Reglamento sobre protección de datos personales (GDPR): todo lo que debe saber

Última actualización: 4 de junio de 2024 Base de datos

¿Dirige una empresa? ¿Es propietario de un sitio web o experto en tratamiento de datos personales? Es crucial que comprenda las implicaciones del Reglamento General de Protección de Datos (GDPR) en sus actividades. Entra en vigor en Europa el 25 de mayo de 2018.

¿Qué es GDPR ?

GDPR establece un marco para el tratamiento de datos personales en laUnión Europea (UE). Es la continuación de la Ley francesa de Protección de Datos de 6 de enero de 1978. Ofrece a los ciudadanos un mayor control sobre el uso que se hace de sus datos personales.

GDPR se ha creado para : 

  • Armonización de las normas en Europa ;
  • Proporcionar un marco jurídico idéntico a los profesionales. Gracias a la normativa, pueden desarrollar sus actividades digitales, al tiempo que establecen una relación de confianza con los usuarios. 

¿Cuáles son los objetivos de GDPR ?

Descubra los tres objetivos principales del Reglamento General de Protección de Datos: 

  • Aumento de los derechos de las personas. GDPR crea el derecho a la portabilidad de los datos personales. Incluye disposiciones específicas para los menores.
  • Responsabilizar a los distintos responsables del tratamiento de datos. Esto se aplica tanto a los responsables como a los encargados del tratamiento.
  • Hacer creíble la normativa. ¿Cómo hacerlo? Intensificando la cooperación entre las autoridades de protección de datos. En particular, podrán adoptar decisiones conjuntas y endurecer las sanciones por tratamiento transnacional.

¿Quién está obligado a solicitar GDPR ?

Cualquier organización, independientemente de su tamaño, ubicación o actividad, puede verse afectada por GDPR. El Reglamento se aplica a todas las organizaciones, tanto públicas como privadas, que traten datos personales, en su nombre o no, si :

  • Están establecidas en uno de los Estados miembros de la Unión Europea;
  • Su negocio se dirige directamente a los residentes europeos.

Por ejemplo, una empresa con sede en Italia que exporta sus productos a Túnez debe cumplir GDPR. Esto se debe a que la empresa tiene su sede en la Unión Europea. Del mismo modo, una empresa radicada en Japón con una tienda de comercio electrónico en francés que suministre productos a Francia está obligada a cumplir la normativa.

El Reglamento General de Protección de Datos también se aplica a los subcontratistas: alojamientos web, integradores de software, agencias de comunicación, etc., que tratan datos personales por cuenta de otra entidad (una empresa, una autoridad local o una asociación). Estos últimos tratan datos personales por cuenta de otra entidad (una empresa, una autoridad local o una asociación). 

Conviene saberlo: ¿Quién debe designar a un RPD?

Las empresas que procesan datos y los subcontratistas deben designar a un responsable de la protección de datos (RPD) si :

  • Operan en el sector público;
  • Su actividad principal requiere un seguimiento regular, sistemático y a gran escala de las personas ;
  • Su actividad principal es el tratamiento de datos sensibles o relativos a condenas penales, como delitos o faltas.

En particular, el RPD es responsable de asesorar a la empresa sobre la aplicación de una evaluación del impacto sobre la privacidad (EIP). Se lleva a cabo cuando el tratamiento de datos plantea un riesgo para los derechos y libertades de las personas. El objetivo es evaluar el origen, la naturaleza, la especificidad y la gravedad del riesgo.

¿Quién es responsable de la aplicación de GDPR ? 

En Francia, la Comisión Nacional de Informática y Libertades (CNIL ) vela por la protección de los datos personales. Creada en 1978, esta autoridad administrativa independiente actúa en nombre del Estado. Sin embargo, no depende del Gobierno ni de ningún ministerio. 

La CNIL está compuesta por un colegio de 18 miembros elegidos o designados y un equipo de 25 agentes contractuales del Estado. Está organizada en cinco direcciones

  1. Departamento de Apoyo Jurídico (DAC).
  2. Dirección de Protección de Derechos y Sanciones (DPDS).
  3. Departamento de Tecnología e Innovación (DTI).
  4. Departamento de Relaciones Públicas (DRP).
  5. Departamento Administrativo y Financiero (DAF).

