eSignGlobaleSignGlobal
Centro de seguridad
Home
 21 CFR Part 11
Proveedores de eSignGlobal

GDPR

Declaración de Cumplimiento de Datos de la UE

  1. Descripción General de la Legislación de Protección de Datos Personales de la UE

La UE promulgó el Reglamento General de Protección de Datos (GDPR) en 2016, que entró en vigor en 2018. El GDPR tiene como objetivo proteger los derechos de privacidad y protección de datos de todas las personas dentro de la UE. El GDPR se aplica a todas las empresas y organizaciones que procesan datos personales, independientemente de su ubicación geográfica, siempre que sus actividades de procesamiento de datos involucren datos personales de ciudadanos de la UE.

(1) Definiciones relevantes

  1. El controlador de datos es una persona física o jurídica, organismo público, agencia gubernamental u otra organización no incorporada que, individualmente o en conjunto con otros, determina los fines y medios del procesamiento de datos personales, y es responsable de determinar los fines y medios del procesamiento de datos personales, pero los estándares específicos deben ser especificados por las leyes de la UE o sus estados miembros.

  2. El procesador de datos se refiere a una persona física o jurídica, organismo público, agencia gubernamental u otra organización no incorporada que procesa datos personales en nombre del controlador de datos. Sin embargo, a veces es difícil determinar si una entidad es un controlador de datos o un procesador.

  3. Los datos personales son cualquier información relacionada con una persona física identificada o identificable (“sujeto de datos”). El GDPR amplía el alcance de los datos personales. Según la definición del GDPR, los datos personales también incluyen huellas digitales (como direcciones IP y cookies). Además, los datos genéticos o biométricos también están incluidos en la categoría de “datos sensibles”.

  4. El GDPR establece explícitamente que los datos personales sensibles deben estar altamente protegidos, y estos datos incluyen: origen racial o étnico de una persona, opiniones políticas, creencias religiosas y filosóficas, afiliación sindical, datos genéticos, datos biométricos, datos de salud, información sobre la vida sexual o la orientación sexual e información sobre antecedentes penales. Y las instituciones médicas generalmente deben cumplir con estándares más altos de requisitos de protección de datos.

  5. Contenido principal

(1) Los siguientes son los pasos que las empresas deben seguir para lograr el cumplimiento del GDPR:

(1) Auditoría de datos: auditar las actividades de procesamiento de datos existentes para garantizar la comprensión de las fuentes, los fines de uso y los períodos de almacenamiento de los datos personales.

(2) Actualización de la política de privacidad: actualizar la política de privacidad para garantizar que su contenido cumpla con los requisitos del GDPR y que informe claramente a los usuarios sobre cómo se procesan sus datos.

(3) Establecer un mecanismo de cumplimiento: establecer un sistema de gestión de protección de datos para garantizar que todas las actividades de procesamiento de datos sigan los principios del GDPR.

(4) Capacitación del personal: capacitar al personal sobre el GDPR y el conocimiento relacionado con la protección de datos para mejorar su conciencia sobre el cumplimiento.

Monitoreo y revisión: monitorear periódicamente las actividades de procesamiento de datos para garantizar el cumplimiento continuo de los requisitos del GDPR.

  1. ¿Cuándo es legal el tratamiento de datos personales al procesar datos personales?

De acuerdo con el Artículo 6 del RGPD, el tratamiento de datos personales debe cumplir con las siguientes seis bases legales:

(1) El interesado ha dado su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

(2) El tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

(3) El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

(4) El tratamiento es necesario para proteger los intereses vitales del interesado o de otra persona física;

(5) El tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

(6) El tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. (Nota: Esto no se aplica al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones).

Obtener el consentimiento previo es el requisito previo más importante para que las empresas procesen legalmente los datos personales de los ciudadanos de la UE. Por ejemplo, cuando se enfrenta al cumplimiento del RGPD, Facebook debe tratar de obtener el consentimiento en lugar de cumplir con el principio de minimización de datos.

El consentimiento obtenido debe ser verificable, debe distinguirse claramente de otros asuntos y debe ser revocable. Cabe destacar que el tratamiento de datos sensibles requiere un consentimiento explícito. El consentimiento vago o “general” se considera inválido. Las empresas deben presentar a los interesados expresiones fáciles de entender para que elijan si consienten o no el tratamiento de sus datos personales. En vista de esto, al menos en teoría, las solicitudes de consentimiento vagas, llenas de jerga y a largo plazo ya no existirán.

Además, el silencio, las casillas premarcadas o la inactividad no constituyen un consentimiento válido. Cuando un usuario necesita marcar una casilla o dar su consentimiento por teléfono, esto se considera una elección explícita.

Los menores de 16 años no tienen derecho legal a dar su consentimiento, pero los Estados miembros de la UE pueden reducir este límite de edad a 13 años.

(II) Transferencia transfronteriza de datos personales

  1. Transferencia dentro de la UE

En el caso de la transferencia de datos personales dentro de la UE, el RGPD no impone ningún requisito adicional a la aplicabilidad directa del RGPD. Sin embargo, cuando un controlador contrata a un procesador, la relación entre el controlador de datos y el procesador de datos debe controlarse mediante un acuerdo y debe cumplir con los estándares mínimos establecidos por el RGPD en estos casos. El acuerdo entre el procesador y el procesador (Artículo 28 del RGPD) establece el objeto y la duración del procesamiento, la naturaleza y el propósito del procesamiento, los tipos de datos personales y las categorías de interesados, así como las obligaciones y derechos del controlador.

