Unova
Cargando...
Logo Orange

GDPR: qué es, por qué existe y quién es responsable

Entienda el Reglamento General de Protección de Datos de la Unión Europea (GDPR/RGPD), sus principios, bases legales, los roles de Responsable (Controller), Encargado del tratamiento (Processor/Operador), DPO y las Autoridades de Supervisión, los derechos de los titulares y las obligaciones para las empresas.

  • Actualizado: 28 de agosto de 2025
  • Lectura: ~8 min
GDPR

Contenido

  1. Qué es el GDPR (RGPD)
  2. Por qué existe el GDPR
  3. Ámbito y territorialidad (UE/EEE y UK GDPR)
  4. Principios del GDPR
  5. Bases legales (Art. 6)
  6. Datos especiales y penales (Arts. 9 y 10)
  7. Quién es responsable: roles y deberes
  8. Derechos de los titulares
  9. Obligaciones para las empresas
  10. Transferencias internacionales
  11. Incidentes y notificaciones (72 h)
  12. GDPR desde la perspectiva de la empresa
  13. GDPR desde la perspectiva del titular
  14. Cómo Unova ayuda
  15. Enlaces útiles

Aviso: este contenido es informativo y no sustituye el asesoramiento jurídico profesional.

1) Qué es el GDPR (RGPD)

El General Data Protection Regulation (GDPR), conocido en español como Reglamento General de Protección de Datos (RGPD), es la norma de la Unión Europea que establece las reglas para el tratamiento de datos personales de personas localizadas en el Espacio Económico Europeo (EEE). El Reino Unido tiene una versión propia, el UK GDPR, con bases semejantes.

El GDPR promueve la transparencia, el control por parte del titular y la responsabilización del ecosistema (accountability), alineando la privacidad con la innovación de forma responsable.

2) Por qué existe el GDPR

  • Armonizar las normas de protección de datos en la UE/EEE;
  • Proteger los derechos fundamentales y las libertades;
  • Dar control a los titulares (acceso, rectificación, portabilidad, oposición, etc.);
  • Fomentar la confianza y el mercado único digital;
  • Reducir riesgos de uso indebido y fugas de datos.

3) Ámbito y territorialidad (UE/EEE y UK GDPR)

El GDPR se aplica a organizaciones establecidas en la UE/EEE y también a organizaciones fuera de la UE/EEE que ofrecen bienes o servicios a personas en el EEE o que monitorizan el comportamiento dentro del EEE. Para el Reino Unido se aplica el UK GDPR, con similitudes y ajustes locales.

4) Principios del GDPR

  • Licitud, lealtad y transparencia;
  • Limitación de la finalidad;
  • Minimización de datos;
  • Exactitud (corrección/actualización);
  • Limitación del plazo de conservación (retención mínima necesaria);
  • Integridad y confidencialidad (seguridad);
  • Responsabilización (accountability).

5) Bases legales (Art. 6)

  • Consentimiento (libre, específico, informado e inequívoco);
  • Ejecución de un contrato o diligencias precontractuales;
  • Obligación legal;
  • Intereses vitales del titular o de otra persona;
  • Interés público / ejercicio de poderes públicos;
  • Intereses legítimos del responsable (con ponderación y salvaguardas).

6) Datos especiales y penales (Arts. 9 y 10)

El GDPR prevé categorías especiales (p. ej., salud, biometría, origen racial o étnico, creencias) y datos relativos a condenas e infracciones penales. En general, el tratamiento exige condiciones adicionales (p. ej., consentimiento explícito, obligación legal, medicina preventiva, interés público esencial).

7) Quién es responsable: roles y deberes

  • Titular (Data Subject): persona a la que se refieren los datos.
  • Responsable (Controller): decide las finalidades y los medios del tratamiento.
  • Encargado del tratamiento (Processor/Operador): trata datos en nombre del responsable, bajo contrato (Art. 28).
  • DPO (Data Protection Officer): asesora, supervisa el cumplimiento y es punto de contacto con autoridades y titulares (obligatorio en ciertos escenarios).
  • Autoridades de Supervisión (p. ej., CNPD/PT, AEPD/ES, ICO/UK): supervisan, orientan y sancionan.

