Artículo

¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) es una ley aprobada para controlar la forma en la que las organizaciones tratan y utilizan los datos personales sobre consumidores recopilados en línea. La Unión Europea (UE) lo aprobó en abril de 2016 y los requisitos que dictan el cumplimiento del RGPD entraron en vigor el 25 de mayo de 2018. Los requisitos de cumplimiento del RGPD representan una armonización de las leyes de privacidad de datos en toda la UE.

El uso casi omnipresente de servicios en la nube y las amenazas generalizadas de filtraciones de datos son una fuerza impulsora detrás de los requisitos de cumplimiento del RGPD. Los servicios digitales han erosionado las fronteras que alguna vez dieron más control sobre dónde residen los datos.

Los requisitos de cumplimiento del RGPD reflejan la postura altamente protectora de la UE en materia de privacidad y seguridad de los datos para sus ciudadanos.

Aunque la ley se redactó y aprobó en la UE, el RGPD se extiende a cualquier organización que recopile y trate datos relacionados con ciudadanos de la UE, independientemente de su ubicación.

Siete principios de protección de datos determinan los requisitos de cumplimiento del RGPD para proteger la privacidad de las personas cuyos datos se recopilan, utilizan, consultan o tratan de cualquier otra forma:

  1. Responsabilidad proactiva
  2. Exactitud
  3. Minimización de datos
  4. Integridad y confidencialidad
  5. Licitud, lealtad y transparencia
  6. Limitación de la finalidad
  7. Limitación del plazo de conservación

¿Qué se requiere para el cumplimiento del RGPD?

El cumplimiento del RGPD se considera uno de los más difíciles de lograr y mantener; generalmente, se considera esta ley como la directiva de seguridad y privacidad más estricta del mundo, y el texto completo contiene 99 artículos. A continuación se detallan los principales requisitos de cumplimiento del RGPD para dar una idea de su alcance y escala.

Requisitos de responsabilidad proactiva

Las organizaciones que tratan datos personales deben tener responsables del tratamiento que puedan demostrar el cumplimiento del RGPD.

Requisitos de exactitud

El cumplimiento del RGPD requiere que las organizaciones tomen medidas razonables para garantizar que la información de los interesados sea exacta. Si bien no se dictan requisitos específicos, se deben tener en cuenta las circunstancias, el tipo de datos personales que se tratan y el motivo por el que se utilizan.

Para cumplir con este requisito, es necesaria una evaluación para determinar cuán importantes son los datos personales. A medida que aumenta su importancia, también deberían hacerlo las medidas adoptadas para garantizar la exactitud. Como parte del requisito de exactitud, el cumplimiento del RGPD exige que existan procedimientos para permitir que los interesados tengan información personal actualizada cuando lo soliciten.

Requisitos de consentimiento

Al contrario de lo que se piensa, el cumplimiento del RGPD no requiere el consentimiento de los interesados para tratar su información. Es uno de los seis fundamentos jurídicos para tratar la información del interesado y generalmente se solicita si ninguno de los otros cinco es aplicable.

Sin embargo, si el consentimiento se utiliza como fundamento para el cumplimiento del RGPD, las organizaciones deben cumplir con las siguientes reglas:

  • Los niños menores de 13 años solo pueden dar su consentimiento con el permiso de sus padres.
  • El consentimiento debe ser una “manifestación de voluntad libre, específica, informada e inequívoca”. Los usuarios deben otorgar consentimiento activamente en lugar de que la organización utilice casillas de consentimiento marcadas por defecto.
  • Los interesados podrán retirar en cualquier momento el consentimiento previamente dado. (Es importante tener en cuenta que si se retira el consentimiento, las organizaciones no pueden reemplazarlo con uno de los otros cinco fundamentos jurídicos para tratar la información del interesado).
  • Debe conservarse la prueba documental del consentimiento.
  • Las solicitudes de consentimiento deben distinguirse claramente de los demás asuntos y utilizar “un lenguaje claro y sencillo”.

Requisitos de evaluación del impacto de la protección de datos

El cumplimiento del RGPD incluye identificar y minimizar el riesgo en el tratamiento de datos mediante evaluaciones de impacto de la protección de datos (EIPD). El artículo 35 introduce el concepto de EIPD, un requisito de cumplimiento del RGPD cuando el tratamiento de datos “entrañe un alto riesgo para los derechos y libertades de las personas físicas”.

