Diferencia entre revisiones de «Reglamento General de Protección de Datos»

Reglamento (EU) 2016/679
Título	Reglamento relativo a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)
Hecho por	Parlamento Europeo y Consejo de la Unión Europea
Referencia del DOUE	L 119, 4.5.2016, p. 1–88
Cronología
Fecha de aprobación	14 de abril de 2016
Fecha de aplicación	25 de mayo de 2018
Textos preparatorios
Propuesta de la Comisión	COM/2012/010 final – 2012/0010 (COD)
Legislación relacionada
Reemplaza	Directiva de Protección de Datos
	Legislación vigente
	[editar datos en Wikidata]

Explorar historial interactivamente

← Ir a diferencia anterior Ir a siguiente diferencia →

Contenido eliminado Contenido añadido

VisualWikitexto

En renglón

Revisión del 23:52 30 mar 2023

El Reglamento General de Protección de Datos (RGPD) es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos en la UE y el Espacio Económico Europeo (EEE). El RGPD es un componente importante de la legislación de la UE sobre privacidad y de la legislación sobre derechos humanos, en particular el artículo 8, apartado 1, de la Carta de los Derechos Fundamentales de la Unión Europea. También aborda la transferencia de datos personales fuera de la UE y de las zonas del EEE. Entró en vigor el 24 de mayo de 2016 y fue de aplicación el 25 de mayo de 2018, dos años durante los cuales las empresas, las organizaciones, los organismos y las instituciones se fueron adaptando para su cumplimiento. Como el RGPD es un reglamento, no una directiva, es directamente vinculante y aplicable, y ofrece flexibilidad para que los Estados miembros ajusten determinados aspectos del reglamento. El objetivo principal del RGPD es mejorar el control y los derechos de las personas sobre sus datos personales y simplificar el entorno normativo para los negocios internacionales. El Reglamento, que sustituye a la Directiva 95/46/CE sobre protección de datos, contiene disposiciones y requisitos relacionados con el tratamiento de los datos personales de las personas, denominadas formalmente "interesados", que se encuentran en el EEE, y se aplica a cualquier empresa -independientemente de su ubicación y de la ciudadanía o residencia de los interesados- que procese información personal de personas dentro del EEE.. Las multas por el no cumplimiento del RGPD pueden llegar a los 20 millones de euros.

En España, el RGPD dejó obsoleta la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) de 1999, siendo sustituida el 6 de diciembre de 2018 por la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, acorde con el RGPD.^[1]

El Reglamento se convirtió en un modelo para muchas otras leyes en todo el mundo, como en Turquía, Mauricio, Chile, Japón, Brasil, Corea del Sur, Sudáfrica, Argentina y Kenia. A partir del 6 de octubre de 2022, el Reino Unido mantiene la ley en idéntica forma a pesar de dejar de ser Estado miembro de la UE.

Historia

Antes de una normativa específica, la única protección era la jurisprudencia de la Corte Suprema de Casación; para respetar los Acuerdos de Schengen y para dar cumplimiento a la Directiva 95/46/CE de la Unión Europea de 24 de octubre de 1995, relacionada con la protección de las personas físicas en lo que respecta al tratamiento de datos personales, se promulgó la Ley n. 675 de 31 de diciembre de 1996, que entró en vigor en mayo de 1997.

Con el paso del tiempo, esta norma se ha ido complementando con otras leyes, relativas a aspectos individuales y específicos del tratamiento de datos. La complejidad normativa que surgió a raíz de la aprobación de varias disposiciones llevó a la promulgación del d.lgs . 196 de 30 de junio de 2003, que reorganizó completamente la materia. En 2011 y 2012, otras disposiciones modificaron el Código de 2003, en particular suprimiendo algunos trámites burocráticos (como el DPS) o las reglas para la información sensible proporcionada espontáneamente a través de su CV.

El 25 de enero de 2012, la Comisión Europea aprobó la propuesta de un Reglamento sobre protección de datos personales en sustitución de la Directiva 95/46/CE. El 4 de mayo de 2016 se promulgó el Reglamento de la Unión Europea n. 2016/679 (directamente aplicable sin necesidad de una ley de transposición), cuya entrada en vigor definitiva tuvo lugar el 25 de mayo de 2018.

Resumen

El nuevo régimen de protección de datos de la UE amplía el alcance de la ley de protección de datos de la UE a todas las compañías extranjeras que tratan datos de residentes de la UE. Para cumplir con estas regulaciones, sin embargo, esto implica el coste de un estricto régimen de cumplimiento de protección de datos con penalizaciones severas de hasta el 4% de la facturación mundial.^[2]

El RGPD también ofrece un nuevo conjunto de "derechos digitales" para los ciudadanos de la UE en una época en la que el valor económico de los datos personales está aumentando en la economía digital.

Contenido

El RGPD de 2016 consta de once capítulos, relativos a disposiciones generales, principios, derechos del interesado, obligaciones de los responsables o encargados del tratamiento, transferencias de datos personales a terceros países(externos a la UE), autoridades de control, cooperación entre Estados miembros, vías de recurso, responsabilidad o sanciones por vulneración de derechos y disposiciones finales varias.^[3]^[4]

Alcance

El Reglamento se aplica si el responsable del tratamiento (una organización que recoge datos de residentes en la UE), o el encargado del tratamiento (una organización que trata datos en nombre de un responsable del tratamiento, como los proveedores de servicios en la nube), o el interesado (persona) tienen su sede en la UE. En determinadas circunstancias^[5], el Reglamento también se aplica a las organizaciones con sede fuera de la UE si recogen o tratan datos personales de personas situadas dentro de la UE. El Reglamento no se aplica al tratamiento de datos por una persona para una "actividad puramente personal o doméstica y, por tanto, sin conexión con una actividad profesional o comercial". (Considerando 18^[6]). Según la Comisión Europea, "los datos personales son cualquier información relacionada con un individuo, ya sea que se refiera a su vida privada, profesional o pública. Puede ser cualquier cosa desde un nombre, domicilio, foto, dirección de correo electrónico, detalles bancarios, publicaciones en sitios web de redes sociales, información médica o la dirección IP de un ordenador".^[7]

El Reglamento no pretende aplicarse al tratamiento de datos personales para actividades de seguridad nacional o aplicación de la ley de la UE; sin embargo, grupos del sector preocupados por enfrentarse a un posible conflicto de leyes han cuestionado si el artículo 48^[8] del RGPD podría invocarse para tratar de impedir que un responsable del tratamiento de datos sujeto a las leyes de un tercer país cumpla una orden legal de las autoridades policiales, judiciales o de seguridad nacional de ese país de revelar a dichas autoridades los datos personales de una persona de la UE, independientemente de si los datos residen dentro o fuera de la UE

El artículo 48 establece que cualquier sentencia de un juzgado o tribunal y cualquier decisión de una autoridad administrativa de un tercer país que obligue a un responsable o encargado del tratamiento a transferir o revelar datos personales no podrá ser reconocida ni ejecutada en modo alguno a menos que se base en un tratado internacional, como un tratado de asistencia jurídica mutua en vigor entre el tercer país solicitante (no perteneciente a la UE) y la UE o un Estado miembro[6]. El paquete de reforma de la protección de datos también incluye una Directiva de protección de datos independiente para el sector policial y de justicia penal que establece normas sobre los intercambios de datos personales a nivel estatal, de la Unión Europea e internacional.

Conjunto único de reglas y ventanilla única

Se aplica un único conjunto de normas a todos los Estados miembros de la UE. Cada estado miembro establecerá una Autoridad de Supervisión (SA) independiente para escuchar e investigar denuncias, sancionar infracciones administrativas, etc. Las SA de cada Estado miembro cooperarán con otras SA, proporcionando asistencia mutua y organizando operaciones conjuntas. Cuando una empresa tenga múltiples establecimientos en la UE, tendrá una sola SA como su "autoridad principal", según la ubicación de su "establecimiento principal" (es decir, el lugar donde se llevan a cabo las principales actividades de tratamiento). La autoridad principal actuará como "ventanilla única" para supervisar todas las actividades de tratamiento de esa empresa en toda la UE.^[9]^[10] (Artículos 46–55 de la RGPD). La Junta Europea de Protección de Datos (EDPB) coordinará las SA. El EDPB sustituye al Artículo 29 Grupo de Trabajo.

Hay excepciones para los datos tratados en un contexto laboral o de seguridad nacional, que aún podrían estar sujetos a la normativa de cada país (artículos 2.2.a y 88 del RGPD).

Responsabilidad

Los requisitos de notificación permanecen y se expanden. Deben incluir el tiempo de retención para los datos personales y la información de contacto para el controlador de datos y se debe proporcionar un delegado de protección de datos.

La toma de decisiones individual automatizada, incluida la elaboración de perfiles (artículo 22) es discutible, de forma similar a la Directiva de protección de datos (artículo 15). Los ciudadanos tienen el derecho de cuestionar y luchar contra las decisiones importantes que les afecten y que se hayan realizado sobre la base exclusiva de algoritmo ic. Muchos medios de comunicación han comentado la introducción de un "derecho a la explicación" de decisiones algorítmicas,^[11]^[12] pero desde entonces los académicos legales han argumentado que la existencia de tal derecho no está muy clara sin una prueba judicial y, en el mejor de los casos, es limitada.^[13]^[14]

Para poder demostrar el cumplimiento con el RGPD, el controlador de datos debe implementar medidas que cumplan con los principios de protección de datos por diseño y protección de datos por defecto. Privacidad por diseño y por defecto (Artículo 25) requieren que las medidas de protección de datos estén diseñadas para el desarrollo de procesos comerciales para productos y servicios. Tales medidas incluyen datos personales Seudonimizamiento, por parte del controlador, tan pronto como sea posible (considerando 78).

Es responsabilidad del controlador de datos implementar medidas efectivas y ser capaz de demostrar el cumplimiento de las actividades de tratamiento, incluso si el tratamiento se lleva a cabo por un procesador de datos en nombre del controlador. (Considerando 74).

Las evaluaciones de impacto de protección de datos (artículo 35) deben llevarse a cabo cuando se producen riesgos específicos a los derechos y libertades de los interesados. Se requiere la evaluación y mitigación de riesgos y se requiere la aprobación previa de las Autoridades de Protección de Datos (DPA) para los riesgos más altos. Los delegados de protección de datos (artículos 37-39) deben garantizar el cumplimiento dentro de las organizaciones.

Deben ser designados:

Para todas las autoridades públicas, a excepción de los tribunales que actúan en su capacidad judicial
Si las actividades centrales del controlador o del procesador consisten en
- Tratamiento de "operaciones" que, en virtud de su naturaleza, su alcance y / o sus propósitos, requieren un control regular y sistemático de los interesados a gran escala
- Tratamiento en una "escala" grande de categorías especiales de datos de conformidad con el artículo 9 y datos personales relacionados con condenas penales y delitos a que se refiere el artículo 10^[15]

Base legal para tratamiento

Los datos solo se pueden tratar si existe al menos una base legal para hacerlo.^[16] El artículo 6 establece que los fines lícitos son:

El interesado ha dado su consentimiento para el tratamiento de sus datos personales con uno o más propósitos específicos.
El tratamiento es necesario para la ejecución de un contrato del que el interesado es parte o para tomar medidas precontractuales a petición del interesado antes de celebrar un contrato.
El tratamiento es necesario para cumplir con una obligación legal a la cual el controlador, responsable del tratamiento, está sujeto.
El tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física.
El tratamiento es necesario para la realización de una tarea llevada a cabo en interés público o en el ejercicio de poderes públicos conferida al controlador.
El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, salvo cuando dichos intereses sean anulados por los intereses o los derechos y libertades fundamentales del interesado que requieren protección de datos personales, en particular cuando el interesado es un niño.

