FAQ | GDPR Local - GDPR Local

Búsqueda por categoría

GDPR Artículo 27 Representante

¿Qué empresas deben designar a un representante del artículo 27 del RGPD?

Todas las empresas sin oficinas en la UE y/o el Reino Unido tendrán que nombrar a un representante del artículo 27 del RGPD, si tratan datos personales de personas físicas que se encuentran en la UE/Reino Unido.

¿Qué empresas de la UE deben designar a un representante del artículo 27 del RGPD en el Reino Unido?

Las empresas de la UE sin oficinas en el Reino Unido tendrán que nombrar a un representante del RGPD en el Reino Unido si tratan datos personales de personas que se encuentran en el Reino Unido.

¿Qué empresas británicas deben designar a un representante de la UE conforme al artículo 27 del RGPD?

Las empresas británicas sin oficinas en ningún Estado miembro de la UE tendrán que designar a un representante de la UE para el RGPD si tratan datos personales de personas que se encuentran en la UE.

¿Qué tipo de empresas deben designar a un representante del artículo 27 del RGPD?

Estos requisitos legales se aplican a casi todas las empresas, incluidos los servicios financieros, empresariales y jurídicos, el comercio minorista en línea, los productos de marketing y adtech, la tecnología, el transporte y la aviación, los ensayos clínicos, los servicios sanitarios y de diagnóstico, la publicidad basada en cookies, así como los servicios digitales, como las aplicaciones móviles y las comunidades en línea.

¿Cuál es la función de un representante del artículo 27 del RGPD?

El representante de la UE recibe el mandato del responsable o el encargado del tratamiento para que, además del responsable o el encargado, o en lugar de ellos, se dirijan a él, en particular, las autoridades de control y los interesados, en todas las cuestiones relacionadas con el tratamiento [de datos]. El Representante actúa como punto de contacto local para cuestiones de protección de datos y privacidad, y recibe comunicaciones de las autoridades de control de protección de datos en procedimientos oficiales, así como, por ejemplo, solicitudes de los interesados para ejercer sus derechos en virtud del RGPD.

¿Dónde publico los datos de mi representante en virtud del artículo 27 del RGPD?

Los datos de contacto de su representante del artículo 27 deben publicarse en las políticas de privacidad de su empresa. También le recomendamos que añada nuestros datos al pie de página de su sitio web y en cualquier documentación pertinente.

¿Qué documentación debo presentar?

Como representantes suyos en virtud del artículo 27, tenemos que completar nuestra diligencia debida y asegurarnos de que entendemos cómo recopilan, almacenan y procesan los datos. Debemos conservar una copia de la hoja de cálculo del registro de actividades de tratamiento de datos de la empresa, junto con otros documentos clave que nos ayuden a comprender su funcionamiento. A petición de las autoridades supervisoras, el Representante debe cooperar con ellas y revelar la documentación del artículo 30.

¿Puedo ignorar el requisito de representante del artículo 27?

No, no designar a un representante de la UE sería una infracción del artículo 27 del GDPR y conlleva las mismas sanciones potenciales.

Artículos 22 y 54 AI Servicio de Representación

¿Qué empresas deben nombrar a un representante para cuestiones de IA con arreglo al artículo 54? Qué funciones requieren el nombramiento de un representante de AI?

Proveedores de sistemas/modelos de IA de terceros países (fuera de la UE).

¿Qué tipo de sistemas de IA requieren que la empresa nombre a un Representante de IA?

Sistemas de IA de alto riesgo o modelos de IA de uso general.

¿Hay excepciones?

Modelos de IA de propósito general gratuitos y de código abierto, a menos que planteen riesgos sistémicos.

¿Cuándo se convierte en ley la necesidad de un Representante de la IA?

La fecha límite para los modelos de IA de uso general es el 25 de agosto y para los modelos de IA de alto riesgo es el 26 de agosto.