En el contexto del cumplimiento del RGPD, alto riesgo se refiere a:

  • Datos de categorías especiales o delitos penales a gran escala
  • Elaboración de perfiles sistemática y exhaustiva
  • Monitoreo sistemático de lugares de acceso público a gran escala

Requisitos de derechos del interesado

El cumplimiento del RGPD debe tener en cuenta ocho derechos de los interesados.

  1. El derecho a ser informado
    Las organizaciones deben informar a los interesados, de manera concisa y en lenguaje sencillo, sobre qué información se recopila, cómo se utiliza, durante cuánto tiempo se conservará y si se compartirá con terceros.
  2. El derecho de acceso
    Los interesados pueden solicitar que las organizaciones proporcionen una copia de cualquier dato personal almacenado y recibir esta información en un plazo de un mes, con algunas excepciones.
  3. El derecho de rectificación
    Los interesados pueden solicitar que se actualice su información si se comprueba que los datos son inexactos o incompletos. Esto debe hacerse en un plazo de un mes, con algunas excepciones.
  4. El derecho a la eliminación
    En determinadas circunstancias, los interesados pueden solicitar que una organización borre sus datos, por ejemplo, si ya no son necesarios, si se trataron ilegalmente o si ya no cumplen con el fundamento jurídico por el cual fueron recopilados.
  5. El derecho a restringir el tratamiento
    Cuando un interesado ya no utiliza el producto o servicio para el cual se recopilaron inicialmente sus datos, puede solicitar que se eliminen. Si la organización argumenta que son necesarios (por ejemplo, para la formulación, el ejercicio o la defensa de reclamaciones), se pueden imponer restricciones sobre cómo se utilizan los datos.
  6. El derecho a la portabilidad de los datos
    La información de los interesados debe ser accesible en un formato estándar para que pueda utilizarse en diferentes servicios.
  7. El derecho a oponerse
    Incluso si una organización trata datos personales utilizando como fundamento jurídico el interés legítimo o el cumplimiento de una misión realizada en interés de un poder público, los interesados tienen derecho a oponerse al tratamiento.
  8. Derechos relacionados con la toma de decisiones automatizada, incluida la elaboración de perfiles
    Se imponen limitaciones al uso de la información de los interesados para la toma de decisiones automatizada, como la elaboración de perfiles y otras aplicaciones de la inteligencia artificial y el aprendizaje automático.

Requisitos de transferencia de datos

Las reglas para las transferencias de datos varían dependiendo de dónde se mueven los datos. Las protecciones básicas de privacidad y datos del RGPD son aceptables si la información de un interesado se transfiere dentro de la UE.

Sin embargo, los datos solo pueden transferirse a un tercero u organización internacional si la organización encargada del tratamiento ha “ofrecido garantías adecuadas y a condición de que los interesados cuenten con derechos exigibles y acciones legales efectivas”.

Requisitos de integridad y confidencialidad

El tratamiento de datos debe realizarse de tal manera que se garanticen la seguridad, integridad y confidencialidad adecuadas para satisfacer los requisitos de cumplimiento del RGPD. El nivel de controles de seguridad debe ser proporcional a las repercusiones que sufriría el interesado de producirse una filtración de datos.

Se requiere protección de datos para evitar que los datos tratados​se vean comprometidos accidental o deliberadamente. Solo los usuarios autorizados deberían poder acceder a la información de los interesados, alterar, comunicar o eliminar la información de los interesados.

Requisitos de tratamiento lícito, leal y transparente

El tratamiento debe ser lícito, leal y transparente para el interesado. Se debe cumplir uno de los seis fundamentos jurídicos para el tratamiento de datos para garantizar el cumplimiento del RGPD.

Si bien el tratamiento de datos no tiene por qué ser esencial, debe haber una finalidad específica para tratar la información de un interesado:

  1. Se deberá haber obtenido el consentimiento expreso del interesado.
  2. El tratamiento es necesario para el cumplimiento de una obligación legal.
  3. El tratamiento es necesario para la ejecución de un contrato con el interesado o para tomar medidas previas a la celebración de un contrato.
  4. El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento.
  5. El tratamiento es necesario para las finalidades de intereses legítimos perseguidos por el responsable del tratamiento o un tercero, excepto cuando dichos intereses sean anulados por los intereses, derechos o libertades del interesado.
  6. El tratamiento es necesario para proteger los intereses vitales de un interesado o de otra persona.

Para garantizar la transparencia, las organizaciones deben crear avisos de privacidad y hacerlos fácilmente accesibles para los interesados.