8) Derechos de los titulares

  • Acceso e información;
  • Rectificación;
  • Supresión (“derecho al olvido”, con excepciones);
  • Limitación del tratamiento;
  • Portabilidad de los datos;
  • Oposición al tratamiento (incluido marketing directo);
  • Decisiones automatizadas y elaboración de perfiles (derecho a intervención humana cuando proceda).

Las organizaciones deben responder en un plazo adecuado (como regla general, hasta 1 mes, prorrogable en casos complejos) y verificar la identidad del solicitante.

9) Obligaciones para las empresas

  • Registro de las actividades de tratamiento (RoPA – Art. 30);
  • Evaluaciones de impacto (DPIA) cuando exista alto riesgo (Art. 35);
  • Contratos con encargados (DPAs – Art. 28);
  • Seguridad adecuada al riesgo (Art. 32);
  • Privacidad desde el diseño y por defecto (privacy by design & by default – Art. 25);
  • Gobernanza y accountability (políticas, formaciones, auditorías, registros);
  • Transparencia (avisos de privacidad claros – Arts. 13/14);
  • Gestión del consentimiento (cuando proceda) y de las preferencias – atención al ePrivacy/cookies;
  • Documentar bases legales y finalidades con minimización y plazos de conservación adecuados;
  • Sanciones: multas de hasta 20 M€ o el 4% del volumen de negocio global, lo que sea mayor (según el caso).

10) Transferencias internacionales

Transferir datos fuera del EEE/Reino Unido exige mecanismos adecuados: decisiones de adecuación, Cláusulas Contractuales Tipo (SCCs) de la UE, anexos como el IDTA (UK), binding corporate rules (BCR) u otras salvaguardas, además de evaluaciones de riesgo.

11) Incidentes y notificaciones (72 h)

Las violaciones de datos personales que supongan riesgo para los derechos y libertades deben notificarse a la autoridad competente en un plazo máximo de 72 horas tras su detección (Art. 33). Los titulares afectados también pueden tener que ser informados (Art. 34).

12) GDPR desde la perspectiva de la empresa

El cumplimiento continuo exige un inventario de datos, contratos sólidos, controles de seguridad y procesos operativos.

RoPA & Data Mapping

Mapee sistemas, finalidades, bases legales y comparticiones (Art. 30).

DPAs & cláusulas

Ajuste los contratos con encargados (Art. 28) y las salvaguardas para transferencias.

DPIA & riesgos

Evalúe los tratamientos de alto riesgo, con medidas de mitigación y registros.

Consentimiento & ePrivacy

Gestione cookies y marketing con consentimiento granular y prueba.

Seguridad & logs

TLS, 2FA, RBAC, copias de seguridad, auditoría y gestión de incidentes (72 h).

Formación & cultura

Capacite a los equipos y revise periódicamente políticas y procesos.

13) GDPR desde la perspectiva del titular de datos

Usted puede ejercer derechos como acceso, rectificación, supresión, portabilidad, oposición y limitación. Las decisiones automatizadas deben ser explicadas y, en ciertos casos, revisadas por personas.

Cómo solicitar sus datos

  • Utilice el formulario indicando el derecho que desea ejercer.
  • Tenga a mano una prueba de identidad por motivos de seguridad.
  • Espere la respuesta dentro del plazo legal (en general, hasta 1 mes).

Consejos de privacidad

  • Gestione los cookies y el marketing.
  • Active la 2FA y utilice contraseñas robustas.
  • Solicite explicaciones sobre decisiones automatizadas cuando le afecten de forma significativa.

14) Cómo Unova ayuda

Flujos de DSAR

Reciba, verifique la identidad y responda solicitudes con trazabilidad y plazos definidos.

Gestión del consentimiento

Captura granular, registro de pruebas y preferencias (incluidos cookies/ePrivacy).

Inventario (RoPA)

Mapa de sistemas, finalidades, bases legales y comparticiones, con informes exportables.

Seguridad & informes

RBAC, 2FA, registros, indicadores ejecutivos y alertas de retención/minimización.

  • Compartir:

Asume el control de tus datos personales.

Gestiona consentimientos y preferencias con transparencia, en conformidad con LGPD/GDPR.

Empieza gratis ahora

Usamos cookies para mejorar tu experiencia

Algunos son esenciales y otros nos ayudan a entender cómo usas el sitio.
Puedes aceptar todos, rechazar los no esenciales o personalizar.
Lee nuestra Política de privacidad.