¿Por qué debería nombrar a un Representante antes de esta fecha?

Nombrar a un representante autorizado de IA antes de que venza el plazo obligatorio le proporciona una ventaja estratégica al permitirle organizar su documentación y realizar evaluaciones de riesgos exhaustivas con antelación. Este paso proactivo no sólo garantiza que esté totalmente preparado cuando llegue la fecha límite, sino que también le ayuda a evitar posibles interrupciones. Si actúa con antelación, demostrará su compromiso con una IA responsable y obtendrá una ventaja competitiva a la hora de cumplir los requisitos de la Ley de IA. Además, esta cita temprana nos da tiempo suficiente para revisar su documentación y ofrecerle información oportuna y valiosa para ayudarle a cumplir los requisitos de registro sin problemas.

¿Cuál es el papel de un representante de AI en virtud del artículo 54?

La función de un representante autorizado de IA es servir de punto de contacto en la UE para las autoridades, facilitando la información necesaria sobre la conformidad de los sistemas de IA de alto riesgo procedentes de proveedores de fuera de la Unión. Antes de que estos sistemas puedan estar disponibles en la UE, el representante, nombrado por mandato escrito, actúa como intermediario, asegurándose de que los proveedores de IA cumplen los requisitos reglamentarios y mantienen la igualdad de condiciones para los operadores dentro de la Unión. Considerando 82

¿Cuánto cuesta nombrar a un representante de AI?

Los costes reales dependen de la complejidad del sistema de IA, de la naturaleza de los datos procesados y de la existencia de documentación de cumplimiento o de una evaluación de conformidad. Ofrecemos un servicio gratuito de evaluación de riesgos que nos permite darle un coste exacto de la evaluación inicial, el almacenamiento de documentos y la representación continua. Las evaluaciones son totalmente gratuitas.

¿Dónde puedo publicar los datos de mi Representante AI?

En la actualidad, la Ley de AI de la UE no establece ningún requisito específico para la publicación de los datos de los representantes autorizados de AI, por lo que los datos de contacto de dichos representantes pueden publicarse en las políticas de privacidad de su empresa. También le recomendamos que añada nuestros datos al pie de página de su sitio web y en cualquier documentación pertinente. También recibirá un certificado de representante y un mandato formal para confirmar que hemos sido designados como su Representante.

¿Qué documentación debo presentar?

Como su Representante Autorizado (RA) de IA con arreglo a los artículos 22 y 54, necesitamos conocer a fondo su sistema de IA mediante la revisión de la documentación esencial, incluido un mandato escrito, una prueba de identidad e informes detallados de evaluación técnica y de riesgos. Esta información nos permite evaluar la adecuación de su sistema a la normativa de la UE, identificar posibles riesgos y garantizar la protección jurídica adecuada mediante acuerdos de tratamiento de datos y cobertura de seguros. Con esta documentación, podemos respaldar eficazmente el cumplimiento de los requisitos de la UE por parte de su sistema de IA.

¿Puedo hacer caso omiso de los requisitos del artículo 22 y del representante del artículo 54?

No, en caso de que se requiera un representante, el hecho de no nombrar a un representante autorizado de AI constituiría una infracción de la Ley de AI y conllevaría las mismas posibles sanciones.

¿Cuál es el siguiente paso?

Utilice el formulario de contacto que figura a continuación o envíenos un correo electrónico a: [email protected] y le indicaremos los pasos a seguir y concertaremos su reunión gratuita de evaluación de riesgos.

Servicios de consultoría en IA

¿Qué servicios de IA ofrecen?

Podemos ofrecerle servicios como:

AI compliance Hub (1 hora de consultoría AI al mes)
Evaluación del riesgo de la IA (Evaluar el riesgo de sus sistemas/modelos de IA)
Gobernanza de la IA (aplicación del marco de gobernanza de la IA: estrategia de IA, política de IA, marco de gestión de riesgos...)
Representante de IA (si es un proveedor no comunitario de un sistema de IA de alto riesgo o de un modelo de IA de uso general, podemos representarle en el mercado de la UE)

¿Se aplica a mi sistema la ley sobre IA?