Requisitos de limitación de la finalidad, los datos y el plazo de conservación

El cumplimiento del RGPD requiere que las organizaciones tengan una razón legítima para tratar la información de los interesados y se la indiquen explícitamente al interesado en el momento de la recopilación. Cuando los datos ya no sean necesarios, deberán eliminarse. Existen excepciones para el tratamiento de datos realizado con finalidades de archivo en interés público y con finalidades científicas, históricas o estadísticas.

Requisitos de notificación de filtración de datos personales

En caso de filtración de datos, existen requisitos muy específicos para el cumplimiento del RGPD. Uno de los más importantes está relacionado con una filtración de datos en la que se vea comprometida información personal y haya un posible riesgo para las personas.

En este caso, la organización deberá comunicar la incidencia en el plazo de 72 horas desde su identificación. Posteriormente, hay un proceso para evaluar qué pasó con los datos y las implicaciones para los interesados.

El artículo 4, sección 12 define una filtración de datos personales como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. Esto significa que una filtración de datos personales va más allá del ataque de un ciberdelincuente e incluye a las personas internas que comprometen por error la información de un interesado.

Requisitos de privacidad por diseño y por defecto

Para satisfacer los requisitos de cumplimiento del RGPD en materia de privacidad por diseño y por defecto, una organización debe comenzar el desarrollo de su programa de tratamiento de datos integrando la seguridad, en lugar de agregarla más tarde. Esto significa incorporar las medidas técnicas y organizativas apropiadas de protección de datos junto con las necesarias para proteger los derechos de privacidad del interesado.

Requisitos de formación en materia de concienciación sobre seguridad

La formación del personal en materia de concienciación sobre seguridad es obligatoria para el cumplimiento del RGPD. Cualquiera que maneje datos personales o sea responsable de supervisar las prácticas de protección de datos debe recibir educación sobre sus responsabilidades, las amenazas contra los datos personales y los derechos de los interesados. La formación en concienciación sobre seguridad también debe abarcar la privacidad por diseño y por defecto y las EIPD.

Requisitos de limitación del plazo de conservación

Las organizaciones deben tener políticas y cronogramas de retención que definan cuánto tiempo se almacenará la información de los interesados para cumplir con los requisitos de cumplimiento del RGPD. Los datos solo deben conservarse mientras sean necesarios.

Deben existir sistemas para garantizar que los datos se eliminen o se anonimicen cuando lleguen al final de su período de uso definido. Además, debe haber un proceso para la eliminación anticipada (por ejemplo, si un interesado realiza una solicitud o si los datos ya no se utilizan).

¿Quién está obligado a cumplir con el RGPD?

El cumplimiento del RGPD es obligatorio para cualquier organización que trate datos personales de un ciudadano de la UE. Independientemente de dónde esté ubicada la organización, se requiere el cumplimiento del RGPD si la organización:

  • Supervisa el comportamiento de un ciudadano de la UE, como en el seguimiento de cookies o direcciones IP
  • Ofrece bienes y servicios a un ciudadano de la UE desde su sitio web

¿Qué derechos tienen los usuarios según el RGPD?

El cumplimiento del RGPD establece derechos para los interesados junto con obligaciones para las organizaciones que tratan sus datos personales. A continuación se muestra un resumen de los derechos de los interesados que garantiza el RGPD.

El derecho de acceso

Las organizaciones deben facilitar a los usuarios el acceso a sus datos personales para mantener el cumplimiento del RGPD. Las personas deberían poder solicitar una copia de los datos personales que posee una organización y recibir una copia junto con cualquier información complementaria, como las finalidades del tratamiento y el período de retención de los datos. Esta información deberá entregarse en el plazo de un mes desde la fecha de la solicitud, con algunas excepciones.

El derecho a la portabilidad de los datos

El cumplimiento del RGPD exige que el interesado pueda transferir sus datos personales de un proveedor de servicios a otro. Este derecho otorga a los interesados mayor control sobre sus datos y mayor libertad al cambiar de proveedor de servicios, por ejemplo, para obtener un mejor servicio o mejores precios.

El derecho a la eliminación

También conocido como derecho al olvido, este mandato de cumplimiento del RGPD permite a los interesados solicitar a las organizaciones que borren cualquier dato personal que hayan recopilado. Algunas excepciones a este derecho se dan en situaciones en las que existe la obligación legal de conservar los datos personales y cuando se utilizan para una tarea de interés público. Se debe responder a la solicitud de borrado en el plazo de un mes a partir de la solicitud.

