarios
Respuesta en 30 dias

Derecho de supresion

Los interesados pueden solicitar la supresion de datos personales en circunstancias especificas (derecho al olvido).

Articulo 17

Requisitos

Suprimir cuando ya no sean necesarios
Consentimiento retirado
Tratamiento ilicito
Obligacion legal de supresion

Derecho a la limitacion

Los interesados pueden solicitar la limitacion del tratamiento en circunstancias especificas mientras se verifica la exactitud o la licitud.

Articulo 18

Requisitos

Limitar durante verificacion de exactitud
Limitar si tratamiento ilicito
Marcar datos limitados
Comunicar las limitaciones

Derecho a la portabilidad de datos

Los interesados pueden recibir sus datos en un formato estructurado y de lectura mecanica y transmitirlos a otro responsable.

Articulo 20

Requisitos

Proporcionar datos en formato de lectura mecanica
Permitir transmision directa
Aplicable al tratamiento automatizado
Basado en consentimiento o contrato

Derecho de oposicion

Los interesados pueden oponerse al tratamiento basado en intereses legitimos, marketing directo o fines de investigacion.

Articulo 21

Requisitos

Cesar tratamiento ante oposicion
Demostrar motivos legitimos imperiosos
Siempre cesar tratamiento de marketing
Informar sobre el derecho de oposicion

Derechos relativos a decisiones automatizadas

Los interesados tienen derechos respecto a decisiones unicamente automatizadas con efectos legales o significativos, incluida la elaboracion de perfiles.

Articulo 22

Requisitos

Derecho a no ser objeto de decisiones automatizadas
Proporcionar opcion de intervencion humana
Explicar la logica de decisiones automatizadas
Permitir expresar su punto de vista

Derecho a retirar el consentimiento

Los interesados pueden retirar el consentimiento en cualquier momento, y la retirada debe ser tan facil como dar el consentimiento.

Articulo 7(3)

Requisitos

Mecanismo facil de retirada
Instrucciones claras de retirada
Cesar tratamiento tras retirada
Informar sobre el derecho antes del consentimiento

Hoja de ruta de implementacion de 26 semanas

Un camino practico hacia el cumplimiento del RGPD con hitos claros

Fase 1Semanas 1-6

Fundamentos y analisis de brechas

Designar Delegado de Proteccion de Datos (si se requiere)
Realizar evaluacion de preparacion para el RGPD
Crear inventario de actividades de tratamiento
Identificar actividades de tratamiento de alto riesgo
Revisar avisos de privacidad existentes

Fase 2Semanas 7-14

Documentacion y politicas

Documentar base legal para todo el tratamiento
Actualizar avisos y politicas de privacidad
Crear Registros de Actividades de Tratamiento (Articulo 30)
Implementar procedimientos de derechos de los interesados
Desarrollar proceso y plantillas de EIPD

Fase 3Semanas 15-22

Medidas tecnicas y organizativas

Implementar medidas de seguridad apropiadas al riesgo
Desplegar privacidad por diseno en nuevos sistemas
Establecer procedimientos de notificacion de violaciones
Revisar acuerdos y contratos con encargados
Realizar EIPD para tratamientos de alto riesgo

Fase 4Semanas 23-26

Cumplimiento y monitorizacion continua

Formacion del personal sobre requisitos del RGPD
Probar procedimientos de derechos de los interesados
Implementar monitorizacion de cumplimiento continuo
Programar auditorias periodicas del RGPD
Establecer responsabilidad proactiva y gobernanza

Aplicacion y sanciones

Las sanciones del RGPD son significativas y se aplican

Las autoridades de control del RGPD aplican activamente las infracciones con multas administrativas que alcanzan cientos de millones de euros.

Infracciones de nivel inferior

Hasta 10 millones de euros o el 2% de la facturacion anual global

Ejemplos de infracciones:

Falta de mantenimiento de registros (Articulo 30)
Medidas de seguridad insuficientes (Articulo 32)
Incumplimiento de requisitos del encargado (Articulo 28)
Notificacion inadecuada de violacion a la autoridad de control (Articulo 33)

Infracciones de nivel superior

Hasta 20 millones de euros o el 4% de la facturacion anual global

Ejemplos de infracciones:

Tratamiento ilicito (Articulos 5, 6, 9)
Violacion de derechos de los interesados (Articulos 12-22)
Transferencias internacionales no autorizadas (Capitulo V)
Incumplimiento de ordenes de la autoridad de control (Articulo 58)

Acciones de aplicacion destacadas: Amazon (746M EUR), Meta/WhatsApp (225M EUR), Google Ireland (90M EUR), H&M (35M EUR). Las autoridades de control consideran la gravedad, duracion, intencionalidad, categorias de datos, numero de personas afectadas y cooperacion al determinar las multas.

Ver el seguimiento de aplicacion del Comite Europeo de Proteccion de Datos →

Iniciar evaluacion de cumplimiento del RGPD

Plantillas de politicas

Repositorio completo de politicas RGPD

Acceda a 37 plantillas de politicas de proteccion de datos listas para usar, alineadas con el RGPD, la Ley de IA de la UE y los requisitos de ISO 42001

Politicas basicas del RGPD

Politica de Proteccion de Datos
Plantillas de Aviso de Privacidad
Politica de Gestion de Consentimiento
Procedimientos de Derechos de los Interesados
Registros de Actividades de Tratamiento
Politica y Plantillas de EIPD
+ 6 politicas mas

Seguridad y violaciones

Politica de Seguridad de Datos
Procedimientos de Notificacion de Violaciones
Plan de Respuesta a Incidentes
Politica de Retencion y Eliminacion de Datos
Politica de Control de Acceso
Estandares de Cifrado
+ 5 politicas mas

Encargados y transferencias

Acuerdo de Tratamiento de Datos
Politica de Proveedores Terceros
Politica de Transferencias Internacionales
Clausulas Contractuales Tipo
Evaluacion de Impacto de Transferencia
Gestion de Encargados
+ 4 politicas mas

Explorar todas las plantillas de politicas

Preguntas frecuentes

Preguntas comunes sobre la implementacion del cumplimiento del RGPD

El Reglamento General de Proteccion de Datos (UE) 2016/679 fue adoptado el 27 de abril de 2016 y se hizo aplicable el 25 de mayo de 2018. Las organizaciones tuvieron un periodo de transicion de dos anos para lograr el cumplimiento. Consulte el texto completo del reglamento para mas detalles.