Consentimiento

Cuando el consentimiento se utiliza como la base legal para el tratamiento, el consentimiento debe ser explícito para los datos recopilados y los fines para los que se utilizan los datos (Artículo 7, definido en el Artículo 4^[17]). Consentimiento para niños^[18] debe ser otorgado por el padre o tutor del niño, y verificable (Artículo 8^[19]). El consentimiento debe ser una afirmación específica, libre, clara e inequívoca dada por el interesado; un formulario en línea que tenga opciones de consentimiento estructuradas como una opción de exclusión seleccionada por defecto es una violación del RGPD, ya que el consentimiento no es afirmado inequívocamente por el usuario. Además, no se pueden "agrupar" múltiples tipos de tratamiento en una única solicitud de afirmación, ya que no es específica para cada uso de los datos, y los permisos individuales no se otorgan libremente. (Considerando 32^[20]). Los controladores de datos deben poder probar el "consentimiento" (opt-in) y el consentimiento puede ser retirado.^[21]

Los interesados deben poder retirar este consentimiento en cualquier momento, y el proceso para hacerlo no debe ser más difícil de lo que fue aceptarlo. (Apartado 3 del artículo 7^[22]) El responsable del tratamiento no podrá denegar el servicio a los usuarios que denieguen su consentimiento a un tratamiento que no sea estrictamente necesario para utilizar el servicio. (Artículo 8)

La cuestión del consentimiento de RGPD tiene una serie de implicaciones para las empresas que graban llamadas en la práctica. Los típicos avisos del tipo "esta llamada está siendo grabada por motivos de seguridad" ya no serán suficientes para obtener el consentimiento asumido para grabar llamadas. Además, cuando la grabación haya comenzado, si la persona que es grabada retira su consentimiento, entonces el agente que recibe la llamada debe ser capaz de detener una grabación previamente iniciada y asegurarse de que la grabación no se guarde.^[23]

Si ya se había dado el consentimiento para el tratamiento según la Directiva de protección de datos, el responsable del tratamiento no tiene que volver a obtenerlo si el tratamiento está documentado y se ha obtenido de conformidad con los requisitos del RGPD (considerando 171^[24]).

Delegado de protección de datos

Cuando el tratamiento lo lleve a cabo una autoridad pública, a excepción de los tribunales o autoridades judiciales independientes cuando actúan en su capacidad judicial, o cuando, en el sector privado, el tratamiento lo lleva a cabo un controlador cuyas actividades centrales consisten en operaciones de tratamiento que requieren regular y la supervisión sistemática de los interesados, una persona con conocimiento experto de la legislación y prácticas de protección de datos debería ayudar al controlador o procesador a supervisar el cumplimiento interno de este Reglamento.

El DPO es similar pero no es lo mismo que un Oficial de Cumplimiento, ya que también se espera que sea competente en la gestión de procesos de TI, seguridad de datos (incluido el tratamiento de ciberataques) y otros problemas críticos de continuidad empresarial en la retención y tratamiento de datos personales y confidenciales datos. El conjunto de habilidades requeridas se extiende más allá de comprender el cumplimiento legal con las leyes y regulaciones de protección de datos.

El nombramiento de un DPO dentro de una gran organización será un desafío para la Junta, así como para el individuo en cuestión. Hay una miríada de problemas de gobernanza y factores humanos que las organizaciones y compañías deberán abordar dado el alcance y la naturaleza de la designación. Además, el titular del puesto tendrá que crear su propio equipo de soporte y también será responsable de su propio desarrollo profesional continuo, ya que deben ser independientes de la organización que los emplea, efectivamente como un "mini-regulador".

El 13 de diciembre de 2016 (revisado el 5 de abril de 2017) se proporcionaron más detalles sobre la función y la función del delegado de protección de datos con un documento de orientación.^[25]

Seudonimización

La seudonimización es un procedimiento de gestión de datos y desidentificación de datos mediante el cual los campos de información personalmente identificables dentro de un registro de datos se sustituyen por uno o más identificadores artificiales. Un único seudónimo para cada campo sustituido o conjunto de campos sustituidos hace que el registro de datos sea menos identificable, pero sigue siendo adecuado para el análisis de datos y el procesamiento de datos. La seudonimización es una tecnología que mejora la privacidad y se recomienda para reducir los riesgos para los interesados y también para ayudar a los responsables y encargados del tratamiento a cumplir sus obligaciones en materia de protección de datos (considerando 28^[26]).

Los datos seudonimizados encarnan el estado de la técnica en materia de Protección de Datos por Diseño y por defecto, ya que requiere la protección de los identificadores directos e indirectos (no sólo los directos). Los principios de la protección de datos por diseño y por defecto del RGPD, tal y como se plasman en la seudonimización, exigen la protección de los identificadores directos e indirectos, de modo que los datos personales no puedan ser objeto de referencias cruzadas (o re-identificación) a través del "efecto mosaico" sin acceder a la "información adicional" que el responsable del tratamiento conserva por separado. Dado que el acceso a la "información adicional" conservada por separado es necesario para la re-identificación, el responsable del tratamiento puede limitar la atribución de los datos a un sujeto de datos específico para apoyar únicamente los fines legales.

La seudonimización (o pseudonimización, la grafía según las directrices europeas) es una forma de cumplir con las exigencias del nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea para el almacenamiento seguro de la información personal. Los datos seudonimizados pueden ser restaurados a su estado original con la adición de información que permita volver a identificar a los individuos, mientras que los datos anonimizados nunca pueden ser restaurados a su estado original.

Un ejemplo de seudonimización es el cifrado, que hace ininteligibles los datos originales en un proceso que no puede revertirse sin acceso a la clave de descifrado correcta. El RGPD exige que la información adicional (como la clave de descifrado) se conserve separada de los datos seudonimizados.

Otro ejemplo de seudonimización es la tokenización, que es un enfoque no matemático para proteger los datos en reposo que sustituye los datos sensibles por sustitutos no sensibles, denominados tokens. Aunque los tokens no tienen ningún significado o valor extrínseco o explotable, permiten que los datos específicos sean total o parcialmente visibles para su procesamiento y análisis, mientras que la información sensible se mantiene oculta. La tokenización no altera el tipo ni la longitud de los datos, lo que significa que pueden ser procesados por sistemas heredados, como las bases de datos, que pueden ser sensibles a la longitud y el tipo de los datos. También requiere muchos menos recursos informáticos para su procesamiento y menos espacio de almacenamiento en las bases de datos que los datos cifrados tradicionalmente.

El RGPD de la Unión Europea se refiere al cifrado, o encriptación, de los datos como la fórmula más segura para su protección. De hecho, señala en sus artículos 33^[27] y 34^[28] que, si se tiene cifrada la información, aunque se produzca una fuga no es necesaria la notificación a los afectados, ni a la autoridad administrativa correspondiente, en el caso de España la Agencia Española de Protección de Datos..

También señala la seudonimización como algo demandado para cualquier almacenaje de datos personales sobre personas dentro del UE como alternativa a la otra opción de anonimización de datos.^[29]

Seguridad de los datos personales

Para aplicar los principios de protección de datos, los encargados y los responsables del tratamiento de datos personales deben establecer medidas técnicas y medidas organizativas adecuadas para aplicar los principios de protección de datos.. Y los procesos empresariales que manejan datos personales , deben estar diseñados y construidos teniendo en cuenta los principios y proporcionando salvaguardias para proteger los datos (ejemplo, utilizando la seudonimización o la anonimización completa cuando sea necesario). Los responsables del tratamiento diseñan los sistemas de información teniendo en cuenta la privacidad. Por ejemplo, utilizando una configuración de privacidad lo más alta posible por defecto, de modo que los conjuntos de datos no estén disponibles públicamente y no puedan utilizarse para identificar a un sujeto. No se puede tratar ningún dato personal a menos que este tratamiento se realice en virtud de una de las seis bases legales especificadas por el reglamento (consentimiento, contrato, función pública, interés vital, interés legítimo o requisito legal). Cuando el tratamiento se basa en el consentimiento, el interesado tiene derecho a revocarlo en cualquier momento.

En caso de ocurrir una brecha de seguridad que pueda afectar a los datos personales, el artículo 33 establece que el responsable del tratamiento tiene la obligación legal de notificarlo a la autoridad de control sin dilación indebida, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de las personas. Hay un plazo máximo de 72 horas tras tener conocimiento de la violación de los datos para realizar la notificación. Las personas deben ser notificadas si se determina un alto riesgo de impacto perjudicial (artículo 34). Además, el encargado del tratamiento tendrá que notificar al responsable del tratamiento sin dilación indebida tras tener conocimiento de una violación de datos personales (artículo 33). Sin embargo, la notificación a los interesados no será necesaria si el responsable del tratamiento ha aplicado medidas técnicas y organizativas de protección adecuadas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado (artículo 34)

Violaciones de datos

Bajo el RGPD, el Controlador de Datos estará bajo la obligación legal de notificar a la Autoridad de Supervisión sin demora indebida. La notificación de una filtración de datos no está sujeta a ninguna norma de minimis y debe notificarse a la Autoridad de Supervisión dentro de las 72 horas posteriores a haber tenido conocimiento de la violación de datos (Artículo 33). Las personas deben ser notificadas si se determina un impacto adverso (Artículo 34). Además, el procesador de datos deberá notificar al controlador sin demora después de conocer una violación de datos personales (Artículo 33).

Sin embargo, la notificación a los interesados no es necesaria si el responsable del tratamiento ha implementado medidas de protección técnicas y organizativas apropiadas que hacen que los datos personales sean ininteligibles para cualquier persona que no esté autorizada para acceder, como el cifrado (Artículo 34).

Sanciones

Las siguientes sanciones pueden ser impuestas:

Una advertencia por escrito en los casos de incumplimiento previo e intencional,
Auditorías periódicas de protección de datos,
Una multa de hasta 10 000 000 de euros o hasta el 2 % del volumen de negocios mundial anual del ejercicio anterior en el caso de una empresa, cualquiera que sea mayor, cuando haya habido una infracción de las siguientes disposiciones (Artículo 83, Párrafo 4)^[30]):
- Las obligaciones del controlador y del procesador de conformidad con los artículos 8, 11, 25 a 39, 42 y 43,
- Las obligaciones del organismo de certificación de conformidad con los artículos 42 y 43,
- Las obligaciones del organismo de supervisión de conformidad con el artículo 41 (4).
Una multa de hasta 20 000 000 de euros o hasta el 4 % del volumen de negocios anual del año financiero anterior en el caso de una empresa, cualquiera que sea mayor, cuando se haya infringido las siguientes disposiciones: (Artículo 83, párrafos 5 y 6^[30]).
- Los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento, de conformidad con los artículos 5, 6, 7 y 9,
- Los derechos de los interesados con arreglo a los artículos 12 a 22
- Las transferencias de datos personales a un destinatario en un tercer país o una organización internacional de conformidad con los artículos 44 a 49,
- Cualquier obligación conforme a la ley de los Estados miembros adoptada en virtud del Capítulo IX,
- El incumplimiento de una orden o una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad supervisora de conformidad con el artículo 58 (2) o la falta de acceso en violación del artículo 58 (1).

