¿Qué es GDPR, a quién se le aplica y sobre qué información?

El Reglamento General de Protección de Datos (GDPR) (Reglamento 2016/679) es un reglamento por el que el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea tienen la intención de reforzar y unificar la protección de datos para todos los individuos dentro de la Unión Europea (UE). También se ocupa de la exportación de datos personales fuera de la UE.

El objetivo principal del GDPR es dar control a los ciudadanos y residentes sobre sus datos personales y simplificar el entorno regulador de los negocios internacionales unificando la regulación dentro de la UE. Cuando el GDPR surta efecto, sustituirá a la Directiva de protección de datos (oficialmente Directiva 95/46 / CE) de 1995. El Reglamento fue adoptado el 27 de abril de 2016. Se convierte en ejecutivo a partir del 25 de mayo de 2018 tras una transición de dos años y, a diferencia de una directiva, no obliga a los gobiernos nacionales a aprobar ninguna legislación habilitante, por lo que es directamente vinculante y aplicable.

¿Por qué se redactó el GDPR?

Las razones detrás del GDPR son dos. En primer lugar, la UE quiere dar a las personas más control sobre cómo se utilizan sus datos personales, teniendo en cuenta que muchas empresas como Facebook y Google intercambian el acceso a los datos de las personas para el uso de sus servicios. La legislación actual fue promulgada antes de que Internet y la tecnología de la nube crearan nuevas formas de explotar los datos, y el GDPR busca abordar eso. Al reforzar la legislación sobre protección de datos e introducir medidas de aplicación más estrictas, la UE espera mejorar la confianza en la economía digital emergente.

En segundo lugar, la UE quiere dar a las empresas un entorno jurídico más simple y más claro para operar, haciendo que la ley de protección de datos sea idéntica en todo el mercado único (la UE estima que esto ahorrará a las empresas un colectivo de 2.300 millones de euros al año).

 ¿A quién se aplica el GDPR?

Los “controladores” y los “procesadores” de datos deben atenerse al GDPR. Un controlador de datos indica cómo y por qué se procesan los datos personales, mientras que un procesador es la parte que realiza el procesamiento real de los datos. Por lo tanto, el controlador podría ser cualquier organización, desde una empresa con fines de lucro hasta una organización benéfica o un gobierno. Un procesador podría ser una empresa de TI que realice el procesamiento de datos real.

Incluso si los controladores y procesadores están fuera de la UE, el GDPR seguirá aplicándose a ellos siempre y cuando se trate de datos pertenecientes a residentes de la UE.

Es responsabilidad del controlador asegurar que su procesador cumple con la ley de protección de datos y los procesadores deben respetar las reglas para mantener registros de sus actividades de procesamiento. Si los procesadores están involucrados en una violación de datos, son mucho más responsables bajo GDPR que estaban bajo la Ley de Protección de Datos.

¿Qué son datos personales bajo el GDPR?

La UE ha ampliado sustancialmente la definición de datos personales en el marco del GDPR. Para reflejar los tipos de organizaciones de datos que ahora recopilan sobre personas, los identificadores online, como las direcciones IP, ahora son considerados como datos personalesOtros datos, como la información económica, cultural o de salud mental, también se consideran información de identificación personal.

Los datos personales pseudónimos también pueden estar sujetos a las reglas de GDPR, dependiendo de lo fácil o difícil que sea identificar cuáles son los datos.

Cualquier cosa que era considerada como datos personales bajo la Ley de Protección de Datos también califica como datos personales bajo el GDPR.