Determinar si la Ley de IA se aplica a su sistema requiere una evaluación. Podemos ayudarle a realizar un análisis exhaustivo para identificar posibles obligaciones normativas. Entre los factores clave se incluyen:

El uso previsto del sistema de IA.
El nivel de riesgo que supone para las personas o la sociedad.
Si el sistema entra dentro de las categorías específicas definidas por la Ley de IA.
Dónde se utilizará el sistema de IA y a quién afecta.

¿Cómo se completa una evaluación de riesgos de la Ley de AI?

Nuestro proceso de evaluación de riesgos de la Ley de AI implica:

Mapeo del sistema: Identificación de los componentes y funcionalidades de su sistema de IA.
Identificación de riesgos: Identificación de los daños potenciales que podría causar el sistema.
Evaluación de riesgos: Evaluación de la probabilidad y gravedad de los riesgos identificados.
Planificación de la mitigación: Desarrollo de estrategias para mitigar los riesgos identificados.
Documentación: Creación de un informe completo de evaluación de riesgos.

Utilizamos diversas metodologías establecidas de evaluación de riesgos, como ISO RMF 100.1, HUDERIA, FRIA, Algorithm AI Assessment y otras.

¿Cuál es el plazo de cumplimiento de la Ley de IA?

El calendario de cumplimiento de la Ley AI es escalonado. Algunas disposiciones entrarán en vigor antes que otras. Podemos proporcionarle un desglose detallado basado en su sistema de IA específico. Las fechas clave a tener en cuenta son:

Febrero de 2025: Se aplican determinadas prohibiciones, definiciones y disposiciones sobre alfabetización en IA.
Agosto de 2025: Comienzan a aplicarse las normas de gobernanza y obligaciones para la IA de uso general.
Agosto de 2026: se aplican las obligaciones para los sistemas de IA de alto riesgo.

¿Puede ayudarnos con las estrategias de gobernanza de la IA?

Sí, podemos ayudarle a desarrollar un sólido marco de gobernanza de la IA adaptado a su organización.
Nuestros servicios incluyen:

Elaboración de políticas: Creación de políticas y directrices globales en materia de IA.
Gestión de riesgos: Aplicación de prácticas eficaces de gestión de riesgos.
Marco ético: Establecimiento de principios éticos para el desarrollo y uso de la IA.
Control del cumplimiento: Garantizar el cumplimiento permanente de la normativa.
Compromiso de las partes interesadas: Crear confianza y transparencia con las partes interesadas.

¿Cuáles son las sanciones por incumplimiento de la ley sobre IA?

La Ley de AI de la UE impone importantes sanciones en caso de incumplimiento. La gravedad de la sanción depende de la naturaleza de la infracción.
Sanciones clave:

Incumplimiento de prohibiciones: Hasta 35 millones de euros o el 7% del volumen de negocios total anual en todo el mundo del ejercicio anterior, si esta cifra es superior.
Incumplimiento de otros requisitos: Hasta 15 millones de euros o el 3% de la facturación total anual mundial del ejercicio anterior.
Suministro de información incorrecta o engañosa: Hasta 7,5 millones de euros o el 1,5% del volumen de negocios total anual a nivel mundial del ejercicio anterior.

Se trata de sanciones máximas, y la multa real dependerá de la gravedad de la infracción.

Los Estados miembros serán responsables de establecer sanciones específicas dentro de estos límites.

Las PYME pueden estar sujetas a sanciones más bajas.

¿Cómo se completa una evaluación de conformidad con la Ley de IA?