El derecho a ser informado

Para cumplir con los requisitos del RGPD, las organizaciones deben garantizar que los interesados tengan información clara sobre el uso que la organización hace de sus datos personales. Los requisitos varían según si una empresa recopila datos personales directamente del interesado o los obtiene de otra fuente.

  • Si se recopilan directamente de un interesado, la organización debe proporcionar la información personal.
  • Si se recopilan de un tercero, la organización solo tiene que informar al interesado sobre la fuente, en lugar de proporcionar la información personal.

El derecho de rectificación

Los requisitos de cumplimiento del RGPD exigen que, si una organización recibe una solicitud de rectificación, esté obligada a tomar medidas razonables para confirmar que los datos son correctos o corregirlos. Las organizaciones tienen un mes desde la recepción para cumplir con la solicitud.

Derechos en relación con la toma de decisiones automatizada y la elaboración de perfiles

La toma de decisiones automatizada es un proceso que no implica intervención humana, como la elaboración de perfiles y la emisión de juicios sobre aspectos de una persona. La toma de decisiones automatizada solo puede utilizarse en tres situaciones:

  1. Los interesados reciben información sobre el tratamiento
  2. Un interesado puede solicitar fácilmente la intervención humana o impugnar una decisión
  3. Se realizan controles periódicos para garantizar que el sistema esté funcionando según lo previsto

El derecho a restringir el tratamiento

El cumplimiento del RGPD exige que las organizaciones cuenten con el consentimiento claro del interesado para tratar sus datos personales. El proceso de obtención del consentimiento debe ser transparente y fácilmente accesible. Los interesados también tienen derecho a que se les solicite su consentimiento explícito para el tratamiento de sus datos personales y el alcance de dicho tratamiento.

¿Qué sanciones existen por el incumplimiento del RGPD?

El incumplimiento de los criterios de cumplimiento del RGPD conlleva fuertes sanciones, que varían según la gravedad de la infracción. Hay dos niveles de sanciones por no cumplir con los requisitos del RGPD. Además de las sanciones, el RGPD otorga a los interesados el derecho a solicitar una compensación a las organizaciones que les causen daños materiales o no materiales como resultado del incumplimiento de los requisitos del RGPD.

Sanciones de nivel uno

Se impone una multa de hasta 10 millones de euros o del 2 % de los ingresos anuales mundiales de la organización del año financiero anterior (la cantidad que sea mayor) cuando se violan las reglas relacionadas con:

  • Organismos de certificación (artículos 42 y 43)
  • Responsables y encargados del tratamiento (artículos 8, 11, 25-39, 42 y 43)
  • Organismos de supervisión (artículo 41)

Sanciones de nivel dos

Se impone una multa de hasta 20 millones de euros o del 4 % de los ingresos anuales mundiales de la organización del año financiero anterior (la cantidad que sea mayor) cuando se violan las reglas relacionadas con:

  • Cualquier violación de las leyes de los Estados miembros adoptadas de acuerdo con el capítulo IX (el capítulo IX otorga a los Estados miembros de la UE la capacidad de aprobar leyes de protección de datos adicionales siempre que estén de acuerdo con el RGPD)
  • Incumplimiento de una orden de una autoridad de control
  • Los principios básicos del tratamiento (artículos 5, 6 y 9)
  • Las condiciones para el consentimiento (artículo 7)
  • Derechos de los interesados (artículos 12 a 22)

Las sanciones por no cumplir con los requisitos del RGPD las administra el regulador de protección de datos de cada país de la UE. Esta persona determina si se ha producido una infracción y cuál será la sanción.

Los diez criterios indicados a continuación se utilizan para juzgar si una organización ha violado el cumplimiento del RGPD y, de ser así, determinar la sanción asociada. Si se determina que la organización ha cometido varias infracciones, será penalizada por la más grave, asumiendo que todas las infracciones forman parte de la misma operación de tratamiento.