Entre los 18 miembros de la CNIL figuran : 

  • Cuatro parlamentarios, dos diputados y dos senadores;
  • Dos miembros del Consejo Económico, Social y Medioambiental (CESE), tercera asamblea constitucional de la República;
  • Seis representantes de los más altos tribunales, dos miembros del Consejo de Estado, dos miembros del Tribunal de Casación y dos miembros del Tribunal de Cuentas;
  • Cinco personalidades cualificadas. El Presidente de la Asamblea Nacional nombra a una. El Presidente del Senado nombra a otra. El Consejo de Ministros nombra a las tres últimas;
  • El Presidente de la Comisión para el Acceso a los Documentos Administrativos (CADA).

Conviene saber : ¿Cuáles son las cuatro misiones de la CNIL?

  1. Informar, proteger los derechos. En el marco de su función de información general, la CNIL responde a las solicitudes de particulares y empresas. Vela por que los ciudadanos tengan un acceso adecuado a los datos contenidos en los procesos que les conciernen. Si tienen dificultades para ejercer sus derechos, pueden presentar una reclamación ante la CNIL.
  2. Apoyo al cumplimiento, asesoramiento. Para ayudar a las organizaciones a cumplir la normativa, la CNIL ha elaborado una completa caja de herramientas.
  3. Anticipar e innovar. A través de su Laboratorio de Innovación Digital (LINC), la CNIL contribuye a los debates sobre los retos éticos de la tecnología digital. Participa en el desarrollo de soluciones tecnológicas que protejan la privacidad.
  4. Controlar y penalizar. Garantiza la correcta aplicación de la normativa sobre el terreno. En 2022 se realizaron 345 controles. En caso necesario, también puede enviar requerimientos o imponer sanciones a las organizaciones.

¿Cuáles son los 5 principios fundamentales de la protección de datos personales?

  1. Finalidad. El responsable de un fichero tiene derecho a registrar y utilizar información sobre las personas únicamente para un fin específico, legal y legítimo. 
  2. Proporcionalidad y pertinencia. Los datos recogidos deben ser pertinentes y estrictamente necesarios para la finalidad del fichero.
  3. El periodo de conservación. No está permitido conservar indefinidamente en un fichero datos relativos a personas físicas. En función del tipo de información registrada y de la finalidad del fichero, debe establecerse un periodo de conservación preciso.
  4. Seguridad y confidencialidad. El responsable del fichero debe garantizar la seguridad de la información que contiene. Debe asegurarse de que sólo tengan acceso a ella las personas autorizadas.
  5. Derechos individuales. Permiten a las personas mantener el control sobre sus datos. El responsable del tratamiento debe explicar cómo ejercer estos derechos. Si deciden ejercerlos, deben recibir una respuesta en el plazo máximo de un mes. 

Conviene saberlo: ¿Qué derechos tienen los ciudadanos sobre sus datos personales?

  • Derecho a acceder a los datos que les conciernen;
  • Derecho de rectificación y oposición ;
  • Derecho a la portabilidad ;
  • El derecho al olvido ;
  • Derecho de notificación ;
  • Derecho a indemnización por daños materiales o inmateriales ;
  • Acción de grupo.

Protección de datos personales: 6 buenas prácticas 

Descubra nuestros consejos para que su empresa garantice el cumplimiento GDPR.

  1. Recopile sólo los datos necesarios para alcanzar su objetivo

Es imprescindible recoger los datos para un fin legítimo y bien definido. No tiene derecho a seguir tratándolos con ningún otro fin. Por ejemplo, un fichero de candidatos con fines de contratación no puede utilizarse para distribuir ofertas promocionales.

Para cumplir con GDPR, puede basarse en el principio de minimización. Esto reduce la información recopilada a la necesaria para alcanzar el objetivo.

  1. Demostrar transparencia

Los ciudadanos deben poder conservar el control sobre los datos que les conciernen. Esto presupone que estén bien informados sobre el uso que se hará de sus datos. La información debe ser a la vez : 

  • Coherente con las situaciones y medios de recogida ;
  • Accesible y comprensible.

Está prohibido recabar información sobre ellos sin su conocimiento. 

  1. Facilitar a los ciudadanos el ejercicio de sus derechos

Usted está obligado a organizar los medios para que sus clientes potenciales y clientes puedan ejercer sus derechos. Deben poder hacerlo enviando un simple correo electrónico a una dirección específica. Si lo hacen, debe responder a sus peticiones lo antes posible. 