La evaluación de la conformidad es un proceso exigido por la Ley de IA de la UE para garantizar que los sistemas de IA de alto riesgo (HRAIS) cumplen los requisitos legales específicos antes de ser comercializados o utilizados en la UE.
Los pasos clave incluyen:

Sistema de gestión de riesgos: Establecimiento y mantenimiento de un sistema para gestionar los riesgos a lo largo del ciclo de vida del sistema de IA.
Documentación técnica: Elaboración y aplicación de documentación técnica detallada para el sistema de IA.
Declaración de conformidad de la UE: Preparación y presentación de esta declaración para confirmar la conformidad.

Existen dos métodos principales para llevar a cabo las evaluaciones de conformidad:

Evaluaciones internas de conformidad: Realizadas por el proveedor, basándose en los sistemas de gestión de la calidad y la documentación técnica establecidos.
Evaluaciones de conformidad por terceros: Exigidas para determinados sistemas de alto riesgo, como los que implican datos biométricos, y realizadas por un organismo notificado, que es una entidad tercera designada.

El incumplimiento puede acarrear multas, restricciones de mercado, retirada de productos y daños a la reputación.

¿Qué es la Ley de IA?

La Ley de Inteligencia Artificial es un marco normativo de la Unión Europea (UE) que pretende establecer reglas y normas para el desarrollo, despliegue y uso de la inteligencia artificial (IA) en la UE. Oficialmente conocida como "Ley de Inteligencia Artificial", pretende garantizar que los sistemas de IA sean seguros, transparentes y respeten los derechos fundamentales.
La Ley adopta un enfoque basado en el riesgo, clasificando los sistemas de IA en diferentes niveles de riesgo:

Riesgo inaceptable: Algunas aplicaciones de IA, como las que manipulan el comportamiento de las personas o explotan vulnerabilidades, están directamente prohibidas.
Alto riesgo: Los sistemas de IA utilizados en infraestructuras críticas, educación, empleo, aplicación de la ley y otras áreas con un impacto significativo en la vida de las personas están sujetos a normativas estrictas, incluidas las evaluaciones de conformidad.
Riesgo limitado: Algunos sistemas de IA, como los chatbots, deben revelar su naturaleza de IA a los usuarios.
Riesgo mínimo o nulo: La mayoría de las aplicaciones de IA entran en esta categoría y se enfrentan a pocas o ninguna normativa.

¿Están certificados sus asesores de la Ley de AI?

TYes - todos nuestros expertos en IA tienen la formación y certificación adecuadas, incluida la AIGP a través de la IAPP.

¿Qué debo hacer ahora para cumplir la Ley de IA?

La Ley de Inteligencia Artificial de la UE afectará de forma significativa a las empresas que operan en el mercado de la UE o se dirigen a él.
Las principales medidas que deberían adoptar las empresas serían:

Comprender sus sistemas de IA
Establecer un marco ético/gobernanza de datos/transparencia y explicabilidad/supervisión humana
Plan de cumplimiento
Acciones basadas en el riesgo del sistema de IA
Seguimiento y adaptación continuos

GDPR y servicios de protección de datos

¿Qué servicios de GDPR y protección de datos ofrecen?

Ofrecemos una amplia gama de servicios, desde simples consultas de cumplimiento, pasando por la gestión de una única reclamación de protección de datos, el apoyo a clientes que responden a una solicitud de diligencia debida, hasta programas completos de aplicación del cumplimiento. Proporcionamos servicios completos de DPO, consultoría, formación, documentación, apoyo de respuesta de emergencia y, por supuesto, apoyo a las empresas que se enfrentan a una investigación del regulador. Tenemos muchos años de experiencia en todos los aspectos de la protección de datos y podemos ayudar con cualquier problema.

¿Se aplica el GDPR a mi sistema?

Si recopila, almacena o procesa datos relativos a una persona que vive en el Reino Unido o en la UE, se le aplicará el RGPD. Hay muy pocas excepciones. Además del GDPR, pueden aplicarse otras normativas locales, a menudo con obligaciones más estrictas que el GDPR. Póngase en contacto con nosotros en cualquier momento para una consulta gratuita.