Exenciones

Estos son algunos casos que no se abordan específicamente en el RGPD, por lo que se tratan como exenciones.

Actividades personales o domésticas
Cumplimiento de la ley
Seguridad nacional

Cuando se creó el RGPD, se hizo estrictamente para la regulación de los datos personales que van a parar a manos de las empresas. Lo que no está cubierto por el RGPD es la información no comercial o las actividades domésticas Un ejemplo de estas actividades domésticas pueden ser los correos electrónicos entre dos amigos del instituto.

Por el contrario, una entidad o, más exactamente, una "empresa", tiene que desarrollar una "actividad económica" para estar cubierta por el RGPD. La actividad económica se define en sentido amplio en el derecho de la competencia de la Unión Europea.

Cronología

La propuesta^[10] para RGPD se lanzó el 25 de enero de 2012.

21 de octubre de 2013: Comisión de Libertades Civiles, Justicia y Asuntos de Interior del Parlamento Europeo (LIBE) tenía su voto de orientación.

15 de diciembre de 2015: Negociaciones entre Parlamento Europeo, Consejo y Comisión (tripartito) resultó en una propuesta conjunta.

17 de diciembre de 2015: La comisión LIBE del Parlamento Europeo votó positivamente sobre el resultado de las negociaciones entre las tres partes.

8 de abril de 2016: Adopción por el Consejo de la Unión Europea.^[31] El único estado miembro que votó en contra fue Austria, argumentando que el nivel de protección de datos en algunos aspectos es bajo en comparación con la directiva de 1995.^[32]^[33]

14 de abril de 2016: Adopción por el Parlamento Europeo.^[34]

El reglamento entró en vigor 20 días después de su publicación en el Diario oficial de la Unión Europea el 4 de mayo de 2016.^[35] Sus disposiciones serán directamente aplicables en todos los estados miembros dos años después de esta fecha.

Es aplicable desde el 25 de mayo de 2018.^[35]

Mercado único digital de la UE

La estrategia de mercado único digital de la UE tiene como objetivo abrir oportunidades digitales para las personas y las empresas y mejorar la posición de Europa como líder mundial en la economía digital.^[36]

Como parte de esta estrategia, el RGPD y la Directiva sobre seguridad de redes y sistemas de información (Directiva NIS) es aplicable desde el 25 de mayo de 2018. El "[propuesto]" Reglamento de privacidad electrónica también es aplicable a partir del 25 de mayo de 2018. El el Reglamento eIDAS también es parte de la estrategia.

Control Ciudadano de Datos Personales

Bajo el RGPD, se alienta a las organizaciones a devolver el control de los datos personales al individuo o ciudadano. Haciéndoles más fácil el acceso a las organizaciones de datos que tienen y para que puedan cambiar los permisos que otorgan para que se utilicen (ver Bases legales para el tratamiento) o compartido.

Gestión de información personal ayuda a las organizaciones a devolver este control, y hay una serie de herramientas y soluciones para ayudar con esto.

Recibimiento

Según un estudio dirigido por Deloitte en 2018, el 92% de las compañías creen que pueden cumplir con la RGPD en sus prácticas a largo plazo.^[37]

Compañías que operan fuera de la UE han invertido mucho para orientar sus prácticas de empresa con la RGPD. El rango de consentimiento de la RGPD tiene un número de implicaciones para negocios que registraban llamadas como una cuestión de práctica. El típico aviso legal no es considerado suficiente para obtener el consentimiento para grabar llamadas. Además, cuando la grabación ha comenzado, la persona que llama debería retirar su consentimiento, después, el agente quien recibe la llamada debería poder parar una grabación previamente empezada y garantizar que la grabación no se va a almacenar.^[38]

Los profesionales de informática prevén que el cumplimiento de la RGPD va a requerir una inversión adicional en general: más del 80 por ciento de los encuestados esperaban que los gastos relacionados con el RGPD fueran al menos de 100.000 dólares estadounidenses.^[39] Las preocupaciones se hicieron eco en un informe encargado al bufete de abogados Baker & McKenzie, que encontraron que sobre "un 70 por ciento de los encuestados creen que las organizaciones necesitarán una inversión adicional en presupuesto/esfuerzo para cumplir con el consentimiento, mapeo de datos y requerimientos bajo la RGPD de transferencia de datos transfronteriza".^[40] El coste total de las compañías de la UE es estimado en 200 mil millones de euros mientras que las compañías estadounidenses se espera de un coste de 41,7 mil millones de dólares. Esto ha sido discutido que pequeños negocios y empresas emergentes pueden no tener los recursos financieros para cumplir adecuadamente con la RGPD, a diferencia de las grandes empresas internacionales de tecnología (como Facebook y Google) que aparentemente está destinada esta regulación.^[41]^[42] La falta de conocimiento y comprensión de la normativa también ha sido motivo de preocupación en el periodo previo a su adaptación.^[43] El contraargumento a esto ha sido que las compañías fueron informadas de estos cambios dos años antes de su entrada en vigor y deberían haber tenido tiempo suficiente para prepararse.^[44]

La normativa, incluida la cuestión de si una empresa debe contar con un delegado de protección de datos, han sido criticadas por la posible carga administrativa y requisitos de cumplimiento poco claros.^[45] Aunque, la minimización de datos es un requisito, siendo la seudonimización es un de los posibles medios, la regulación no proviene una guía de cómo y qué constituye un esquema efectivo de desidentificación de datos, con un área gris sobre que podría considerarse como seudonimización inadecuada sujeta a acciones de ejecución de la Sección 5.^[46] También existe preocupación con respecto a la implementación de la RGPD en sistemas blockchain, como el registro transparente y registro de las transacciones blockchain que contradice con la naturaleza de la RGPD.^[47] Muchos medios de comunicación han comentado sobre la introducción de un “derecho a la explicación” de las decisiones algorítmicas,^[48]^[49] pero los juristas han argumentado que la existencia de ese derecho es muy poco clara sin pruebas judiciales y limitada en el mejor de los casos.^[50]^[51]

La RGPD ha ido ganando apoyos de negocios quienes ven esto como una oportunidad para mejorar su gestión de los datos.^[52]^[53] Mark Zuckerberg también lo ha llamado como “algo muy positivo para el Internet”,^[54] y ha pedido que se adopten leyes del estilo RGPD en los EE. UU..^[55] Grupos de derechos del consumidor, como la Organización Europea del Consumidor, se encuentran entre los defensores más activos de la legislación.^[56] Otros simpatizantes han atribuido su paso al denunciante Edward Snowden.^[57] El defensor del software libre, Richard Stallman, ha elogiado algunos aspectos de la RGPD pero pidió salvaguardias adicionales para prevenir que las empresas de tecnología “autoricen su manufacturación”.^[58]

Impacto

Los expertos académicos que participaron en la formulación del RGPD escribieron que la ley "es el desarrollo normativo más consecuente en política de la información en una generación. El RGPD incorpora los datos personales a un régimen regulador complejo y protector".

A pesar de haber tenido al menos dos años para prepararse y hacerlo, muchas empresas y sitios web cambiaron sus políticas de privacidad y características en todo el mundo directamente antes de la aplicación del RGPD, y habitualmente proporcionaron notificaciones por correo electrónico y de otro tipo discutiendo estos cambios. Los expertos señalaron que algunos correos electrónicos recordatorios afirmaban erróneamente que debía obtenerse un nuevo consentimiento para el tratamiento de datos cuando entrara en vigor el RGPD (cualquier consentimiento obtenido previamente para el tratamiento es válido siempre que cumpla los requisitos del Reglamento). También surgieron estafas de phishing utilizando versiones falsificadas de correos electrónicos relacionados con el RGPD, y también se argumentó que algunos correos electrónicos de aviso del GDPR en realidad pueden haber sido enviados en violación de las leyes anti-spam. En marzo de 2019, un proveedor de software de cumplimiento descubrió que muchos sitios web operados por los gobiernos de los estados miembros de la UE contenían seguimiento incrustado de proveedores de tecnología publicitaria.

El diluvio de avisos relacionados con el GDPR también inspiró memes, incluidos los que rodean los avisos de política de privacidad que se entregan por medios atípicos (como un tablero de Ouija o el opening de Star Wars), sugiriendo que la lista de "travieso o bueno" de Santa Claus era una violación del RGPD. También se creó un blog, RGPD Hall of Shame (Salón de la Vergüenza del RGPD), para mostrar entregas inusuales de notificaciones del RGPD e intentos de cumplimiento que contenían violaciones flagrantes de los requisitos del Reglamento. Su autor señaló que el Reglamento "contiene muchos detalles, pero no mucha información sobre cómo cumplirlo", pero también reconoció que las empresas tenían dos años para cumplirlo, por lo que algunas de sus respuestas no estaban justificadas^[59]^[60]

Las investigaciones indican que aproximadamente el 25 % de las vulnerabilidades de software tienen implicaciones para el RGPD.^[61] Dado que el artículo 33 hace hincapié en las infracciones, no en los bugs, los expertos en seguridad aconsejan a las empresas que inviertan en procesos y capacidades para identificar vulnerabilidades antes de que puedan ser explotadas, incluidos procesos coordinados de divulgación de vulnerabilidades. Una investigación de las políticas de privacidad, las capacidades de acceso a datos y el comportamiento de acceso a datos de las aplicaciones de Android ha demostrado que muchas aplicaciones muestran un comportamiento algo más respetuoso con la privacidad desde la aplicación del RGPD, aunque siguen conservando la mayoría de sus privilegios de acceso a datos en su código.^[62]

En la fecha de entrada en vigor, algunos sitios web empezaron a bloquear completamente a los visitantes de países de la UE (entre ellos Instapaper,[94] Unroll.me, y periódicos propiedad de Tribune Publishing, como Chicago Tribune y Los Angeles Times) o a redirigirlos a versiones reducidas de sus servicios (en el caso de National Public Radio y USA Today) con funcionalidad limitada y/o sin publicidad para que no sean responsables. Algunas empresas, como Klout^[63], y varios videojuegos en línea, cesaron sus operaciones por completo coincidiendo con el cierre de su aplicación, citando el RGPD como una carga para sus operaciones , especialmente debido al modelo de negocio de las primeras, basado en recolección de datos personales para la elaboración de perfiles y publicidad. El volumen de publicación de publicidad conductual en línea en Europa cayó entre un 25 y un 40% el 25 de mayo de 2018.^[64]

En 2020, dos años después de que el GDPR comenzara su aplicación, la Comisión Europea evaluó que los usuarios de toda la UE habían aumentado su conocimiento sobre sus derechos, afirmando que "el 69% de la población mayor de 16 años de la UE ha oído hablar del RGPD y el 71% de las personas ha oído hablar de su autoridad nacional de protección de datos"^[65] La comisión también descubrió que la privacidad se ha convertido en una cualidad competitiva para las empresas que los consumidores tienen en cuenta en sus procesos de toma de decisiones^[66].