  1. Gravedad y naturaleza
  2. Intención
  3. Mitigación
  4. Medidas de precaución
  5. Historia
  6. Cooperación con la autoridad de control
  7. Categoría de datos
  8. Notificación
  9. Certificación
  10. Circunstancias agravantes/atenuantes
  • Cómo sucedió
  • Cuánto tiempo tardó en resolverse
  • El daño sufrido
  • El número de personas afectadas
  • Qué sucedió
  • Por qué sucedió
  • Intencionado
  • Accidental
  • Resultado de negligencia
  • Aplicación o no de medidas por parte de la organización para mitigar el daño
  • Cuánto tiempo se tardó en tomar medidas
  • Salvaguardias técnicas
  • Preparación organizativa
  • Cualquier infracción anterior relevante según la Directiva de protección de datos y el RGPD
  • Cumplimiento de medidas correctivas administrativas anteriores en virtud del RGPD
  • Descubrir la infracción
  • Remediar la infracción
  • El tipo de datos personales afectados
  • La firma notificó proactivamente el incidente
  • El incidente lo notificó un tercero
  • Si la empresa siguió los códigos de conducta aprobados
  • Si la empresa estaba previamente certificada
  • Beneficios financieros obtenidos
  • Pérdidas evitadas

¿Cuál es la relación entre el RGPD y las filtraciones de datos?

Para cumplir con los requisitos del RGPD, las organizaciones deben notificar una filtración de datos personales al regulador si es probable que suponga un “riesgo para los derechos y libertades del interesado”. Según las normas de cumplimiento del RGPD, existen tres tipos de filtraciones de datos personales, y las filtraciones de datos pueden pertenecer a las tres categorías.

Violación de la confidencialidad: divulgación de datos personales o acceso a datos personales no autorizados o accidentales

Violación de la disponibilidad: pérdida de acceso a datos personales o destrucción de datos personales accidentales

Violación de la integridad: alteración de datos personales no autorizada o accidental

El cumplimiento del RGPD exige a las organizaciones que notifiquen cualquier brecha de seguridad que afecte a datos personales a una autoridad de protección de datos (APD) en un plazo de 72 horas desde que tengan conocimiento de ella.

¿Qué es una solicitud de acceso del interesado?

Una solicitud de acceso del interesado (DSAR) es una solicitud de una persona para acceder a datos personales suyos que una empresa ha tratado, así como a:

  • Categorías de datos personales que la organización trata
  • Período de conservación de los datos
  • Información sobre la toma de decisiones automatizada (p. ej., elaboración de perfiles)
  • Información sobre sus derechos en virtud del RGPD
  • Finalidad del tratamiento de datos personales
  • El origen de los datos (es decir, si los datos no se obtienen del interesado)
  • Terceros con los que la organización comparte datos personales

¿Qué es un delegado de protección de datos?

Un delegado de protección de datos (DPD) es responsable de garantizar que una organización cumpla con los requisitos del RGPD. En organizaciones más grandes, la función del DPD está a cargo de varias personas o de un departamento completo.

La función del DPD es:

  • Actuar como punto de contacto entre la organización y su autoridad de control
  • Asesorar al personal sobre sus responsabilidades en materia de protección de datos
  • Aprobar los flujos de trabajo sobre cómo acceder a los datos
  • Definir cómo se anonimizan los datos retenidos
  • Establecer períodos de retención justificables para los datos personales
  • Ayudar a la dirección a decidir si son necesarias las EIPD
  • Supervisar todos estos sistemas para garantizar que protejan los datos privados de los clientes
  • Supervisar las políticas y los procedimientos de protección de datos
  • Servir como punto de contacto para los interesados

Ten en cuenta que no todas las organizaciones necesitan adherirse a las normas de cumplimiento del RGPD. Se debe nombrar un DPD cuando la organización tenga:

  • Actividades que constituyen el tratamiento a gran escala de categorías especiales de datos enumeradas en los artículos 9 y 10 del RGPD
  • Actividades principales que requieren la supervisión sistemática y regular a gran escala de los interesados
  • Autoridad pública distinta de un tribunal que actúe en ejercicio de sus funciones judiciales

Tomar en serio los requisitos de cumplimiento del RGPD

El cumplimiento del RGPD no debe tomarse a la ligera. Las sanciones impuestas por los reguladores son elevadas. Además, las personas pueden exigir, y de hecho exigen, una compensación adicional, que se concede con frecuencia. Si bien el cumplimiento del RGPD requiere esfuerzo, también contribuye a reforzar la seguridad general, lo que beneficia a las organizaciones.

Fecha: 13 de noviembre de 2025Tiempo de lectura: 19 minutos
Compliance

Empezar

Vea lo que la seguridad de identidad de SailPoint puede hacer por su organización

Descubra cómo nuestras soluciones permiten a las empresas modernas afrontar en la actualidad el reto de asegurar un acceso seguro a los recursos sin comprometer la productividad ni la innovación.

Solicitar una demostraciónContáctenos