¿Qué leyes de protección de datos debo cumplir?

Los marcos de protección de datos están siendo adoptados por países de todo el mundo. El panorama de la protección de datos es complejo y cambia con rapidez. Tendrá que cumplir toda la normativa aplicable, que dependerá de la naturaleza de su sistema, de los datos que procese, de la ubicación de los interesados e incluso, potencialmente, de su elección de socios, terceros y proveedores. La respuesta breve es que debe cumplir toda la normativa aplicable. Póngase en contacto con nosotros en cualquier momento.

¿Qué normas / marcos apoya?

Podemos ayudarle con todos los marcos de protección de datos. Nuestro equipo de consultores globales de protección de datos tiene experiencia en todos los marcos con todo tipo de empresas en todo el mundo. Podemos ayudarle con cualquier norma, problema o solicitud.

¿Puede ayudarnos con las estrategias de gobernanza?

Sí, ofrecemos una gama de servicios que van desde la evaluación inicial hasta la gobernanza continua del cumplimiento. Hemos desarrollado una serie de marcos de gobernanza para garantizar que nuestros clientes cumplan sus obligaciones de conformidad ahora y en el futuro.

¿Cuáles son las sanciones por incumplimiento de la legislación sobre protección de datos?

Las sanciones varían en función de la naturaleza de la infracción, la jurisdicción y la autoridad reguladora o supervisora implicada. Las multas están diseñadas para ser punitivas, por lo que siempre es mejor evitarlas; sin embargo, los daños a la reputación y la interrupción de la actividad empresarial suelen ser más significativos y pueden tener repercusiones a más largo plazo.

¿Cómo funciona el servicio GDPR DPO?

Nuestro enfoque de cumplimiento bien trabajado garantiza que abordamos todos los aspectos del GDPR y está diseñado para garantizar que cumple con sus requisitos de diligencia debida de cumplimiento continuo. Nuestro enfoque le permite cumplir plenamente el RGPD y le garantiza que se mantendrá al corriente de todas sus responsabilidades en materia de protección de datos.

¿Cuánto cuesta el servicio RPD?

El servicio de DPO cuesta 150 libras esterlinas por hora, y normalmente recomendamos entre 6 y 8 horas para cubrir eficazmente sus necesidades. Esto le garantiza un apoyo exhaustivo al tiempo que mantiene la flexibilidad en función de sus requisitos específicos.

¿Sus RPD están certificados?

Contamos con 15 DPO certificados en nuestro equipo, todos ellos licenciados en Derecho y especializados en protección de datos. Su experiencia garantiza que la protección de datos de su organización se gestione con el máximo nivel de profesionalidad y conocimientos jurídicos.

¿Cuáles son las responsabilidades de un RPD?

Un Delegado de Protección de Datos (DPO) es responsable de supervisar la estrategia de protección de datos de la organización y garantizar el cumplimiento de los requisitos del GDPR. Supervisa las actividades de tratamiento de datos, ofrece orientación sobre las evaluaciones de impacto de la protección de datos y actúa como principal punto de contacto entre la organización y las autoridades reguladoras. Además, el RPD se encarga de educar al personal sobre las obligaciones en materia de protección de datos y de gestionar cualquier consulta o reclamación relativa a la privacidad de los datos.

¿Qué es un Centro de Cumplimiento?

Compliance Hub le proporciona acceso a un portal dedicado al cumplimiento normativo en el que puede seleccionar a uno de nuestros especialistas en GDPR y protección de datos. Le ayudarán en todo, desde la actualización de la documentación hasta la gestión de problemas complejos de protección de datos, incluidas las violaciones de datos y las investigaciones de las autoridades reguladoras.

¿Disponen de un portal en línea?