  1. Establecer periodos de conservación precisos para los data

Está prohibido conservar indefinidamente los datos personales de sus destinatarios. Sólo deben conservarse el tiempo necesario para alcanzar el objetivo deseado. Después deben destruirse, anonimizarse y/o archivarse. Todo ello debe cumplir las obligaciones reglamentarias aplicables a la conservación de archivos públicos.

  1. Garantizar la seguridad de los datos personales

Seguridad física e informática, locales, armarios y puestos de trabajo seguros, gestión rigurosa de autorizaciones y derechos de acceso... Hay que tomar todas las medidas necesarias para proteger los datos . Deben adaptarse a la sensibilidad de la información o a los riesgos para las personas en caso de incidente de seguridad.

  1. Adoptar un enfoque continuo del cumplimiento

Es importante comprobar periódicamente si : 

  • No ha habido cambios importantes en los tratamientos; 
  • Se respetan los procedimientos y medidas de seguridad establecidos;
  • Hay que adaptarse.

Emailing: ¿cómo obtener el consentimiento de los destinatarios?

En el marco de una campaña de envío de mensajes publicitarios por correo electrónico, el consentimiento del destinatario de los mensajes publicitarios se obtiene mediante el sistemaopt-in. Tenga en cuenta que si el destinatario no dice "sí", debe entenderse como un "no". El consentimiento del posible cliente o cliente potencial se obtiene mediante una declaración de este tipo: "[] Acepto que mi dirección de correo electrónico se utilice para recibir ofertas de la empresa X por correo electrónico".

Cuando envíe correos electrónicos en particular, piense en el doble opt-in. A diferencia del clásicoopt-in , este método se basa en dos pasos: 

  • El destinatario del anuncio expresa su satisfacción;
  • Confirman su deseo de recibir mensajes publicitarios haciendo clic en un enlace enviado por correo electrónico.

Dataventure opt-in Con, recoge perfiles utilizando varias palancas: 

  • Clic-lead. Este tipo de campaña cumple los objetivos de visibilidad, tráfico y captación de leads. La recaudación se dedica al 100% al contenido de CPL . No se comparten direcciones. La solución clic-lead ofrece un alto volumen de recogida que puede definirse de antemano.
  • Corregistro premium. Esta solución le permite captar clientes potenciales con un alto valor añadido. La campaña se posiciona en una página dedicada a su marca. Va acompañada de un elemento visual que destaca su oferta. Tiene total libertad para definir las preguntas de cualificación.
  • Co-registro. Ideal para recopilar perfiles de afinidad con costes controlados
  • Copatrocinio. Esta solución de recogida masiva y rentable ofrece el coste por perfil más bajo del mercado. Cada mes, usted se beneficia de la recopilación potencial de cientos de miles de perfiles de opt-in .

Dataventure Dataventuremonetiza los medios de recogida del grupo . Dataventure opt-in Cada mes se recopilan más de 3 millones de direcciones de correo electrónico para grandes anunciantes. es uno delos principales recopiladores de perfiles de Francia.

¿Cuáles son las ventajas de la doble opt-in ?

Elegir el doble opt-in aporta muchas ventajas a las empresas: 

  • Confirmación de que la dirección de correo electrónico es válida ;
  • Mejorar la calidad de la lista de correo ;
  • Cumplimiento de la normativa sobre protección de datos ;
  • Reducir el número de reclamaciones ;
  • Mejor imagen de marca.

Supresión de datos, advertencias, requerimientos, suspensión de flujos de datos... Si incumple las disposiciones de GDPR, se arriesga a fuertes sanciones administrativas. Según la categoría de la infracción, las multas pueden ascender a 10 o 20 millones de euros. En el caso de una empresa, oscilan entre el 2% y el 4% de su facturación anual mundial. 

¿Desea poner en marcha campañas de captación de clientes seguras y personalizadas? Dataventure GDPR Déjese ayudar. Nuestros expertos pueden ofrecerle lasmejores soluciones amistosas a sus problemas de tráfico ycaptación de clientes.

Descubra nuestros otros artículos

Iniciar un proyecto

Si desea una consulta gratuita y sin compromiso, rellene el siguiente formulario y nos pondremos en contacto con usted.