  1. Transferencia de datos fuera de la UE: Siguiendo los pasos del RGPD

Para las transferencias de datos fuera de la UE, el RGPD prevé circunstancias específicas en las que se pueden realizar dichas transferencias. En particular, las organizaciones que realicen transferencias de datos personales fuera de la UE deberán verificar:

Si la Comisión Europea tiene una decisión de adecuación y, si no, proporcionar garantías adicionales a través de acuerdos contractuales.

(1) La Comisión Europea puede emitir decisiones sobre el nivel de protección de datos de un país no perteneciente a la UE (por ejemplo, el Escudo de la privacidad UE-EE. UU.). Estas decisiones se basan en una evaluación exhaustiva de si un tercer país tiene salvaguardias legales de protección de datos adecuadas equivalentes a las de la UE. El resultado de una decisión de adecuación es la eliminación de cualquier obstáculo a la transferencia de datos desde la UE (así como Noruega, Liechtenstein e Islandia) a ese tercer país sin ningún requisito adicional de protección de datos.

(2) La transferencia debe estar sujeta a las salvaguardias apropiadas

Si un tercer país no está cubierto por una decisión de adecuación, las organizaciones de la UE deben considerar una de las siguientes alternativas:

1) Cláusulas contractuales estándar. La Comisión Europea también puede adoptar cláusulas contractuales estándar para facilitar a los responsables del tratamiento de la UE proporcionar protecciones de protección de datos suficientes al transferir datos personales a responsables o encargados del tratamiento fuera de la UE. Hasta la fecha, la Comisión Europea ha publicado dos conjuntos de cláusulas contractuales estándar: transferencias de datos de un responsable del tratamiento de la UE a un responsable del tratamiento fuera de la UE o del EEE y transferencias de un responsable del tratamiento de la UE a un encargado del tratamiento fuera de la UE o del EEE. Las autoridades de protección de datos también pueden adoptar cláusulas modelo. Sin embargo, estas cláusulas deben ser aprobadas por la Comisión. Por último, pero no menos importante, las transferencias transfronterizas también pueden basarse en cláusulas contractuales ad hoc acordadas entre el exportador de datos y el importador de datos, que deben ser aprobadas por la DPA competente.

2) Normas corporativas vinculantes (BCR). Si los datos personales se transfieren de una entidad corporativa a otra (independientemente de la región), la transferencia de datos se realizará de acuerdo con las Normas corporativas vinculantes (BCR). Las Normas corporativas vinculantes son normas legalmente vinculantes aprobadas por una autoridad supervisora competente que rigen las transferencias y el procesamiento de datos personales dentro de un grupo de empresas o un grupo de empresas dedicadas a una actividad económica conjunta y sus empleados, incluidos los ubicados fuera de la UE. territorio. En comparación con las cláusulas contractuales estándar, la ventaja de las BCR es que, una vez que han sido aprobadas por una autoridad de protección de datos, todas las transferencias intragrupo futuras pueden tener lugar independientemente de la región sin ningún requisito adicional.

Salvaguardias adicionales Además de las opciones anteriores, el RGPD introduce dos herramientas de adecuación alternativas para las transferencias de datos: mecanismos de certificación aprobados y códigos de conducta aprobados. Ambos mecanismos permiten las transferencias de datos siempre que el importador de datos asuma compromisos vinculantes y exigibles para aplicar salvaguardias adecuadas para la protección de datos.

(3) Excepciones a la transferencia de datos

En muchas circunstancias, las transferencias de datos personales pueden tener lugar sin ninguno de los mecanismos de transferencia mencionados anteriormente. Estas circunstancias son limitadas e incluyen las siguientes:

  1. El interesado ha dado su consentimiento explícito;

  2. La transferencia es necesaria para la celebración o ejecución de un contrato;

  3. Existen razones importantes de interés público;

  4. Es necesario para el establecimiento, ejercicio o defensa de reclamaciones legales;

  5. Es necesario para los intereses vitales del interesado o de otra persona;

  6. Se refiere a datos registrados públicamente;

Además, el RGPD introduce una nueva restricción, a saber, la atenuación, para las transferencias no repetitivas que involucran a un número limitado de interesados. En ausencia de otra base legal, se permite una transferencia cuando es necesaria para los intereses legítimos de un exportador de datos imperativo que no se invalidan por los intereses legítimos del interesado y el exportador proporciona las salvaguardias adecuadas para los datos que se transfieren. En este caso, el exportador debe informar a la autoridad de protección de datos pertinente y al interesado sobre la transferencia.

Contáctanos
Consulta de WhatsApp
Solicitar una demostración
Productos
Asistente de IA
Funciones principales
Industrias
Casos de clientes
Comparativas
Recursos
Enlace:eSign宝 |Alibaba Cloud |AWS |Huawei Cloud
Política de privacidad |Términos de servicio |Acuerdo de nivel de servicio
Copyright © 2025 eSignGlobal. All Rights Reserved.