Sí, disponemos de un portal en línea moderno y fácil de usar. Está diseñado para agilizar sus procesos de cumplimiento y facilitar el acceso a todos los recursos necesarios. Nuestro portal garantiza una experiencia fluida para gestionar eficazmente sus necesidades de protección de datos.

¿Cuánto cuestan sus servicios?

El coste de nuestros servicios varía en función de si elige un contrato mensual o un proyecto GDPR a medida. Para obtener información detallada sobre precios y encontrar la mejor opción para sus necesidades, póngase en contacto con nosotros directamente. Estaremos encantados de proporcionarle un presupuesto personalizado basado en sus requisitos específicos.

Representante de Suiza

¿Qué es el servicio de Representante suizo del FADP del artículo 14?

Este servicio está diseñado para cumplir con el servicio de Representante Suizo de Protección de Datos, que es una obligación en virtud del artículo 14 de la Ley Federal de Protección de Datos en Suiza (FADP) con efecto a partir del 1 de septiembre de 2023.

¿Quién debe nombrar a un representante suizo del FDAP del artículo 14?

Sólo está obligado a designar un Delegado de Protección de Datos en Suiza si se aplican los siguientes TODOS:

Su organización trata datos personales de personas físicas en Suiza
Su organización no tiene domicilio en Suiza
Su organización es un controlador de datos (y no un procesador de datos)
El tratamiento de datos realizado sobre los datos personales de personas físicas en Suiza está relacionado con la oferta de bienes o servicios o el seguimiento del comportamiento de personas en Suiza
El tratamiento de datos es a gran escala
El tratamiento de datos se lleva a cabo con regularidad
El tratamiento de datos supone un alto riesgo para la personalidad de los interesados

Si sólo proceso una pequeña cantidad de datos, ¿sigo necesitando un representante suizo del artículo 14 del FADP?

Debido a la naturaleza de la función del representante suizo en comparación con la del RGPD, este paquete es pertinente independientemente del número de interesados suizos para los que trate datos personales y de si trata o no para ellos datos personales de categoría especial (por ejemplo, médicos, étnicos, religiosos, de condenas penales, etc.).

¿Qué empresas deben designar un representante suizo del artículo 14 del FADP?

Todas las empresas sin oficinas en Suiza pueden tener que nombrar a un Representante, si tratan datos personales de personas físicas que se encuentran en Suiza.

¿Qué tipo de empresas deben designar un representante suizo del artículo 14 del FADP?

¿Cuál es el papel de un representante suizo del Artículo 14 del FADP?

El responsable del tratamiento o el encargado del tratamiento encarga al Representante que se dirija, además o en lugar del responsable del tratamiento o el encargado del tratamiento, en particular, a la autoridad de control y a los interesados, en todas las cuestiones relacionadas con el tratamiento [de datos]. El Representante actúa como punto de contacto local para cuestiones de protección de datos y privacidad, y recibe comunicaciones de la autoridad de control de protección de datos en procedimientos oficiales, así como, por ejemplo, solicitudes de los interesados para ejercer sus derechos de protección de datos.

¿Dónde publico los datos de mi representante del artículo 14 del FADP?

Los datos de contacto de su Representante deben publicarse en las políticas de privacidad de su empresa. También le recomendamos que añada nuestros datos a pie de página de su sitio web y en cualquier documentación pertinente.

¿Qué documentación debo presentar?

Como su representante, tenemos que completar nuestra diligencia debida y asegurarnos de que entendemos cómo recopilan, almacenan y procesan los datos. Debemos conservar una copia de la hoja de cálculo del registro de actividades de tratamiento de datos de la empresa, junto con otros documentos clave que nos ayuden a comprender su funcionamiento. A petición del regulador, el Representante debe cooperar con ellos y revelar la documentación requerida.

¿Puedo ignorar el requisito del artículo 14 del FADP relativo al representante suizo?

No, la no designación de un SwissRep constituiría una infracción de la normativa y podría acarrear sanciones graves.