Relacionado: Ver ENS para sector público español. NIS2 para directiva de ciberseguridad. LSSI para comercio electrónico. Tecnologías AAA para control de acceso.
Vamos a repasar en profundidad qué es el RGPD (Reglamento General de Protección de Datos), cómo funciona, a quién aplica, y por qué es clave en ciberseguridad, gobernanza y cumplimiento legal en toda Europa.
¿Qué es el RGPD?
El RGPD es el Reglamento (UE) 2016/679, conocido como:
Reglamento General de Protección de Datos (General Data Protection Regulation - GDPR)
Entró en vigor en mayo de 2018 y es directamente aplicable en todos los Estados miembros de la UE.
¿Cuál es su objetivo?
Proteger los derechos y libertades fundamentales de las personas físicas en relación con el tratamiento de sus datos personales.
Asegura que cualquier entidad que trate datos:
-
Lo haga de forma transparente
-
Con finalidad legítima
-
Con consentimiento o base jurídica válida
-
Aplicando medidas de seguridad, minimización y responsabilidad proactiva
¿Qué son datos personales?
Cualquier información que identifique o pueda identificar a una persona:
-
Nombre, DNI, email, dirección IP
-
Datos de localización, voz, imagen
-
Datos económicos, de salud, genéticos, biométricos…
¿A quién se aplica el RGPD?
-
A todas las organizaciones públicas o privadas dentro de la UE.
-
También a organizaciones fuera de la UE si tratan datos de ciudadanos europeos (por ejemplo, Facebook, Amazon…).
Incluye:
-
Empresas
-
Administraciones públicas
-
Centros educativos y sanitarios
-
Autónomos y ONGs
Principios fundamentales del RGPD (art. 5)
-
Licitud, lealtad y transparencia
-
Limitación de la finalidad
-
Minimización de datos
-
Exactitud
-
Limitación del plazo de conservación
-
Integridad y confidencialidad
-
Responsabilidad proactiva (accountability)
Obligaciones clave para las organizaciones
-
Designar un Delegado de Protección de Datos (DPO) si aplica
-
Informar claramente a los usuarios (cláusulas, avisos legales)
-
Obtener el consentimiento válido y verificable
-
Garantizar los derechos de los interesados:
- Acceso, rectificación, supresión, oposición, portabilidad, limitación
-
Realizar un Registro de Actividades de Tratamiento
-
Evaluar riesgos y aplicar medidas de seguridad adecuadas
-
Hacer Evaluaciones de Impacto (PIA/DPIA) cuando hay alto riesgo
-
Notificar brechas de seguridad en un máximo de 72h
️ Sanciones del RGPD
-
Hasta 20 millones de euros o el 4% de la facturación global anual (la cifra que sea mayor)
-
Multas proporcionales a la gravedad, duración, número de afectados, intención, etc.
Relación con la seguridad de la información
El RGPD obliga a aplicar medidas de ciberseguridad para proteger los datos personales:
-
Cifrado y seudonimización
-
Control de accesos
-
Backup y recuperación
-
Trazabilidad y registro de accesos
-
Pruebas de intrusión y monitorización
Estas medidas se relacionan directamente con estándares como ISO 27001, ENS, NIS2 y DORA.
Relación con otros marcos legales
| Norma | Relación con RGPD |
|---|---|
| ENS | Establece medidas organizativas y técnicas exigidas también por RGPD |
| LSSI | Afecta al uso de cookies y comunicaciones comerciales |
| eIDAS | Firma electrónica para garantizar consentimiento válido |
| NIS2 | En caso de incidentes de seguridad que afecten a datos personales, hay doble obligación: RGPD + NIS2 |
Conclusión
El RGPD es el reglamento más importante de Europa en materia de protección de datos personales.
Toda organización que trate datos debe cumplirlo, aplicando medidas técnicas, organizativas y jurídicas, garantizando los derechos de las personas y documentando sus decisiones con responsabilidad proactiva.
¿Quieres que te prepare una guía paso a paso para cumplir con RGPD en una empresa o AAPP? ¿O una plantilla de Registro de Actividades o Evaluación de Impacto?