Referencias

↑ «Aprobada la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales». Agencia Española de Protección de Datos. 23 de noviembre de 2018.
↑ «https://via.hypothes.is/http://mlawgroup.de/news/publications/detail.php#annotations:oExZ4PVtEeefHEPs4cEz6w». via.hypothes.is (en alemán). Consultado el 18 de enero de 2018.
↑ "Inofficial [sic] consolidated version GDPR" Archivado el 31 de diciembre de 2013 en Wayback Machine.. Rapporteur Jan Philipp Albrecht. Retrieved 9 December 2013.
↑ Proposal for the EU General Data Protection Regulation. Comisión Europea. 25 de enero de 2012. Consultado el 3 de enero de 2013.
↑ Artículo 3: Ámbito territorial 3.1El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no. 3.2El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o el control de su comportamiento, en la medida en que este tenga lugar en la Unión. 3.3El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.
↑ El presente Reglamento no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas.
↑ European Commission’s press release announcing the proposed comprehensive reform of data protection rules. 25 de enero de 2012. Consultado el 3 de enero de 2013.
↑ Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales aplicables a la transmisión de datos personales, dentro de un grupo empresarial, a una empresa situada en un país tercero no se ven afectados.
↑ El Reglamento de Protección de Datos General de la UE propuesto. Una guía para abogados internos, Hunton & Williams LLP, June 2015, p. 14
↑ ^a ^b "Propuesta GDPR "
↑ editor, Ian Sample Science (27 de enero de 2017). «El perro guardián de la IA necesita regular la toma de decisiones automatizada, dicen los expertos». The Guardian (en inglés británico). ISSN 0261-3077. Consultado el 15 de julio de 2017.
↑ «EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence». www.techzone360.com (en inglés). Consultado el 15 de julio de 2017.
↑ Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28 de diciembre de 2016). Por qué no existe un derecho a la explicación de la toma de decisiones automatizada en el Reglamento general de protección de datos – via SSRN.
↑ Edwards, Lilian; Veale, Michael (2017). «Esclavo del algoritmo? Por qué el "derecho a una explicación" probablemente no sea el remedio que está buscando». Duke Law and Technology Review. SSRN 2972855. doi:10.2139/ssrn.2972855. El material ha sido copiado de esta fuente. Se autoriza la reutilización de los datos EUR-Lex con fines comerciales o no comerciales siempre que se indique la fuente.
↑ «EUR-Lex – Art. 37». eur-lex.europa.eu (en inglés). Consultado el 23 de enero de 2017. El material ha sido copiado de esta fuente. La reutilización de los datos EUR-Lex para fines comerciales o no comerciales está autorizada siempre que se mencione la fuente.
↑ «EUR-Lex - 32016R0679 - EN - EUR-Lex». eur-lex.europa.eu (en inglés). Consultado el 7 de noviembre de 2017. El material ha sido copiado de esta fuente. Se autoriza la reutilización de los datos EUR-Lex con fines comerciales o no comerciales siempre que se indique la fuente.
↑ 7.4 Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.
↑ Artículo 8 (1): "A los efectos del presente Reglamento, en relación con la oferta de servicios de la sociedad de la información directamente a un niño, el tratamiento de los datos personales de un niño menor de 13 años deberá solo será legal si y en la medida en que el padre o el tutor del niño brinde o autorice el consentimiento ".
↑ 8.1 El tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó. Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.
↑ El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.
↑ "How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide". Judy Schmitt, Florian Stahl. 11 de octubre de 2012. Consultado el 3 de enero de 2013.
↑ 7.3 El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.
↑ «How Smart Businesses Can Avoid GDPR Penalties When Recording Calls». www.xewave.io (en inglés británico). Archivado desde el original el 14 de abril de 2018. Consultado el 13 de abril de 2018.
↑ Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento.
↑ «Directrices sobre oficiales de protección de datos». Consultado el 27 de agosto de 2017.
↑ La aplicación de la seudonimización a los datos personales puede reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos. Así pues, la introducción explícita de la «seudonimización» en el presente Reglamento no pretende excluir ninguna otra medida relativa a la protección de los datos.
↑ En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.
↑ 34. 3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes: a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado; b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1; c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.
↑ Data science under GDPR with pseudonymization in the data pipeline Archivado el 18 de abril de 2018 en Wayback Machine. Publicado por Dativa, 17 de abril de 2018 (en inglés)
↑ ^a ^b Article 83, GDPR
↑ Reforma de la protección de datos: el Consejo adopta posición en primera lectura
↑ Aprobación de la posición del Consejo en primera lectura Archivado el 25 de noviembre de 2017 en Wayback Machine., Votewatch.eu
↑ Procedimiento escrito, 8 de abril de 2016, Consejo de la Unión Europea
↑ Data Reforma de la protección - El Parlamento aprueba nuevas reglas adecuadas para la era digital
↑ ^a ^b EU Official Journal issue L 119
↑ The Digital Single Market on europa.eu
↑ Gooch, Peter (2018). «A new era for privacy-GDPR six months on». https://www2.deloitte.com/content/dam/Deloitte/uk/Documents/risk/deloitte-uk-risk-gdpr-six-months-on.pdf (en inglés) (Deloitte UK). Consultado el 15 de noviembre de 2021.
↑ «What Smart Business Can Do to Avoid GDPR Penalties When Recording Calls» (en inglés). 14 de abril de 2018. Consultado el 15 de noviembre de 2021.
↑ BabelCEO, Chris (11 de julio de 2017). «The High Costs of GDPR Compliance». Dark Reading (en inglés). Consultado el 15 de noviembre de 2021.
↑ «Preparing for New Privacy Regimes: Privacy Professionals' Views on the General Data Protection Regulation and Privacy Shield». https://f.datasrvr.com/fr1/416/76165/IAPP_GDPR_and_Privacy_Shield_Survey_Report.pdf (en inglés) (bakermckenzie.com). 04/05/2016. Consultado el 15 de noviembre de 2021.
↑ «How Europe's 'breakthrough' privacy law takes on Facebook and Google». the Guardian (en inglés). 19 de abril de 2018. Consultado el 15 de noviembre de 2021.
↑ «Europe’s new privacy rules are no silver bullet». POLITICO (en inglés estadounidense). 22 de abril de 2018. Consultado el 15 de noviembre de 2021.
↑ «Lack of GDPR knowledge is a danger and an opportunity». MicroscopeUK (en inglés). Consultado el 15 de noviembre de 2021.
↑ Jeong, Sarah (22 de mayo de 2018). «No one’s ready for GDPR». The Verge (en inglés). Consultado el 15 de noviembre de 2021.
↑ Edwards, Elaine. «New rules on data protection pose compliance issues for firms». The Irish Times (en inglés). Consultado el 15 de noviembre de 2021.
↑ «Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization». Consultado el 15 de noviembre de 2021.
↑ Gorey, Colm (23 de noviembre de 2017). «Are financial institutions ready for blockchain and GDPR?». Silicon Republic (en inglés). Consultado el 15 de noviembre de 2021.
↑ «AI watchdog needed to regulate automated decision-making, say experts». the Guardian (en inglés). 27 de enero de 2017. Consultado el 15 de noviembre de 2021.
↑ «EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence». www.techzone360.com (en inglés). Consultado el 15 de noviembre de 2021.
↑ Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28 de diciembre de 2016). Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation (en inglés) (ID 2903469). Social Science Research Network. Consultado el 15 de noviembre de 2021.
↑ Edwards, Lilian; Veale, Michael (23 de mayo de 2017). Slave to the Algorithm? Why a 'Right to an Explanation' Is Probably Not the Remedy You Are Looking For (en inglés) (ID 2972855). Social Science Research Network. Consultado el 15 de noviembre de 2021.
↑ Fimin, Michael. «Council Post: Five Benefits GDPR Compliance Will Bring To Your Business». Forbes (en inglés). Consultado el 15 de noviembre de 2021.
↑ Butterworth, Trevor (26 de marzo de 2018). «Europe’s tough new digital privacy law should be a model for US policymakers». Vox (en inglés). Consultado el 15 de noviembre de 2021.
↑ Jaffe, Justin. «What the GDPR means for Facebook, Google and you». CNET (en inglés). Consultado el 15 de noviembre de 2021.
↑ Schulze, Elizabeth (1 de abril de 2019). «Mark Zuckerberg says he wants stricter European-style privacy laws — but some experts are questioning his motives». CNBC (en inglés). Consultado el 15 de noviembre de 2021.
↑ Tiku, Nitasha. «How Europe's New Privacy Law Will Change the Web, and More». Wired (en inglés estadounidense). ISSN 1059-1028. Consultado el 15 de noviembre de 2021.
↑ «Analysis | Today, a new E.U. law transforms privacy rights for everyone. Without Edward Snowden, it might never have happened.». Washington Post (en inglés estadounidense). ISSN 0190-8286. Consultado el 15 de noviembre de 2021.
↑ «A radical proposal to keep your personal data safe | Richard Stallman». the Guardian (en inglés). 3 de abril de 2018. Consultado el 15 de noviembre de 2021.
↑ Watercutter, Angela. «How Europe's GDPR Regulations Became a Meme». Wired (en inglés estadounidense). ISSN 1059-1028. Consultado el 30 de marzo de 2023.
↑ «Here Are Some of the Worst Attempts At Complying with GDPR». www.vice.com (en inglés). Consultado el 30 de marzo de 2023.
↑ «What Percentage of Your Software Vulnerabilities Have GDPR Implications?». What Percentage of Your Software Vulnerabilities Have GDPR Implications?.
↑ Hatamian, Majid; Momen, Nurul; Fritsch, Lothar; Rannenberg, Kai (8 de junio de 2019). A Multilateral Privacy Impact Analysis Method for Android Apps. Consultado el 30 de marzo de 2023.
↑ Klout era un sitio web y una aplicación móvil que utilizaba análisis de redes sociales para calificar a sus usuarios según su influencia social en línea a través de la "puntuación Klout", que era un valor numérico entre 1 y 100. Para determinar la puntuación de un usuario, Klout medía el tamaño de su red de redes sociales y correlacionaba el contenido creado para medir cómo interactuaban otros usuarios con ese contenido[1]. Para determinar la puntuación del usuario, Klout medía el tamaño de la red social de un usuario y correlacionaba el contenido creado para medir cómo otros usuarios interactuaban con ese contenido[1] Klout se lanzó en 2008.
↑ «The impact of the GDPR on the online advertising market | WorldCat.org». www.worldcat.org. Consultado el 30 de marzo de 2023.
↑ «Press corner». European Commission - European Commission (en inglés). Consultado el 30 de marzo de 2023.
↑ «Press corner». European Commission - European Commission (en inglés). Consultado el 30 de marzo de 2023.

Enlaces externos

Datos: Q1172506
Multimedia: General Data Protection Regulation / Q1172506

[1] «Aprobada la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales». Agencia Española de Protección de Datos. 23 de noviembre de 2018.

