¿Qué es el RGPD?

La privacidad de datos atañe a los ciudadanos de todo el mundo, ya que las infracciones de privacidad de datos de los consumidores, como el escándalo de Facebook y Cambridge Analytica, alertaron a los usuarios de unos estándares deficientes en este ámbito. La confianza y la privacidad de datos son aspectos esenciales de la vida digital plasmados en las investigaciones. Por ejemplo, según un estudio de McKinsey de 2020 sobre el uso compartido de datos y el comportamiento de los consumidores, el 87 % de las personas no realizarían transacciones con una empresa si tuvieran dudas acerca de sus prácticas de seguridad. El estudio también reveló que el 71 % rechazaría una empresa si esta compartiera datos confidenciales sin permiso.

Para hacer frente al abuso de privacidad de los consumidores, la UE promulgó el Reglamento General de Protección de Datos (RGPD) el 25 de mayo de 2018. El RGPD de la UE se ha convertido en sinónimo de estrictas normativas de privacidad centradas en el consumidor que protegen los derechos de privacidad de los ciudadanos de la UE.

El derecho a la privacidad forma parte de la legislación de la UE desde el Convenio Europeo de Derechos Humanos de 1950. El RGPD fue una actualización de la Directiva sobre protección de datos 95/46/CE de 1995 o Ley de protección de datos (DPA) (2)e que culminó con la adopción del RGPD en 2016, con un plazo de implementación de dos años para los Estados miembros de la UE. Uno de los motivos de esta actualización fue armonizar las leyes de privacidad en todos los Estados miembros de la Unión Europea. Desde la adopción del RGPD, las empresas cubiertas por dicha normativa se han ocupado de establecer un programa de cumplimiento normativo. El RGPD tiene el objetivo de garantizar la protección de la privacidad de los datos personales. En virtud del artículo 4 del RGPD, los datos personales son "toda información sobre una persona física identificada o identificable ('el interesado')". Esto incluye datos como información personal, direcciones IP, datos biométricos, etc. El RGPD también proporciona clases de datos, incluidas "categorías especiales" de datos que reflejan distintos niveles de confidencialidad, en las que los datos más confidenciales requieren niveles de protección más exigentes.

En virtud del RGPD, una entidad cubierta es cualquier organización que utiliza los datos personales de un interesado de la UE si dicha entidad ofrece bienes o servicios, o bien supervisa la actividad online. Las entidades cubiertas se consideran responsables o encargados del tratamiento de datos: el responsable del tratamiento de datos es el principal organismo responsable del consentimiento y del control del acceso, mientras que el encargado del tratamiento procesa los datos en nombre de un responsable del tratamiento. El ámbito jurisdiccional del RGPD se extiende a las empresas fuera de Europa y la UE que venden productos a clientes en la UE y recopilan datos personales de dichos clientes. El RGPD afecta a empresas de todos los tamaños, ya que este se enfoca en las actividades de tratamiento de datos de una empresa y no en su tamaño.

La protección y la privacidad de los datos son fundamentales para el cumplimiento del RGPD. Las soluciones de seguridad de Akamai proporcionan inteligencia y protección integral para proteger los datos frente a filtraciones y exposiciones accidentales. Akamai ayuda a sus equipos de seguridad a maximizar la eficacia y el ROI de sus inversiones en seguridad al ir más allá de la detección tradicional de terminales para proporcionar una potente solución Zero Trust para la seguridad y la privacidad de los datos.

Akamai proporciona:

• Una plataforma de seguridad global que aplica la seguridad Zero Trust con una cobertura completa de sus entornos de TI, IoT y TO
• Gran visibilidad de sus flujos de red, accesos y recursos
• Aplicación detallada de la política de seguridad

La privacidad de los datos es importante para los consumidores. El RGPD y otras leyes de privacidad de datos similares, incluida la Ley de Privacidad del Consumidor de California (CCPA, del inglés California Consumer Privacy Act) de Estados Unidos, velan por el cumplimiento de los principios de privacidad de datos para consumidores y ciudadanos. Las empresas que no cumplan con el RGPD están sujetas a importantes multas; el 13 de abril de 2023, la autoridad de protección de datos ("APD") de Irlanda impuso una multa de 1200 millones de euros a Meta Platforms Ireland Limited (Meta IE) por incumplimiento del RGPD durante la transferencia de datos personales a Estados Unidos según las cláusulas contractuales tipo (SCC, del inglés Standard Contractual Clauses). 

Además de las empresas cubiertas directamente por el RGPD, las siguientes organizaciones de ejemplo también deben cumplir el reglamento:

Empresas estadounidenses con clientes en la UE

El RGPD tiene un alcance extraterritorial. Por lo tanto, aunque su empresa tenga su sede fuera de la UE, si tiene la posibilidad de hacer negocios con ciudadanos de la UE, debe cumplir el RGPD. Estas empresas deben realizar una evaluación del RGPD para determinar qué actividades de tratamiento de datos llevan a cabo. También deberá proporcionar avisos de privacidad que cumplan los requisitos del RGPD. Además, tendrá que realizar una evaluación del impacto en la protección de datos y determinar qué medidas de protección son necesarias. Es probable que esto incluya el cifrado de datos, medidas de autenticación sólidas y protección de datos en el nivel de organización, como la implementación de un enfoque de seguridad Zero Trust. Estas medidas deben extenderse a los proveedores externos.

