¿Qué es el RGPD? Protección de datos en el Reino Unido y la UE | Paytia

El Reglamento General de Protección de Datos (RGPD) es una ley exhaustiva de protección de datos que regula cómo las organizaciones recogen, almacenan, tratan y comparten los datos personales de las personas en el Reino Unido y en el Espacio Económico Europeo.

¿Qué es el RGPD?

RGPD son las siglas de Reglamento General de Protección de Datos (en inglés, GDPR). Es una ley de protección de datos exhaustiva, aprobada por la Unión Europea, que entró en vigor en 2018 y que regula cómo las organizaciones recogen, usan, almacenan y comparten los datos personales de las personas en la UE y en el Espacio Económico Europeo (EEE). También se aplica a organizaciones fuera de la UE que ofrecen bienes o servicios a personas dentro de la UE o que monitorizan su comportamiento.

En términos sencillos, el RGPD da a las personas más control sobre su información personal e impone obligaciones claras a las organizaciones para que manejen esa información de forma responsable. Es una de las leyes de protección de datos más relevantes del mundo, y su influencia va mucho más allá de Europa: muchos países han basado sus propias leyes de protección de datos en sus principios.

Principios clave del RGPD

El RGPD se construye sobre siete principios fundamentales que guían cómo deben tratarse los datos personales:

  • Licitud, lealtad y transparencia Tienes que contar con una base legal para tratar datos personales y ser claro con las personas sobre lo que haces con su información
  • Limitación de la finalidad Los datos solo deben recogerse para fines específicos y legítimos, y no usarse para otra cosa sin consentimiento
  • Minimización de datos Recoge solo los datos personales que realmente necesitas. No los acumules solo porque puedes
  • Exactitud Mantén los datos personales exactos y actualizados
  • Limitación del plazo de conservación No conserves los datos personales más tiempo del necesario
  • Integridad y confidencialidad Protege los datos personales frente al acceso no autorizado, la pérdida o la destrucción mediante medidas de seguridad adecuadas
  • Responsabilidad proactiva Tienes que poder demostrar que cumples con todos estos principios

¿Qué cuenta como dato personal?

El RGPD define el dato personal de forma amplia. Incluye cualquier información que pueda identificar, directa o indirectamente, a una persona física viva. Esto abarca identificadores obvios como nombres, direcciones de correo y números de teléfono, pero también direcciones IP, datos de localización, identificadores de cookies e incluso grabaciones de voz.

También hay una categoría de «datos de categorías especiales» que recibe protección adicional. Incluye información sobre salud, origen racial o étnico, opiniones políticas, creencias religiosas, datos biométricos y orientación sexual. Tratar este tipo de datos exige cumplir condiciones más estrictas.

Derechos del interesado bajo el RGPD

Uno de los aspectos más significativos del RGPD son los derechos que otorga a las personas:

  • Derecho de acceso Las personas pueden pedir una copia de todos los datos personales que tienes sobre ellas
  • Derecho de rectificación Pueden pedirte que corrijas datos inexactos
  • Derecho de supresión También conocido como «derecho al olvido»; pueden pedirte que borres sus datos en ciertas circunstancias
  • Derecho a la limitación del tratamiento Pueden pedirte que restrinjas cómo se usan sus datos
  • Derecho a la portabilidad Pueden solicitar sus datos en un formato portable para transferirlos a otro proveedor
  • Derecho de oposición Pueden oponerse a ciertos tipos de tratamiento, incluida la mercadotecnia directa

Por qué el RGPD importa a los negocios

Las consecuencias del incumplimiento son considerables. El RGPD permite a los reguladores imponer multas de hasta 20 millones de euros o el 4% de la facturación global anual, lo que sea mayor. Más allá de las multas, una infracción del RGPD puede acarrear daño reputacional, pérdida de confianza del cliente y acciones legales por parte de las personas afectadas.

Para los negocios, cumplir el RGPD requiere un compromiso real con la protección de datos, no marcar casillas. Significa entender qué datos personales tienes, por qué los tienes, dónde se almacenan, quién accede a ellos y cuánto los conservas. Muchas organizaciones han descubierto que este ejercicio, aunque exigente, en realidad mejora sus prácticas generales de gestión de datos.

El RGPD y los pagos telefónicos

Los entornos de pago telefónico generan varias consideraciones para el RGPD. Cuando un cliente facilita los datos de su tarjeta por teléfono, se están tratando datos personales. Si las llamadas se graban, esas grabaciones pueden contener datos personales: números de tarjeta, direcciones y otra información identificativa.

Bajo el RGPD, necesitas una base legal para grabar las llamadas y para almacenar los datos personales que contengan. Tienes que informar a quien llama de que la llamada se está grabando y explicar por qué. También tienes que asegurarte de que las grabaciones se almacenan de forma segura, de que el acceso está restringido y de que se borran cuando ya no son necesarias.

Las grabaciones de llamadas que contienen datos de tarjeta crean una intersección particularmente complicada entre el RGPD y PCI DSS. Las dos normas exigen proteger los datos, pero el RGPD también da a las personas el derecho a pedir su supresión, lo que puede chocar con otras obligaciones de conservación.

Usar supresión DTMF para mantener los datos de tarjeta fuera de las grabaciones simplifica de forma notable el cumplimiento del RGPD. Si los números de tarjeta nunca aparecen en la grabación, no tienes que preocuparte por proteger, controlar el acceso o borrar ese tipo específico de dato personal en tus grabaciones.

Consideraciones prácticas

  • Mapea tus datos. Conoce qué datos personales recoges, dónde se almacenan, cómo fluyen por tus sistemas y quién accede a ellos
  • Ten una base legal para cada tipo de tratamiento de datos que realices
  • Haz que tus avisos de privacidad sean claros y accesibles. La gente debería entender qué haces con sus datos sin necesidad de un título en Derecho
  • Ten procesos para atender las solicitudes de los interesados dentro del plazo de 30 días
  • Forma a tu personal. El cumplimiento del RGPD no es solo una cuestión de IT: todo el que trata datos personales tiene que entender sus obligaciones
  • Si tratas un volumen significativo de datos personales, plantéate nombrar un Delegado de Protección de Datos
Cómo Paytia lo usa

La plataforma certificada en PCI DSS Nivel 1 de Paytia incorpora el RGPD como parte de su enfoque integral de seguridad. Al procesar los pagos telefónicos mediante supresión DTMF, Paytia se asegura de que los datos de tarjeta están protegidos en todas las etapas.

Supresión DTMFCumplimiento de PCI DSS

Preguntas frecuentes

¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es una ley exhaustiva de protección de datos que regula cómo las organizaciones recogen, almacenan, tratan y comparten los datos personales de las personas en el Reino Unido y en el Espacio Económico Europeo.

¿Por qué es importante el RGPD para PCI DSS?

PCI DSS exige a las organizaciones aplicar prácticas alineadas con el RGPD como parte de sus controles de seguridad para proteger los datos del titular de la tarjeta.

¿Cómo gestiona Paytia el RGPD?

Paytia aplica el RGPD como parte de su infraestructura certificada en PCI DSS Nivel 1, garantizando que todos los pagos telefónicos se procesan de forma segura.

Términos relacionados

PCI DSSCifradoBrecha de DatosDORASOC 2

Read this definition in English

Ready to take secure payments?

Book a demo with our team. We'll show you DTMF masking live, talk through PCI DSS scope reduction, and put together pricing based on your call volume.

PCI DSS Level 1
Cyber Essentials Plus
Book a demoContact us

Trusted by law firms, insurers, healthcare providers and regulated businesses worldwide. Learn more about Paytia