Logotipo ORSYS le mag 2025

El medio de la formación y las competencias

Inicio > Glosario de ciberseguridad > RGPD 🟩 Reglamento

RGPD 🟩 Reglamento

El Reglamento general de protección de datos (RGPD) (Reglamento 2016/679) es un Derecho europeo que establece un marco jurídico armonizado para la protección de datos personales ciudadanos de laUnión Europea (UE) y elEspacio Económico Europeo (EEE).

Adoptada el 27 de abril de 2016 que entró en vigor el 25 de mayo de 2018En Francia, el RGPD se aplica directamente en todos los Estados miembros, sin necesidad de legislación de transposición. En Francia, el Comisión Nacional de Informática y Libertades (CNIL) vela por su aplicación y ayuda a los agentes a lograr su cumplimiento. En Alemania, es la BfDI la que supervisa su aplicación, y en España la AEPD.

Principales objetivos

 

  1. Reforzar los derechos individuales para dar a los ciudadanos un mayor control sobre sus datos y limitar los abusos.
  2. Capacitar a las organizaciones (empresas, autoridades públicas, asociaciones, etc.) que recojan y traten estos datos: imponiendo una obligación de transparencia y seguridad a las organizaciones.
  3. Armonización de las normas en Europa El objetivo es facilitar la libre circulación de datos garantizando al mismo tiempo un alto nivel de protección.
  4. Adaptar el Derecho a las cuestiones digitales Responder a los riesgos asociados a las nuevas tecnologías (big data, IA, vigilancia masiva).

 

🔑 Principios fundamentales

El RGPD se basa en 7 pilares estructurantes para garantizar un tratamiento de datos transparente, ético y seguro:

  1. Legalidad, lealtad y transparencia
    Los datos deben tratarse sobre una base legal (consentimiento, contrato, obligación legal, etc.), de forma leal y con información clara para el interesado.
  2. Limitación de la finalidad
    Los datos sólo deben recogerse con fines específicos, explícitos y legítimos y no deben utilizarse posteriormente de forma incompatible.
  3. Minimización de datos
    Sólo deben recogerse los datos estrictamente necesarios para los fines definidos.
  4. Precisión de los datos
    Los datos deben ser exactos y, en caso necesario, actualizados para evitar cualquier tratamiento basado en información incorrecta.
  5. Limitación de la conservación
    Los datos personales sólo deben conservarse durante el tiempo necesario para los fines para los que fueron recogidos, salvo que lo exija la ley.
  6. Integridad y confidencialidad
    Deben establecerse medidas técnicas y organizativas adecuadas para garantizar la seguridad, integridad y confidencialidad de los datos.
  7. Rendición de cuentas
    Las organizaciones deben poder demostrar su cumplimiento del RGPD mediante la aplicación de políticas internas (formación, etc.) y una documentación rigurosa de las operaciones de tratamiento (registros, auditorías, etc.).

 

🌍 Ámbito de aplicación

El RGPD tiene un ámbito extraterritorial.

Se aplica a cualquier organización, pública o privada, dentro o fuera de la UEsi :

  • Trata datos personales de residentes en la UE.
  • Ofrece bienes o servicios (gratuitos o de pago) a estas personas.
  • Supervisa su comportamiento (por ejemplo, rastreando patrones de navegación u orientando la publicidad).

Esto significa que incluso las empresas con sede fuera de la UE (en Estados Unidos, China, etc.) se ven afectadas si tratan datos de ciudadanos europeos.

Él por lo tanto se aplica en subcontratistas (empresas de alojamiento, proveedores de servicios en la nube), así como a controladores de datos, aunque el tratamiento sea gratuito (por ejemplo, redes sociales, aplicaciones móviles).

👥 Refuerzo de los derechos individuales

El RGPD ofrece a los ciudadanos europeos mayor control sobre sus datos personales concediéndoles una serie de derechos fundamentales:

  • Derecho de acceso obtener confirmación de la existencia de datos que le conciernen y recibir una copia en el plazo de 1 mes (gratuitamente, salvo uso indebido).
  • Derecho de rectificación solicitar la corrección de datos inexactos o incompletos.
  • Derecho de supresión ("derecho al olvido") en determinados casos, exigir la supresión de los datos.
  • Derecho a restringir el tratamiento Solicitar una restricción temporal o permanente del tratamiento de datos (por ejemplo, durante un litigio).
  • Derecho a la portabilidad de los datos recuperar datos en un formato estructurado y transferirlos a otro responsable del tratamiento (por ejemplo, exportar listas de reproducción de Spotify)
  • Derecho de oposición oponerse al tratamiento de datos, especialmente en caso de prospección comercial.
  • Derecho a no ser objeto de una decisión automatizada Rechazar que una decisión con efectos jurídicos o significativos se base exclusivamente en un tratamiento automatizado (incluida la elaboración de perfiles).

 

🛡️ Obligaciones de las organizaciones

Para cumplir el RGPD, las organizaciones deben poner en marcha una serie de medidas, entre ellas medidas y procedimientos :

  1. Documentación :
    • Mantenga un registro de proceso de datos (obligatorio para empresas con más de 250 empleados o que manipulen datos sensibles).
    • Escribir AIPD (evaluaciones de impacto) para actividades de alto riesgo (por ejemplo, reconocimiento facial).
  2. Gobernanza :
    • Designar un RPD (Responsable de Protección de Datos) si las actividades de tratamiento son a gran escala o sensibles (salud, justicia).
    • Firma acuerdos de tratamiento con los subcontratistas para definir sus obligaciones.
  3. Seguridad :
    • Aplicar medidas técnicas (anonimización, copias de seguridad cifradas) y procedimientos (gestión de accesoalertas en caso de avería).
    • Notificar a la autoridad competente las violaciones de datos en un plazo de 72 horas.
  4. Cumplimiento internacional :
    • Utilizando Cláusulas Contractuales Tipo (CCC) o Normas Corporativas Vinculantes (BCR) para transferencias fuera de la UE.

 

🚨 Sanciones por incumplimiento

Las autoridades de protección de datos, como la CNIL en Francia, tienen las siguientes competencias poderes de investigación y sanción.

Las sanciones pueden ser especialmente severas:

  • Hasta 10 millones de euros o 2 % de ventas mundiales anuales para determinados delitos.
  • Hasta 20 millones de euros o 4 % de ventas mundiales anuales para las infracciones más graves (por ejemplo, incumplimiento de los derechos de las personas o falta de base jurídica para el tratamiento).

Parches Multas complementadas con requerimientos (por ejemplo, para suspender el tratamiento ilegal) o multas coercitivas diarias.

Las autoridades nacionales cooperan a través de la mecanismo de ventanilla única Una empresa multinacional depende de una autoridad principal (por ejemplo, la CNIL en el caso de Apple en Europa).

👉 Ejemplos de sanciones :

  • 746 millones de euros contra Amazon (2021) por seguimiento publicitario no conforme.
  • 1.200 millones de euros contra Meta (2023) por transferencias ilícitas de datos a Estados Unidos.
Volver al glosario

ámbito de formación

Ciberseguridad

formación asociada

Seguridad de sistemas y redes, nivel 1

Hacking y seguridad, nivel 1

Seguridad de los sistemas de información, resumen

MEJOR

Hacia la ORSYS Cyber Academy: un espacio gratuito dedicado a la ciberseguridad