[2] «https://via.hypothes.is/http://mlawgroup.de/news/publications/detail.php#annotations:oExZ4PVtEeefHEPs4cEz6w». via.hypothes.is (en alemán). Consultado el 18 de enero de 2018.

[janalbrecht.eu-3] "Inofficial [sic] consolidated version GDPR" Archivado el 31 de diciembre de 2013 en Wayback Machine.. Rapporteur Jan Philipp Albrecht. Retrieved 9 December 2013.

[:0-4] Proposal for the EU General Data Protection Regulation. Comisión Europea. 25 de enero de 2012. Consultado el 3 de enero de 2013.

[5] Artículo 3: Ámbito territorial 3.1El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no. 3.2El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o el control de su comportamiento, en la medida en que este tenga lugar en la Unión. 3.3El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público.

[6] El presente Reglamento no se aplica al tratamiento de datos de carácter personal por una persona física en el curso de una actividad exclusivamente personal o doméstica y, por tanto, sin conexión alguna con una actividad profesional o comercial. Entre las actividades personales o domésticas cabe incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en las redes sociales y la actividad en línea realizada en el contexto de las citadas actividades. No obstante, el presente Reglamento se aplica a los responsables o encargados del tratamiento que proporcionen los medios para tratar datos personales relacionados con tales actividades personales o domésticas.

[7] European Commission’s press release announcing the proposed comprehensive reform of data protection rules. 25 de enero de 2012. Consultado el 3 de enero de 2013.

[8] Los responsables que forman parte de un grupo empresarial o de entidades afiliadas a un organismo central pueden tener un interés legítimo en transmitir datos personales dentro del grupo empresarial para fines administrativos internos, incluido el tratamiento de datos personales de clientes o empleados. Los principios generales aplicables a la transmisión de datos personales, dentro de un grupo empresarial, a una empresa situada en un país tercero no se ven afectados.

[9] El Reglamento de Protección de Datos General de la UE propuesto. Una guía para abogados internos, Hunton & Williams LLP, June 2015, p. 14

[:1-10] "Propuesta GDPR "

[11] tor, Ian Sample Science (27 de enero de 2017). «El perro guardián de la IA necesita regular la toma de decisiones automatizada, dicen los expertos». The Guardian (en inglés británico). ISSN 0261-3077. Consultado el 15 de julio de 2017.

[12] «EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence». www.techzone360.com (en inglés). Consultado el 15 de julio de 2017.

[13] Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28 de diciembre de 2016). Por qué no existe un derecho a la explicación de la toma de decisiones automatizada en el Reglamento general de protección de datos – via SSRN.

[:3-14] Edwards, Lilian; Veale, Michael (2017). «Esclavo del algoritmo? Por qué el "derecho a una explicación" probablemente no sea el remedio que está buscando». Duke Law and Technology Review. SSRN 2972855. doi:10.2139/ssrn.2972855. El material ha sido copiado de esta fuente. Se autoriza la reutilización de los datos EUR-Lex con fines comerciales o no comerciales siempre que se indique la fuente.

[15] «EUR-Lex – Art. 37». eur-lex.europa.eu (en inglés). Consultado el 23 de enero de 2017. El material ha sido copiado de esta fuente. La reutilización de los datos EUR-Lex para fines comerciales o no comerciales está autorizada siempre que se mencione la fuente.

[16] «EUR-Lex - 32016R0679 - EN - EUR-Lex». eur-lex.europa.eu (en inglés). Consultado el 7 de noviembre de 2017. El material ha sido copiado de esta fuente. Se autoriza la reutilización de los datos EUR-Lex con fines comerciales o no comerciales siempre que se indique la fuente.

[17] 7.4 Al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta en la mayor medida posible el hecho de si, entre otras cosas, la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato.

[18] Artículo 8 (1): "A los efectos del presente Reglamento, en relación con la oferta de servicios de la sociedad de la información directamente a un niño, el tratamiento de los datos personales de un niño menor de 13 años deberá solo será legal si y en la medida en que el padre o el tutor del niño brinde o autorice el consentimiento ".

[19] 8.1 El tratamiento de los datos personales de un niño se considerará lícito cuando tenga como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó. Los Estados miembros podrán establecer por ley una edad inferior a tales fines, siempre que esta no sea inferior a 13 años.

[20] El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales. Por tanto, el silencio, las casillas ya marcadas o la inacción no deben constituir consentimiento. El consentimiento debe darse para todas las actividades de tratamiento realizadas con el mismo o los mismos fines. Cuando el tratamiento tenga varios fines, debe darse el consentimiento para todos ellos. Si el consentimiento del interesado se ha de dar a raíz de una solicitud por medios electrónicos, la solicitud ha de ser clara, concisa y no perturbar innecesariamente el uso del servicio para el que se presta.

[asociación_de_privacidad-21] "How the Proposed EU Data Protection Regulation Is Creating a Ripple Effect Worldwide". Judy Schmitt, Florian Stahl. 11 de octubre de 2012. Consultado el 3 de enero de 2013.

[22] 7.3 El interesado tendrá derecho a retirar su consentimiento en cualquier momento. La retirada del consentimiento no afectará a la licitud del tratamiento basada en el consentimiento previo a su retirada. Antes de dar su consentimiento, el interesado será informado de ello. Será tan fácil retirar el consentimiento como darlo.

[23] «How Smart Businesses Can Avoid GDPR Penalties When Recording Calls». www.xewave.io (en inglés británico). Archivado desde el original el 14 de abril de 2018. Consultado el 13 de abril de 2018.

[24] Cuando el tratamiento se base en el consentimiento de conformidad con la Directiva 95/46/CE, no es necesario que el interesado dé su consentimiento de nuevo si la forma en que se dio el consentimiento se ajusta a las condiciones del presente Reglamento, a fin de que el responsable pueda continuar dicho tratamiento tras la fecha de aplicación del presente Reglamento.

[25] «Directrices sobre oficiales de protección de datos». Consultado el 27 de agosto de 2017.

[26] La aplicación de la seudonimización a los datos personales puede reducir los riesgos para los interesados afectados y ayudar a los responsables y a los encargados del tratamiento a cumplir sus obligaciones de protección de los datos. Así pues, la introducción explícita de la «seudonimización» en el presente Reglamento no pretende excluir ninguna otra medida relativa a la protección de los datos.

[27] En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

[28] 34. 3. La comunicación al interesado a que se refiere el apartado 1 no será necesaria si se cumple alguna de las condiciones siguientes: a) el responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado; b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1; c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados.

[29] Data science under GDPR with pseudonymization in the data pipeline Archivado el 18 de abril de 2018 en Wayback Machine. Publicado por Dativa, 17 de abril de 2018 (en inglés)

[article83-30] Article 83, GDPR

[31] Reforma de la protección de datos: el Consejo adopta posición en primera lectura

[32] Aprobación de la posición del Consejo en primera lectura Archivado el 25 de noviembre de 2017 en Wayback Machine., Votewatch.eu

[33] Procedimiento escrito, 8 de abril de 2016, Consejo de la Unión Europea

[34] Data Reforma de la protección - El Parlamento aprueba nuevas reglas adecuadas para la era digital

[eujournalpublication-35] EU Official Journal issue L 119

[36] The Digital Single Market on europa.eu

[37] Gooch, Peter (2018). «A new era for privacy-GDPR six months on». https://www2.deloitte.com/content/dam/Deloitte/uk/Documents/risk/deloitte-uk-risk-gdpr-six-months-on.pdf (en inglés) (Deloitte UK). Consultado el 15 de noviembre de 2021.

[38] «What Smart Business Can Do to Avoid GDPR Penalties When Recording Calls» (en inglés). 14 de abril de 2018. Consultado el 15 de noviembre de 2021.

[39] BabelCEO, Chris (11 de julio de 2017). «The High Costs of GDPR Compliance». Dark Reading (en inglés). Consultado el 15 de noviembre de 2021.

[40] «Preparing for New Privacy Regimes: Privacy Professionals' Views on the General Data Protection Regulation and Privacy Shield». https://f.datasrvr.com/fr1/416/76165/IAPP_GDPR_and_Privacy_Shield_Survey_Report.pdf (en inglés) (bakermckenzie.com). 04/05/2016. Consultado el 15 de noviembre de 2021.

[41] «How Europe's 'breakthrough' privacy law takes on Facebook and Google». the Guardian (en inglés). 19 de abril de 2018. Consultado el 15 de noviembre de 2021.

[42] «Europe’s new privacy rules are no silver bullet». POLITICO (en inglés estadounidense). 22 de abril de 2018. Consultado el 15 de noviembre de 2021.

[43] «Lack of GDPR knowledge is a danger and an opportunity». MicroscopeUK (en inglés). Consultado el 15 de noviembre de 2021.

[44] Jeong, Sarah (22 de mayo de 2018). «No one’s ready for GDPR». The Verge (en inglés). Consultado el 15 de noviembre de 2021.

[45] Edwards, Elaine. «New rules on data protection pose compliance issues for firms». The Irish Times (en inglés). Consultado el 15 de noviembre de 2021.

[46] «Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization». Consultado el 15 de noviembre de 2021.

[47] Gorey, Colm (23 de noviembre de 2017). «Are financial institutions ready for blockchain and GDPR?». Silicon Republic (en inglés). Consultado el 15 de noviembre de 2021.

[48] «AI watchdog needed to regulate automated decision-making, say experts». the Guardian (en inglés). 27 de enero de 2017. Consultado el 15 de noviembre de 2021.

[49] «EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence». www.techzone360.com (en inglés). Consultado el 15 de noviembre de 2021.

[50] Wachter, Sandra; Mittelstadt, Brent; Floridi, Luciano (28 de diciembre de 2016). Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation (en inglés) (ID 2903469). Social Science Research Network. Consultado el 15 de noviembre de 2021.

[51] Edwards, Lilian; Veale, Michael (23 de mayo de 2017). Slave to the Algorithm? Why a 'Right to an Explanation' Is Probably Not the Remedy You Are Looking For (en inglés) (ID 2972855). Social Science Research Network. Consultado el 15 de noviembre de 2021.

[52] Fimin, Michael. «Council Post: Five Benefits GDPR Compliance Will Bring To Your Business». Forbes (en inglés). Consultado el 15 de noviembre de 2021.

[53] Butterworth, Trevor (26 de marzo de 2018). «Europe’s tough new digital privacy law should be a model for US policymakers». Vox (en inglés). Consultado el 15 de noviembre de 2021.

[54] Jaffe, Justin. «What the GDPR means for Facebook, Google and you». CNET (en inglés). Consultado el 15 de noviembre de 2021.

[55] Schulze, Elizabeth (1 de abril de 2019). «Mark Zuckerberg says he wants stricter European-style privacy laws — but some experts are questioning his motives». CNBC (en inglés). Consultado el 15 de noviembre de 2021.

[56] Tiku, Nitasha. «How Europe's New Privacy Law Will Change the Web, and More». Wired (en inglés estadounidense). ISSN 1059-1028. Consultado el 15 de noviembre de 2021.

[57] «Analysis | Today, a new E.U. law transforms privacy rights for everyone. Without Edward Snowden, it might never have happened.». Washington Post (en inglés estadounidense). ISSN 0190-8286. Consultado el 15 de noviembre de 2021.