Empresas pequeñas con menos de 250 empleados

El RGPD no exime a las organizaciones más pequeñas de la normativa. Las empresas unipersonales o con estatus de organización benéfica también tendrán que cumplir las normas del RGPD si tratan y procesan datos personales. Sin embargo, solo se requieren los niveles de documentación sobre el tratamiento de datos que habitualmente exige la ley si se procesan datos de forma habitual, en grandes cantidades o si son datos que pueden afectar a derechos y libertades, o que revelan aspectos relativos a la raza, etnia, datos biométricos, etc. Además de cumplir con los requisitos de privacidad de datos, las empresas pequeñas deben buscar plataformas de seguridad que puedan proporcionar una autenticación y un cifrado sólidos para ayudar a proteger los datos y evitar filtraciones.

El RGPD establece siete principios fundamentales que lo sustentan como normativa. Estos principios hacen referencia a la licitud, los motivos para el tratamiento de los datos y las condiciones para el consentimiento. Los principios abarcan las siguientes áreas:

1. Legalidad, lealtad y transparencia: debe haber motivo suficiente para el tratamiento de los datos.
2. Limitación de la finalidad: se trata de un concepto importante en los principios de privacidad desde el diseño y por defecto, tal como se refleja en el RGPD. Este objetivo principal consiste en garantizar que los datos deberán ser "recogidos con fines determinados, explícitos y legítimos".
3. Minimización de datos: de acuerdo con el segundo principio, cualquier dato que se recoja legítimamente debe limitarse a un conjunto de datos mínimo.
4. Exactitud: la entidad cubierta debe garantizar la exactitud de los datos recogidos.
5. Limitación del plazo de conservación: la entidad cubierta debe tener una política de limitación del plazo de conservación que sea aplicable.
6. Integridad y confidencialidad: los controles de seguridad deben mantener la integridad y confidencialidad de los datos personales recogidos; esto debe incluir medidas de seguridad para evitar ataques de amenazas internas o externas.
7. Responsabilidad: las medidas y la documentación deben demostrar que la entidad cubierta cumple con el RGPD.

Los interesados son personas que podrían identificarse con el uso de los datos personales objeto del RGPD. En el capítulo 3 del RGPD se definen ocho derechos de los interesados que deben respetarse para cumplir con el RGPD:

1. Derecho de información (artículos 12, 13 y 14).
2. Derecho de acceso (artículo 15).
3. Derecho de rectificación (artículo 16).
4. Derecho de supresión (artículo 17).
5. Derecho a la limitación del tratamiento (artículo 18).
6. Derecho a la portabilidad de los datos (artículo 20).
7. Derecho de oposición (artículo 21).
8. Derecho a no ser objeto de decisiones automatizadas, incluida la elaboración de perfiles (artículo 22).

También existe una regla de notificación de infracciones contemplada en el artículo 34, que exige que una entidad cubierta informe "sin dilación indebida" a un interesado de una infracción si esta es probable que "entrañe un alto riesgo para los derechos y libertades de las personas físicas". Las filtraciones de datos deben comunicarse a las autoridades de control, que son autoridades públicas que supervisan la aplicación de la normativa.

En la web GDPR Enforcement Tracker se proporciona una descripción general de las multas y sanciones impuestas por el incumplimiento del RGPD. En mayo de 2023, el coste acumulado de las multas era de unos 2790 millones de euros. Las tres razones principales para imponer multas, según la web GDPR Enforcement Tracker, son:

1. El incumplimiento de los principios generales de tratamiento de datos.
2. Una base jurídica insuficiente para el tratamiento de datos.
3. Medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información.

Los dos niveles establecidos para las multas por incumplimiento del RGPD son:

Nivel 1: filtraciones de datos y la no realización de una evaluación del impacto en la protección de datos: 2 % de los ingresos anuales globales o 10 millones de euros, la cantidad que sea superior de las dos.

Nivel 2: aspectos relacionados con la correcta aplicación de los requisitos del RGPD, por ejemplo, la aplicación del consentimiento y los derechos de los interesados: 4 % de los ingresos anuales globales o 20 millones de euros, la cantidad que sea superior de las dos.

La seguridad de los datos está intrínsecamente vinculada a una sólida privacidad de datos. El RGPD reconoce la importancia de prevenir las filtraciones de datos mediante la adopción de medidas técnicas y organizativas adecuadas. Los controles de seguridad y las medidas de privacidad mencionadas en el RGPD incluyen el cifrado y la seudonimización. Otras medidas de seguridad y privacidad que se deben utilizar para evitar las filtraciones de datos son la gestión de acceso e identidades (IAM, del inglés Identity and Access Management) y una autenticación y un consentimiento sólidos mediante un enfoque de seguridad Zero Trust.

Akamai Connected Cloud proporciona controles precisos sobre el acceso a los datos y el consentimiento para ayudar a las organizaciones a cumplir y demostrar el cumplimiento del RGPD. Entre estos controles se incluyen:

• Obtención y gestión del consentimiento
• Derecho de acceso
• Derecho de rectificación
• Derecho de supresión
• Cifrado

Akamai respalda el cumplimiento del RGPD con la gestión de riesgos, elaboración de informes y documentación, todo ello mediante una estrategia Zero Trust.