¿Qué es el GDPR (ley de protección de datos de Europa)?
El GDPR (General Data Protection Regulation) es la ley de protección de datos de la Unión Europea, en vigor desde 2018 y equivalente a la LGPD brasileña. Regula cómo cualquier empresa recopila, usa y guarda datos personales de personas en Europa, exige una base legal para cada tratamiento, otorga derechos al titular (acceso, corrección, eliminación) y aplica incluso a empresas fuera de Europa que atienden a ese público. Las multas llegan a 20 millones de euros o al 4% de la facturación global anual, lo que sea mayor.
Cómo funciona el GDPR en la práctica
El GDPR no exige instalar sistemas; define principios que valen para cualquier uso de dato personal, desde el registro de un cliente hasta la cookie del sitio. Cuatro deberes se repiten en cualquier operación.
Tener una base legal para cada tratamiento
Consentimiento, ejecución de contrato, obligación legal, interés legítimo: sin uno de estos fundamentos, tratar el dato es ilegal. Recopilarlo “porque podría ser útil” no es una base legal.
Respetar los derechos del titular
Acceso, corrección, eliminación, portabilidad y oposición son solicitudes que la ley otorga al dueño del dato, y la empresa tiene un plazo para atenderlas.
Notificar la filtración en 72 horas
Un incidente con riesgo para las personas debe comunicarse a la autoridad en un plazo de hasta 72 horas, y a los afectados cuando el riesgo es alto. Es uno de los plazos más duros del GDPR.
Probar que cumple (accountability)
No basta con cumplir, hay que demostrarlo: registro de las actividades de tratamiento, evaluación de impacto cuando el riesgo es alto y, en muchos casos, un encargado de datos (DPO).
Fuente: Reglamento (UE) 2016/679 (GDPR) y European Data Protection Board (EDPB).
Los principios que sostienen el GDPR
- Licitud, lealtad y transparencia Tratar el dato con una base legal clara y decirle a la persona, sin letra chica, qué se hace con su información.
- Limitación de la finalidad Recopilar el dato para un objetivo definido y no reutilizarlo luego para algo incompatible.
- Minimización Recopilar solo el dato necesario para ese fin, no todo lo que “tal vez sirva algún día”.
- Exactitud Mantener el dato correcto y actualizado, y corregir lo que esté mal.
- Limitación del almacenamiento Guardar el dato solo mientras sea necesario, y descartarlo después.
- Integridad y confidencialidad Proteger el dato contra el acceso indebido, la pérdida y la destrucción, con seguridad acorde al riesgo.
- Responsabilidad (accountability) Ser capaz de demostrar, con registro, que todos los principios anteriores se cumplen.
Por qué el GDPR cambió el juego de la privacidad
El GDPR se volvió la referencia mundial de protección de datos, y la cuenta de incumplir creció. Desde 2018, las multas acumuladas ya superan los 7,1 mil millones de euros, con cerca de 1,2 mil millones solo en 2025 (DLA Piper, 2026). El tope es duro: 20 millones de euros o el 4% de la facturación global anual, lo que sea mayor. Pero la multa es solo parte de la cuenta. El costo promedio global de una violación de datos fue de US$ 4,44 millones (IBM, 2025), sumando notificación, investigación, daño reputacional y demandas. Y el GDPR no respeta frontera: una empresa de América Latina o de EE. UU. que ofrezca un producto a alguien en Europa entra en el alcance de la ley.
Cómo se prepara una empresa para el GDPR
La adecuación al GDPR no es un proyecto que termina, es una disciplina que se sostiene. El camino más directo:
- Mapee los datos y la base legal de cada usoListe qué dato personal trata la empresa, de dónde viene y por qué. Cada uso necesita un fundamento legal documentado.
- Prepárese para responder a los derechos del titularTenga un proceso para atender solicitudes de acceso, corrección y eliminación dentro del plazo, sin una búsqueda del tesoro en cada pedido.
- Tenga el plan de respuesta a incidentes listo para 72 horasEl plazo corto del GDPR solo es viable con un plan probado de antemano. Improvisar en medio de la filtración revienta las 72 horas.
- Documente para probarlo (accountability)Registro de las actividades de tratamiento, evaluaciones de impacto y, cuando se exija, un encargado de datos. Es lo que convierte “cumplimos” en prueba.
En la práctica
La pregunta que revela el riesgo real: si una persona en Europa pidiera hoy una copia de todos los datos que la empresa tiene sobre ella, ¿alguien lograría reunirlos dentro del plazo, o ni sabría por dónde empezar?
Cómo trata Zamak el cumplimiento del GDPR
Zamak Technologies apoya la adecuación al GDPR y a la LGPD como parte de la Gobernanza y Conformidad del Método Zamak: mapeo de controles, gestión de evidencia y trazabilidad de auditoría sobre una plataforma de cumplimiento. Un buen punto de partida es el Compliance Audit Express, que muestra en minutos dónde está más expuesta la empresa.