[58] «A radical proposal to keep your personal data safe | Richard Stallman». the Guardian (en inglés). 3 de abril de 2018. Consultado el 15 de noviembre de 2021.

[59] Watercutter, Angela. «How Europe's GDPR Regulations Became a Meme». Wired (en inglés estadounidense). ISSN 1059-1028. Consultado el 30 de marzo de 2023.

[60] «Here Are Some of the Worst Attempts At Complying with GDPR». www.vice.com (en inglés). Consultado el 30 de marzo de 2023.

[61] «What Percentage of Your Software Vulnerabilities Have GDPR Implications?». What Percentage of Your Software Vulnerabilities Have GDPR Implications?.

[62] Hatamian, Majid; Momen, Nurul; Fritsch, Lothar; Rannenberg, Kai (8 de junio de 2019). A Multilateral Privacy Impact Analysis Method for Android Apps. Consultado el 30 de marzo de 2023.

[63] Klout era un sitio web y una aplicación móvil que utilizaba análisis de redes sociales para calificar a sus usuarios según su influencia social en línea a través de la "puntuación Klout", que era un valor numérico entre 1 y 100. Para determinar la puntuación de un usuario, Klout medía el tamaño de su red de redes sociales y correlacionaba el contenido creado para medir cómo interactuaban otros usuarios con ese contenido[1]. Para determinar la puntuación del usuario, Klout medía el tamaño de la red social de un usuario y correlacionaba el contenido creado para medir cómo otros usuarios interactuaban con ese contenido[1] Klout se lanzó en 2008.

[64] «The impact of the GDPR on the online advertising market | WorldCat.org». www.worldcat.org. Consultado el 30 de marzo de 2023.

[65] «Press corner». European Commission - European Commission (en inglés). Consultado el 30 de marzo de 2023.

[66] «Press corner». European Commission - European Commission (en inglés). Consultado el 30 de marzo de 2023.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

[62]

[63]

[64]

[65]

[66]