Si, el RGPD tiene alcance extraterritorial. Se aplica a cualquier organizacion que trate datos personales de personas en la UE, independientemente de donde se encuentre la organizacion. Esto incluye ofrecer bienes o servicios a residentes de la UE o monitorizar su comportamiento. Empresas estadounidenses, asiaticas y cualquier organizacion global deben cumplir si tratan datos personales de la UE.

El RGPD impone dos niveles de multas administrativas. Las infracciones de nivel inferior pueden resultar en multas de hasta 10 millones de euros o el 2% de la facturacion anual global (la que sea mayor). Las infracciones de nivel superior pueden resultar en multas de hasta 20 millones de euros o el 4% de la facturacion anual global (la que sea mayor). Las autoridades de control consideran factores como la gravedad, duracion, intencionalidad y cooperacion al determinar las sanciones.

Un responsable del tratamiento determina los fines y medios del tratamiento de datos personales y tiene la responsabilidad principal de cumplimiento del RGPD. Un encargado del tratamiento trata datos personales por cuenta del responsable bajo contrato. Por ejemplo, una empresa SaaS que usa AWS es tipicamente el responsable, mientras que AWS actua como encargado. Ambos tienen obligaciones especificas bajo el RGPD, pero los responsables tienen una responsabilidad mas amplia.

El Articulo 37 requiere un DPD cuando: (1) el tratamiento lo realiza una autoridad publica, (2) las actividades principales implican un seguimiento regular y sistematico de interesados a gran escala, o (3) las actividades principales implican el tratamiento a gran escala de categorias especiales de datos. El Comite Europeo de Proteccion de Datos proporciona orientaciones detalladas sobre los requisitos del DPD.

El Articulo 6 define seis bases legales: (1) Consentimiento - libre, especifico, informado e inequivoco; (2) Contrato - necesario para la ejecucion de un contrato; (3) Obligacion legal - requerido por el Derecho de la Union o de los Estados miembros; (4) Intereses vitales - proteccion de la vida; (5) Mision de interes publico - autoridad oficial o interes publico; (6) Intereses legitimos - intereses legitimos del responsable equilibrados con los derechos del interesado (no disponible para autoridades publicas).

El Articulo 35 requiere EIPD para tratamientos que puedan entrañar un alto riesgo para los derechos y libertades de los interesados. Esto incluye: perfilado sistematico y extensivo, tratamiento a gran escala de categorias especiales de datos, y vigilancia sistematica a gran escala de zonas de acceso publico. Las EIPD evaluan necesidad, proporcionalidad, riesgos y medidas de mitigacion. Consulte a la autoridad de control si el alto riesgo no puede mitigarse.

Las CCT son terminos contractuales estandarizados aprobados por la Comision Europea para transferir datos personales a paises sin decision de adecuacion (Articulo 46). Tras la decision Schrems II, tambien debe realizar una Evaluacion de Impacto de Transferencia para evaluar si el pais receptor ofrece proteccion adecuada. Consulte la pagina de la Comision Europea para las CCT actualizadas.

El Articulo 12 requiere respuestas a solicitudes de derechos de los interesados sin dilacion indebida y dentro de un mes desde la recepcion. Esto puede extenderse dos meses adicionales para solicitudes complejas o numerosas, pero debe informar al interesado de la prorroga y sus razones dentro del primer mes. El plazo comienza cuando recibe la solicitud y verifica la identidad del solicitante.

El Articulo 17 otorga a los interesados el derecho de supresion (derecho al olvido) en circunstancias especificas: datos ya no necesarios para el fin original, consentimiento retirado sin otra base legal, oposicion al tratamiento, tratamiento ilicito, obligacion legal de supresion, o datos recogidos de menores para servicios de la sociedad de la informacion. Este derecho no es absoluto: existen excepciones para obligaciones legales, interes publico e intereses legitimos.

El RGPD y la Ley de IA de la UE son complementarios. El RGPD rige el tratamiento de datos personales, mientras que la Ley de IA de la UE regula los sistemas de IA por nivel de riesgo. Los sistemas de IA que tratan datos personales deben cumplir ambos. Por ejemplo, una herramienta de contratacion con IA debe satisfacer los derechos de los interesados del RGPD (acceso, explicacion) y los requisitos de la Ley de IA de la UE (supervision humana, transparencia). Muchas obligaciones se solapan y se refuerzan mutuamente.

Si, VerifyWise proporciona herramientas completas de cumplimiento del RGPD que incluyen Registros de Actividades de Tratamiento (Articulo 30), flujos de trabajo de EIPD, gestion de derechos de los interesados, procedimientos de notificacion de violaciones y gestion de encargados. Mapeamos los requisitos del RGPD a sus controles y generamos documentacion lista para auditorias. Tambien proporcionamos correspondencias con la Ley de IA de la UE e ISO 42001 para un cumplimiento integrado.

Listo para lograr el cumplimiento del RGPD?

Inicie su camino hacia el cumplimiento del RGPD con nuestras herramientas de evaluacion guiada e implementacion.

Iniciar evaluacion RGPD Programar consulta