¿Qué es el RGPD? Protección de datos en el Reino Unido y la UE | Paytia

¿Qué es el RGPD?

RGPD son las siglas de Reglamento General de Protección de Datos. Es una ley exhaustiva aprobada por la Unión Europea, que entró en vigor en 2018 y que regula cómo las organizaciones recogen, usan, almacenan y comparten datos personales de las personas en la UE y el Espacio Económico Europeo. También se aplica a organizaciones fuera de la UE que ofrecen bienes o servicios a personas dentro de la UE o monitorizan su comportamiento.

En términos sencillos: el RGPD da a las personas más control sobre su información personal e impone obligaciones claras a las organizaciones para que la manejen de forma responsable. Es una de las leyes de protección de datos más influyentes del mundo. Muchos países han usado sus principios como modelo para sus propias leyes.

Principios clave del RGPD

El RGPD se construye sobre siete principios fundamentales que guían el tratamiento de datos personales:

• Licitud, lealtad y transparencia Tienes que contar con una base legal para tratar los datos y ser claro con las personas sobre lo que haces con su información
• Limitación de la finalidad Los datos solo se recogen para fines específicos y legítimos, y no se usan para otra cosa sin consentimiento
• Minimización de datos Recoge solo lo que necesitas. No acumules datos porque puedas
• Exactitud Mantén los datos exactos y al día
• Limitación del plazo de conservación No conserves los datos más tiempo del necesario
• Integridad y confidencialidad Protege los datos frente a acceso no autorizado, pérdida o destrucción con medidas de seguridad adecuadas
• Responsabilidad proactiva Tienes que poder demostrar que cumples con todo lo anterior

¿Qué cuenta como dato personal?

El RGPD define el dato personal de forma amplia. Incluye cualquier información que pueda identificar, directa o indirectamente, a una persona física viva. Eso abarca lo obvio (nombres, correos, teléfonos), pero también direcciones IP, datos de localización, identificadores de cookies y grabaciones de voz.

Existe además una categoría de "datos de categorías especiales" con protección reforzada. Incluye salud, origen racial o étnico, opiniones políticas, creencias religiosas, datos biométricos y orientación sexual. Tratar estos datos exige condiciones más estrictas.

Derechos del interesado bajo el RGPD

Uno de los aspectos más fuertes del RGPD son los derechos que da a las personas:

• Derecho de acceso Pueden pedirte una copia de todos los datos personales que tienes sobre ellas
• Derecho de rectificación Pueden pedir que corrijas datos inexactos
• Derecho de supresión El "derecho al olvido": pueden pedir que borres sus datos en ciertas circunstancias
• Derecho a la limitación del tratamiento Pueden pedir que restrinjas el uso de sus datos
• Derecho a la portabilidad Pueden solicitar sus datos en formato portable para llevárselos a otro proveedor
• Derecho de oposición Pueden oponerse a ciertos tratamientos, incluida la mercadotecnia directa

Por qué el RGPD importa a los negocios

Las consecuencias del incumplimiento son considerables. Las autoridades pueden imponer multas de hasta 20 millones de euros o el 4% de la facturación global anual, lo que sea mayor. Más allá de la multa, una infracción del RGPD trae daño reputacional, pérdida de confianza del cliente y posibles acciones legales individuales.

Cumplir el RGPD pide compromiso real, no marcar casillas. Significa saber qué datos tienes, por qué los tienes, dónde están, quién accede y cuánto los conservas. Muchas organizaciones descubren que el ejercicio, aunque incómodo, mejora bastante sus prácticas generales de gestión de datos.

El RGPD y los pagos telefónicos

Los entornos de pago telefónico generan varias preguntas para el RGPD. Cuando un cliente facilita los datos de su tarjeta por teléfono, se están tratando datos personales. Si las llamadas se graban, esas grabaciones contienen datos personales: número de tarjeta, dirección, otra información identificativa.

Bajo el RGPD necesitas una base legal para grabar las llamadas y guardar los datos personales que contengan. Tienes que informar al llamante de que la llamada se graba y por qué. Las grabaciones se guardan de forma segura, con acceso restringido, y se borran cuando ya no son necesarias.

Las grabaciones con datos de tarjeta crean una intersección especialmente fea entre el RGPD y PCI DSS. Las dos normas piden proteger los datos, pero el RGPD da además a las personas el derecho a pedir su supresión, lo que puede chocar con otras obligaciones de conservación.

Usar enmascaramiento DTMF para mantener los números de tarjeta fuera de las grabaciones simplifica mucho el cumplimiento. Si los dígitos nunca entran en la grabación, no tienes que proteger, controlar el acceso o borrar ese tipo concreto de dato personal en archivos antiguos. El problema se resuelve no creándolo.

Consideraciones prácticas

• Mapea tus datos. Conoce qué datos personales recoges, dónde se almacenan, cómo fluyen por tus sistemas y quién accede
• Ten una base legal para cada tipo de tratamiento que realices
• Haz los avisos de privacidad claros y accesibles. La gente debería entender qué haces con sus datos sin necesidad de un título en Derecho
• Ten procesos para responder a solicitudes de derechos del interesado dentro del plazo de 30 días
• Forma a tu personal. El cumplimiento del RGPD no es solo cosa de IT: todos los que tratan datos personales tienen que conocer sus obligaciones
• Si tratas un volumen significativo de datos personales, plantéate nombrar un Delegado de Protección de Datos