@@ Línea 162: / Línea 162: @@
 === Seguridad de los datos personales ===
-Para aplicar los principios de protección de datos, los encargados y los responsables del tratamiento de datos personales deben establecer medidas técnicas y medidas organizativas. Y los procesos empresariales que manejan datos personales , deben estar diseñados y construidos teniendo en cuenta los principios y proporcionando salvaguardias para proteger los datos (ejemplo, utilizando la [[seudonimización]] o la [[Anonimización de datos|anonimización]] completa cuando sea necesario). Los responsables del tratamiento diseñan los sistemas de información teniendo en cuenta la privacidad. Por ejemplo, utilizando una configuración de privacidad lo más alta posible por defecto, de modo que los conjuntos de datos no estén disponibles públicamente y no puedan utilizarse para identificar a un sujeto. No se puede tratar ningún dato personal a menos que este tratamiento se realice en virtud de una de las seis bases legales especificadas por el reglamento (consentimiento, contrato, función pública, interés vital, interés legítimo o requisito legal). Cuando el tratamiento se basa en el consentimiento, el interesado tiene derecho a revocarlo en cualquier momento.
+Para aplicar los principios de protección de datos, los encargados y los responsables del tratamiento de datos personales deben establecer medidas técnicas y medidas organizativas adecuadas para aplicar los principios de protección de datos.. Y los procesos empresariales que manejan datos personales , deben estar diseñados y construidos teniendo en cuenta los principios y proporcionando salvaguardias para proteger los datos (ejemplo, utilizando la [[seudonimización]] o la [https://datos.gob.es/es/documentacion/introduccion-la-anonimizacion-de-datos-tecnicas-y-casos-practicos anonimización] completa cuando sea necesario). Los responsables del tratamiento diseñan los sistemas de información teniendo en cuenta la privacidad. Por ejemplo, utilizando una configuración de privacidad lo más alta posible por defecto, de modo que los conjuntos de datos no estén disponibles públicamente y no puedan utilizarse para identificar a un sujeto. No se puede tratar ningún dato personal a menos que este tratamiento se realice en virtud de una de las seis bases legales especificadas por el reglamento (consentimiento, contrato, función pública, interés vital, interés legítimo o requisito legal). Cuando el tratamiento se basa en el consentimiento, el interesado tiene derecho a revocarlo en cualquier momento.
+En caso de ocurrir una brecha de seguridad que pueda afectar a los datos personales, el artículo 33 establece que el responsable del tratamiento tiene la obligación legal de notificarlo a la autoridad de control sin dilación indebida, a menos que sea improbable que la violación suponga un riesgo para los derechos y libertades de las personas. Hay un plazo máximo de 72 horas tras tener conocimiento de la violación de los datos para realizar la notificación. Las personas deben ser notificadas si se determina un alto riesgo de impacto perjudicial (artículo 34). Además, el encargado del tratamiento tendrá que notificar al responsable del tratamiento sin dilación indebida tras tener conocimiento de una violación de datos personales (artículo 33). Sin embargo, la notificación a los interesados no será necesaria si el responsable del tratamiento ha aplicado medidas técnicas y organizativas de protección adecuadas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado (artículo 34)
 === Violaciones de datos ===
@@ Línea 183: / Línea 185: @@
 * Una multa de hasta {{esd|20 000 000}} de [[euro]]s o hasta el 4 % del volumen de negocios anual del año financiero anterior en el caso de una empresa, cualquiera que sea mayor, cuando se haya infringido las siguientes disposiciones: (Artículo 83, párrafos 5 y 6<ref name = article83 />).
 ** Los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento, de conformidad con los artículos 5, 6, 7 y 9,
+** Los derechos de los interesados con arreglo a los artículos 12 a 22
-** the data subjects' rights pursuant to Articles 12 to 22,
 ** Las transferencias de datos personales a un destinatario en un tercer país o una organización internacional de conformidad con los artículos 44 a 49,
 ** Cualquier obligación conforme a la ley de los Estados miembros adoptada en virtud del Capítulo IX,
 ** El incumplimiento de una orden o una limitación temporal o definitiva del tratamiento o la suspensión de los flujos de datos por parte de la autoridad supervisora de conformidad con el artículo 58 (2) o la falta de acceso en violación del artículo 58 (1).
+=== Exenciones ===
+Estos son algunos casos que no se abordan específicamente en el RGPD, por lo que se tratan como exenciones.
+* Actividades personales o domésticas
+* Cumplimiento de la ley
+* Seguridad nacional
+Cuando se creó el RGPD, se hizo estrictamente para la regulación de los datos personales que van a parar a manos de las empresas. Lo que no está cubierto por el RGPD es la información no comercial o las actividades domésticas Un ejemplo de estas actividades domésticas pueden ser los correos electrónicos entre dos amigos del instituto.
+Por el contrario, una entidad o, más exactamente, una "empresa", tiene que desarrollar una "[[actividad económica]]" para estar cubierta por el RGPD. La actividad económica se define en sentido amplio en el derecho de la competencia de la Unión Europea.
 == Cronología ==
@@ Línea 212: / Línea 225: @@
 La estrategia de mercado único digital de la UE tiene como objetivo abrir oportunidades digitales para las personas y las empresas y mejorar la posición de Europa como líder mundial en la economía digital.<ref>[https://ec.europa.eu/digital-single-market/en The Digital Single Market on europa.eu]</ref>
-Como parte de esta estrategia, el RGPD y la [[Directiva NIS | Directiva sobre seguridad de redes y sistemas de información]] (Directiva NIS) es aplicable desde el 25 de mayo de 2018. El "[propuesto]" [[Reglamento de privacidad]] también es aplicable a partir del 25 de mayo de 2018. El [[eIDAS | el Reglamento eIDAS]] también es parte de la estrategia.
+Como parte de esta estrategia, el RGPD y la  Directiva sobre seguridad de redes y sistemas de información (Directiva NIS) es aplicable desde el 25 de mayo de 2018. El "[propuesto]" [[Regulación ePrivacy|Reglamento de privacidad electrónica]] también es aplicable a partir del 25 de mayo de 2018. El [[eIDAS | el Reglamento eIDAS]] también es parte de la estrategia.
 == Control Ciudadano de Datos Personales ==
@@ Línea 225: / Línea 238: @@
 Compañías que operan fuera de la [[Unión Europea|UE]] han invertido mucho para orientar sus prácticas de empresa con la RGPD. El rango de consentimiento de la RGPD tiene un número de implicaciones para negocios que registraban llamadas como una cuestión de práctica. El típico aviso legal no es considerado suficiente para obtener el consentimiento para grabar llamadas. Además, cuando la grabación ha comenzado, la persona que llama debería retirar su consentimiento, después, el agente quien recibe la llamada debería poder parar una grabación previamente empezada y garantizar que la grabación no se va a almacenar.<ref>{{Cita web|url=https://washingtonindependent.com/what-smart-businesses-can-do-to-avoid-gdpr-penalties-when-recording-calls/|título=What Smart Business Can Do to Avoid GDPR Penalties When Recording Calls|fechaacceso=2021-11-15|fecha=2018-04-14|idioma=en}}</ref>
-Los profesionales de informática esperan que el cumplimiento de la RGPD va a requerir una inversión adicional en general: más del 80 por ciento de los encuestados esperaban que los gastos relacionados con el RGPD fueran al menos de 100.000 dólares estadounidenses.<ref>{{Cita web|url=https://www.darkreading.com/endpoint/the-high-costs-of-gdpr-compliance|título=The High Costs of GDPR Compliance|fechaacceso=2021-11-15|apellido=BabelCEO|nombre=Chris|fecha=2017-07-11|sitioweb=Dark Reading|idioma=en}}</ref> Las preocupaciones se repitieron en un informe de los encargados del bufete de abogados [[:en:Baker_McKenzie|Baker & McKenzie]], que encontraron que sobre "un 70 por ciento de los encuestados creen que las organizaciones necesitarán una inversión adicional en presupuesto/esfuerzo para cumplir con el consentimiento, mapeo de datos y requerimientos bajo la RGPD de transferencia de datos transfronteriza".<ref>{{Cita publicación|url=https://f.datasrvr.com/fr1/416/76165/IAPP_GDPR_and_Privacy_Shield_Survey_Report.pdf|título=Preparing for New Privacy Regimes: Privacy Professionals' Views on the General Data Protection Regulation and Privacy Shield|fecha=04/05/2016|publicación=https://f.datasrvr.com/fr1/416/76165/IAPP_GDPR_and_Privacy_Shield_Survey_Report.pdf|fechaacceso=15/11/2021|lugar-publicación=bakermckenzie.com|idioma=Inglés}}</ref> El coste total de las compañías de la UE es estimado en 200 mil millones de euros mientras que las compañías estadounidenses se espera de un coste de 41,7 mil millones de dólares. Esto ha sido discutido que pequeños negocios y [[Empresa emergente|empresas emergentes]] pueden no tener los recursos financieros para cumplir adecuadamente con la RGPD, diferente a las internacionales y grandes compañías tecnológicas(como [[Facebook]] y [[Google]]) que aparentemente está destinada esta regulación.<ref>{{Cita web|url=http://www.theguardian.com/technology/2018/apr/19/gdpr-facebook-google-amazon-data-privacy-regulation|título=How Europe's 'breakthrough' privacy law takes on Facebook and Google|fechaacceso=2021-11-15|fecha=2018-04-19|sitioweb=the Guardian|idioma=en}}</ref><ref>{{Cita web|url=https://www.politico.eu/article/gdpr-rules-europe-facebook-data-protection-privacy-general-data-protection-regulation-cambridge-analytica/|título=Europe’s new privacy rules are no silver bullet|fechaacceso=2021-11-15|fecha=2018-04-22|sitioweb=POLITICO|idioma=en-US}}</ref> Una falta de conocimiento y un malentendido de las regulaciones también ha sido motivo de preocupación en el periodo previo a su adaptación.<ref>{{Cita web|url=https://www.computerweekly.com/microscope/news/2240234469/Lack-of-GDPR-knowledge-is-a-danger-and-an-opportunity|título=Lack of GDPR knowledge is a danger and an opportunity|fechaacceso=2021-11-15|sitioweb=MicroscopeUK|idioma=en}}</ref> El contraargumento a esto ha sido que las compañías se hicieron conscientes de estos cambios dos años antes de que entrasen en vigor y, por eso, deberían tener tiempo suficiente para prepararse.<ref>{{Cita web|url=https://www.theverge.com/2018/5/22/17378688/gdpr-general-data-protection-regulation-eu|título=No one’s ready for GDPR|fechaacceso=2021-11-15|apellido=Jeong|nombre=Sarah|fecha=2018-05-22|sitioweb=The Verge|idioma=en}}</ref>
+Los profesionales de informática prevén que el cumplimiento de la RGPD va a requerir una inversión adicional en general: más del 80 por ciento de los encuestados esperaban que los gastos relacionados con el RGPD fueran al menos de 100.000 dólares estadounidenses.<ref>{{Cita web|url=https://www.darkreading.com/endpoint/the-high-costs-of-gdpr-compliance|título=The High Costs of GDPR Compliance|fechaacceso=2021-11-15|apellido=BabelCEO|nombre=Chris|fecha=2017-07-11|sitioweb=Dark Reading|idioma=en}}</ref> Las preocupaciones se hicieron eco en un informe encargado al bufete de abogados [[:en:Baker_McKenzie|Baker & McKenzie]], que encontraron que sobre "un 70 por ciento de los encuestados creen que las organizaciones necesitarán una inversión adicional en presupuesto/esfuerzo para cumplir con el consentimiento, mapeo de datos y requerimientos bajo la RGPD de transferencia de datos transfronteriza".<ref>{{Cita publicación|url=https://f.datasrvr.com/fr1/416/76165/IAPP_GDPR_and_Privacy_Shield_Survey_Report.pdf|título=Preparing for New Privacy Regimes: Privacy Professionals' Views on the General Data Protection Regulation and Privacy Shield|fecha=04/05/2016|publicación=https://f.datasrvr.com/fr1/416/76165/IAPP_GDPR_and_Privacy_Shield_Survey_Report.pdf|fechaacceso=15/11/2021|lugar-publicación=bakermckenzie.com|idioma=Inglés}}</ref> El coste total de las compañías de la UE es estimado en 200 mil millones de euros mientras que las compañías estadounidenses se espera de un coste de 41,7 mil millones de dólares. Esto ha sido discutido que pequeños negocios y [[Empresa emergente|empresas emergentes]] pueden no tener los recursos financieros para cumplir adecuadamente con la RGPD, a diferencia de las grandes empresas internacionales de tecnología (como [[Facebook]] y [[Google]]) que aparentemente está destinada esta regulación.<ref>{{Cita web|url=http://www.theguardian.com/technology/2018/apr/19/gdpr-facebook-google-amazon-data-privacy-regulation|título=How Europe's 'breakthrough' privacy law takes on Facebook and Google|fechaacceso=2021-11-15|fecha=2018-04-19|sitioweb=the Guardian|idioma=en}}</ref><ref>{{Cita web|url=https://www.politico.eu/article/gdpr-rules-europe-facebook-data-protection-privacy-general-data-protection-regulation-cambridge-analytica/|título=Europe’s new privacy rules are no silver bullet|fechaacceso=2021-11-15|fecha=2018-04-22|sitioweb=POLITICO|idioma=en-US}}</ref> La falta de conocimiento y comprensión de la normativa también ha sido motivo de preocupación en el periodo previo a su adaptación.<ref>{{Cita web|url=https://www.computerweekly.com/microscope/news/2240234469/Lack-of-GDPR-knowledge-is-a-danger-and-an-opportunity|título=Lack of GDPR knowledge is a danger and an opportunity|fechaacceso=2021-11-15|sitioweb=MicroscopeUK|idioma=en}}</ref> El contraargumento a esto ha sido que las compañías fueron informadas de estos cambios dos años antes de su entrada en vigor y deberían haber tenido tiempo suficiente para prepararse.<ref>{{Cita web|url=https://www.theverge.com/2018/5/22/17378688/gdpr-general-data-protection-regulation-eu|título=No one’s ready for GDPR|fechaacceso=2021-11-15|apellido=Jeong|nombre=Sarah|fecha=2018-05-22|sitioweb=The Verge|idioma=en}}</ref>
