El Reglamento General de Protección de Datos (RGPD) es desde 2018 el cimiento de todo tratamiento de datos personales. En 2026 ya no está solo: la Ley neerlandesa de ciberseguridad, NIS2 y el Reglamento IA se enganchan a él. Para la mayoría de empleados, el RGPD sigue siendo la brújula: qué puedo hacer con datos personales, qué no, y qué hago si algo va mal. