El RGPD es una de las partes donde más gente suspende el ACTIC Medio (C2). No por dificultad conceptual, sino porque hay plazos, artículos y terminología muy específica que hay que conocer con precisión.
1. El plazo de 72 horas para brechas de datos
El art. 33 del RGPD establece que el responsable del tratamiento debe notificar una brecha de seguridad a la autoridad de control (AEPD en España) en un plazo máximo de 72 horas desde que tenga conocimiento. Si se incumple el plazo hay que justificar el retraso.
2. Las 6 bases legales del RGPD
El art. 6 establece que el tratamiento es lícito si se basa en: consentimiento, ejecución de un contrato, obligación legal, interés vital, interés público, o interés legítimo. El consentimiento es una base legal más, no la única.
3. Los derechos ARCO+ y sus plazos
Derechos de Acceso, Rectificación, Supresión, Oposición, Limitación y Portabilidad. Plazo de respuesta: 1 mes, prorrogable a 2 meses adicionales en casos complejos.
4. Categorías especiales de datos
Art. 9: origen racial o étnico, opiniones políticas, creencias religiosas, afiliación sindical, datos genéticos, biométricos, de salud, vida sexual u orientación sexual. Requieren base legal explícita adicional.
5. El Delegado de Protección de Datos (DPD/DPO)
Obligatorio para: autoridades y organismos públicos, organizaciones que realizan tratamientos a gran escala de categorías especiales, y organizaciones que monitorizan sistemáticamente personas a gran escala.
6. La Evaluación de Impacto (DPIA)
Art. 35: obligatoria antes de iniciar tratamientos de alto riesgo. No es una auditoría posterior, sino una evaluación preventiva.
7. Sanciones: dos niveles
Infracciones leves: hasta 10.000.000€ o 2% facturación. Infracciones graves: hasta 20.000.000€ o 4% de la facturación mundial anual (el que sea mayor).
8. Privacy by Design y Privacy by Default
Art. 25: las medidas de protección deben incorporarse desde el diseño del sistema. Por defecto, solo deben tratarse los datos mínimos necesarios.
9. El Registro de Actividades de Tratamiento (RAT)
Art. 30: obligatorio para organizaciones de más de 250 trabajadores. Documenta todos los tratamientos: responsable, finalidad, base legal, categorías de datos, destinatarios y plazos.
10. Consentimiento válido: 4 requisitos
Debe ser libre, específico, informado e inequívoco. Una casilla pre-marcada NO es consentimiento válido. El silencio tampoco.
11. Derecho al olvido
Art. 17: derecho a solicitar la eliminación de datos cuando ya no son necesarios, se retira el consentimiento, o los datos se han tratado ilícitamente. Aplicación práctica: solicitar a Google la eliminación de resultados de búsqueda.
12. Transferencias internacionales
Transferir datos fuera del EEE requiere: decisión de adecuación, cláusulas contractuales tipo, o normas corporativas vinculantes. Para EE.UU.: Data Privacy Framework (2023).