-Las regulaciones, incluida si una empresa debe tener un delegado de protección de datos, han sido criticadas por posibles cargas administrativas y requisitos de cumplimiento poco claros.<ref>{{Cita web|url=https://www.irishtimes.com/business/technology/new-rules-on-data-protection-pose-compliance-issues-for-firms-1.3397742|título=New rules on data protection pose compliance issues for firms|fechaacceso=2021-11-15|apellido=Edwards|nombre=Elaine|sitioweb=The Irish Times|idioma=en}}</ref> Además, la minimización de datos es un requisito, que la [[seudonimización]] es un de los posibles medios, la regulación no proviene una guía de cómo y qué constituye un esquema efectivo de desidentificación de datos, con un área gris sobre que podría considerarse como seudonimización inadecuada sujeta a acciones de ejecución de la Sección 5.<ref>{{Cita web|url=https://iapp.org/news/a/looking-to-comply-with-gdpr-heres-a-primer-on-anonymization-and-pseudonymization/|título=Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization|fechaacceso=2021-11-15}}</ref> También existe preocupación con respecto a la implementación de la RGPD en sistemas [[Cadena de bloques|blockchain]], como el registro transparente y registro de las transacciones blockchain que contradice con la naturaleza de la RGPD.<ref>{{Cita web|url=https://www.siliconrepublic.com/enterprise/blockchain-gdpr-report-bai|título=Are financial institutions ready for blockchain and GDPR?|fechaacceso=2021-11-15|apellido=Gorey|nombre=Colm|fecha=2017-11-23|sitioweb=Silicon Republic|idioma=en}}</ref> Muchos medios de comunicación han comentado sobre la introducción de un “derecho a la explicación” de las decisiones algorítmicas,<ref>{{Cita web|url=http://www.theguardian.com/technology/2017/jan/27/ai-artificial-intelligence-watchdog-needed-to-prevent-discriminatory-automated-decisions|título=AI watchdog needed to regulate automated decision-making, say experts|fechaacceso=2021-11-15|fecha=2017-01-27|sitioweb=the Guardian|idioma=en}}</ref><ref>{{Cita web|url=https://www.techzone360.com/topics/techzone/articles/2017/01/25/429101-eus-right-explanation-harmful-restriction-artificial-intelligence.htm|título=EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence|fechaacceso=2021-11-15|sitioweb=www.techzone360.com|idioma=en}}</ref> pero licenciados en derecho han argumentado que la existencia de ese derecho es muy poco clara sin tests judiciales y limitada en el mejor de los casos.<ref>{{Cita publicación|url=https://papers.ssrn.com/abstract=2903469|título=Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation|apellidos=Wachter|nombre=Sandra|apellidos2=Mittelstadt|nombre2=Brent|fecha=2016-12-28|editorial=Social Science Research Network|número=ID 2903469|fechaacceso=2021-11-15|idioma=en|apellidos3=Floridi|nombre3=Luciano}}</ref><ref>{{Cita publicación|url=https://papers.ssrn.com/abstract=2972855|título=Slave to the Algorithm? Why a 'Right to an Explanation' Is Probably Not the Remedy You Are Looking For|apellidos=Edwards|nombre=Lilian|apellidos2=Veale|nombre2=Michael|fecha=2017-05-23|editorial=Social Science Research Network|número=ID 2972855|fechaacceso=2021-11-15|idioma=en}}</ref>
+La normativa, incluida  la cuestión de si una empresa debe contar con un delegado de protección de datos, han sido criticadas por la posible carga administrativa y requisitos de cumplimiento poco claros.<ref>{{Cita web|url=https://www.irishtimes.com/business/technology/new-rules-on-data-protection-pose-compliance-issues-for-firms-1.3397742|título=New rules on data protection pose compliance issues for firms|fechaacceso=2021-11-15|apellido=Edwards|nombre=Elaine|sitioweb=The Irish Times|idioma=en}}</ref> Aunque, la minimización de datos es un requisito, siendo la [[seudonimización]] es un de los posibles medios, la regulación no proviene una guía de cómo y qué constituye un esquema efectivo de desidentificación de datos, con un área gris sobre que podría considerarse como seudonimización inadecuada sujeta a acciones de ejecución de la Sección 5.<ref>{{Cita web|url=https://iapp.org/news/a/looking-to-comply-with-gdpr-heres-a-primer-on-anonymization-and-pseudonymization/|título=Looking to comply with GDPR? Here's a primer on anonymization and pseudonymization|fechaacceso=2021-11-15}}</ref> También existe preocupación con respecto a la implementación de la RGPD en sistemas [[Cadena de bloques|blockchain]], como el registro transparente y registro de las transacciones blockchain que contradice con la naturaleza de la RGPD.<ref>{{Cita web|url=https://www.siliconrepublic.com/enterprise/blockchain-gdpr-report-bai|título=Are financial institutions ready for blockchain and GDPR?|fechaacceso=2021-11-15|apellido=Gorey|nombre=Colm|fecha=2017-11-23|sitioweb=Silicon Republic|idioma=en}}</ref> Muchos medios de comunicación han comentado sobre la introducción de un “derecho a la explicación” de las decisiones algorítmicas,<ref>{{Cita web|url=http://www.theguardian.com/technology/2017/jan/27/ai-artificial-intelligence-watchdog-needed-to-prevent-discriminatory-automated-decisions|título=AI watchdog needed to regulate automated decision-making, say experts|fechaacceso=2021-11-15|fecha=2017-01-27|sitioweb=the Guardian|idioma=en}}</ref><ref>{{Cita web|url=https://www.techzone360.com/topics/techzone/articles/2017/01/25/429101-eus-right-explanation-harmful-restriction-artificial-intelligence.htm|título=EU's Right to Explanation: A Harmful Restriction on Artificial Intelligence|fechaacceso=2021-11-15|sitioweb=www.techzone360.com|idioma=en}}</ref> pero los juristas han argumentado que la existencia de ese derecho es muy poco clara sin pruebas judiciales y limitada en el mejor de los casos.<ref>{{Cita publicación|url=https://papers.ssrn.com/abstract=2903469|título=Why a Right to Explanation of Automated Decision-Making Does Not Exist in the General Data Protection Regulation|apellidos=Wachter|nombre=Sandra|apellidos2=Mittelstadt|nombre2=Brent|fecha=2016-12-28|editorial=Social Science Research Network|número=ID 2903469|fechaacceso=2021-11-15|idioma=en|apellidos3=Floridi|nombre3=Luciano}}</ref><ref>{{Cita publicación|url=https://papers.ssrn.com/abstract=2972855|título=Slave to the Algorithm? Why a 'Right to an Explanation' Is Probably Not the Remedy You Are Looking For|apellidos=Edwards|nombre=Lilian|apellidos2=Veale|nombre2=Michael|fecha=2017-05-23|editorial=Social Science Research Network|número=ID 2972855|fechaacceso=2021-11-15|idioma=en}}</ref>
 La RGPD ha ido ganando apoyos de negocios quienes ven esto como una oportunidad para mejorar su gestión de los datos.<ref>{{Cita web|url=https://www.forbes.com/sites/forbestechcouncil/2018/03/29/five-benefits-gdpr-compliance-will-bring-to-your-business/|título=Council Post: Five Benefits GDPR Compliance Will Bring To Your Business|fechaacceso=2021-11-15|apellido=Fimin|nombre=Michael|sitioweb=Forbes|idioma=en}}</ref><ref>{{Cita web|url=https://www.vox.com/the-big-idea/2018/3/26/17164022/gdpr-europe-privacy-rules-facebook-data-protection-eu-cambridge|título=Europe’s tough new digital privacy law should be a model for US policymakers|fechaacceso=2021-11-15|apellido=Butterworth|nombre=Trevor|fecha=2018-03-26|sitioweb=Vox|idioma=en}}</ref> [[Mark Zuckerberg]] también lo ha llamado como “algo muy positivo para el Internet”,<ref>{{Cita web|url=https://www.cnet.com/tech/services-and-software/what-gdpr-means-for-facebook-google-the-eu-us-and-you/|título=What the GDPR means for Facebook, Google and you|fechaacceso=2021-11-15|apellido=Jaffe|nombre=Justin|sitioweb=CNET|idioma=en}}</ref> y ha pedido que se adopten leyes del estilo RGPD en los EE.{{esd}}UU..<ref>{{Cita web|url=https://www.cnbc.com/2019/04/01/facebook-ceo-zuckerbergs-call-for-gdpr-privacy-laws-raises-questions.html|título=Mark Zuckerberg says he wants stricter European-style privacy laws — but some experts are questioning his motives|fechaacceso=2021-11-15|apellido=Schulze|nombre=Elizabeth|fecha=2019-04-01|sitioweb=CNBC|idioma=en}}</ref> Grupos de derechos del consumidor, como la Organización Europea del Consumidor, se encuentran entre los defensores más activos de la legislación.<ref>{{Cita noticia|título=How Europe's New Privacy Law Will Change the Web, and More|url=https://www.wired.com/story/europes-new-privacy-law-will-change-the-web-and-more/|periódico=Wired|fechaacceso=2021-11-15|issn=1059-1028|idioma=en-US|nombre=Nitasha|apellidos=Tiku}}</ref> Otros simpatizantes han atribuido su paso al denunciante [[Edward Snowden]].<ref>{{Cita noticia|título=Analysis {{!}} Today, a new E.U. law transforms privacy rights for everyone. Without Edward Snowden, it might never have happened.|url=https://www.washingtonpost.com/news/monkey-cage/wp/2018/05/25/today-a-new-eu-law-transforms-privacy-rights-for-everyone-without-edward-snowden-it-might-never-have-happened/|periódico=Washington Post|fechaacceso=2021-11-15|issn=0190-8286|idioma=en-US}}</ref> El defensor del software libre, [[Richard Stallman]], ha elogiado algunos aspectos de la RGPD pero pidió salvaguardias adicionales para prevenir que las empresas de tecnología “autoricen su manufacturación”.<ref>{{Cita web|url=http://www.theguardian.com/commentisfree/2018/apr/03/facebook-abusing-data-law-privacy-big-tech-surveillance|título=A radical proposal to keep your personal data safe {{!}} Richard Stallman|fechaacceso=2021-11-15|fecha=2018-04-03|sitioweb=the Guardian|idioma=en}}</ref>
+== Impacto ==
+Los expertos académicos que participaron en la formulación del RGPD escribieron que la ley "es el desarrollo normativo más consecuente en política de la información en una generación. El RGPD incorpora los datos personales a un régimen regulador complejo y protector".
+A pesar de haber tenido al menos dos años para prepararse y hacerlo, muchas empresas y sitios web cambiaron sus políticas de privacidad y características en todo el mundo directamente antes de la aplicación del RGPD, y habitualmente proporcionaron notificaciones por correo electrónico y de otro tipo discutiendo estos cambios. Los expertos señalaron que algunos correos electrónicos recordatorios afirmaban erróneamente que debía obtenerse un nuevo consentimiento para el tratamiento de datos cuando entrara en vigor el RGPD (cualquier consentimiento obtenido previamente para el tratamiento es válido siempre que cumpla los requisitos del Reglamento). También surgieron estafas de [[phishing]] utilizando versiones falsificadas de correos electrónicos relacionados con el RGPD, y también se argumentó que algunos correos electrónicos de aviso del GDPR en realidad pueden haber sido enviados en violación de las leyes anti-spam. En marzo de 2019, un proveedor de software de cumplimiento descubrió que muchos sitios web operados por los gobiernos de los estados miembros de la UE contenían seguimiento incrustado de proveedores de tecnología publicitaria.
+El diluvio de avisos relacionados con el GDPR también inspiró [[Meme (internet)|memes]], incluidos los que rodean los avisos de política de privacidad que se entregan por medios atípicos (como un [[Güija|tablero de Ouija]] o el opening de [[Star Wars]]), sugiriendo que la lista de "travieso o bueno" de [[Papá Noel|Santa Claus]] era una violación del RGPD. También se creó un blog, RGPD Hall of Shame (Salón de la Vergüenza del RGPD), para mostrar entregas inusuales de notificaciones del RGPD e intentos de cumplimiento que contenían violaciones flagrantes de los requisitos del Reglamento. Su autor señaló que el Reglamento "contiene muchos detalles, pero no mucha información sobre cómo cumplirlo", pero también reconoció que las empresas tenían dos años para cumplirlo, por lo que algunas de sus respuestas no estaban justificadas<ref>{{Cita noticia|título=How Europe's GDPR Regulations Became a Meme|url=https://www.wired.com/story/gdpr-memes/|periódico=Wired|fechaacceso=2023-03-30|issn=1059-1028|idioma=en-US|nombre=Angela|apellidos=Watercutter}}</ref><ref>{{Cita web|url=https://www.vice.com/en/article/qvnv9x/gdpr-compliance-companies-different-rules|título=Here Are Some of the Worst Attempts At Complying with GDPR|fechaacceso=2023-03-30|sitioweb=www.vice.com|idioma=en}}</ref>
+Las investigaciones indican que aproximadamente el 25 % de las vulnerabilidades de software tienen implicaciones para el RGPD.<ref>{{Cita publicación|url=https://www.hackerone.com/sites/default/files/2018-01/GDPR%20Implications-ebook.pdf|título=What Percentage of Your
+Software Vulnerabilities
+Have GDPR Implications?|nombre=Hackerone|publicación=What Percentage of Your Software Vulnerabilities Have GDPR Implications?}}</ref> Dado que el artículo 33 hace hincapié en las infracciones, no en los [[Error de software|bugs]], los expertos en seguridad aconsejan a las empresas que inviertan en procesos y capacidades para identificar vulnerabilidades antes de que puedan ser explotadas, incluidos [https://www.beckman.es/about-us/compliance/coordinated-vulnerability-disclosure procesos coordinados de divulgación de vulnerabilidades]. Una investigación de las políticas de privacidad, las capacidades de acceso a datos y el comportamiento de acceso a datos de las aplicaciones de Android ha demostrado que muchas aplicaciones muestran un comportamiento algo más respetuoso con la privacidad desde la aplicación del RGPD, aunque siguen conservando la mayoría de sus privilegios de acceso a datos en su código.<ref>{{Cita publicación|url=https://zenodo.org/record/3248889|título=A Multilateral Privacy Impact Analysis Method for Android Apps|apellidos=Hatamian|nombre=Majid|apellidos2=Momen|nombre2=Nurul|fecha=2019-06-08|fechaacceso=2023-03-30|apellidos3=Fritsch|nombre3=Lothar|apellidos4=Rannenberg|nombre4=Kai}}</ref>
+En la fecha de entrada en vigor, algunos sitios web empezaron a bloquear completamente a los visitantes de países de la UE (entre ellos [[Instapaper]],[94] Unroll.me, y periódicos propiedad de [[Tribune Publishing]], como [[Chicago Tribune]] y [[Los Angeles Times]]) o a redirigirlos a versiones reducidas de sus servicios (en el caso de [[NPR|National Public Radio]] y [[USA Today]]) con funcionalidad limitada y/o sin publicidad para que no sean responsables. Algunas empresas, como Klout<ref>Klout era un sitio web y una aplicación móvil que utilizaba análisis de redes sociales para calificar a sus usuarios según su influencia social en línea a través de la "puntuación Klout", que era un valor numérico entre 1 y 100. Para determinar la puntuación de un usuario, Klout medía el tamaño de su red de redes sociales y correlacionaba el contenido creado para medir cómo interactuaban otros usuarios con ese contenido[1]. Para determinar la puntuación del usuario, Klout medía el tamaño de la red social de un usuario y correlacionaba el contenido creado para medir cómo otros usuarios interactuaban con ese contenido[1] Klout se lanzó en 2008.</ref>, y varios videojuegos en línea, cesaron sus operaciones por completo coincidiendo con el cierre de su aplicación, citando el RGPD como una carga para sus operaciones , especialmente debido al modelo de negocio de las primeras, basado en recolección de datos personales para la elaboración de perfiles y publicidad. El volumen de publicación de [[Segmentación de mercado|publicidad conductual]] en línea en Europa cayó entre un 25 y un 40% el 25 de mayo de 2018.<ref>{{Cita web|url=https://www.worldcat.org/title/1322186902|título=The impact of the GDPR on the online advertising market {{!}} WorldCat.org|fechaacceso=2023-03-30|sitioweb=www.worldcat.org|idioma=es}}</ref>
+En 2020, dos años después de que el GDPR comenzara su aplicación, la Comisión Europea evaluó que los usuarios de toda la UE habían aumentado su conocimiento sobre sus derechos, afirmando que "el 69% de la población mayor de 16 años de la UE ha oído hablar del RGPD y el 71% de las personas ha oído hablar de su autoridad nacional de protección de datos"<ref>{{Cita web|url=https://ec.europa.eu/commission/presscorner/home/en|título=Press corner|fechaacceso=2023-03-30|sitioweb=European Commission - European Commission|idioma=en}}</ref> La comisión también descubrió que la privacidad se ha convertido en una cualidad competitiva para las empresas que los consumidores tienen en cuenta en sus procesos de toma de decisiones<ref>{{Cita web|url=https://ec.europa.eu/commission/presscorner/home/en|título=Press corner|fechaacceso=2023-03-30|sitioweb=European Commission - European Commission|idioma=en}}</ref>.
 == Referencias ==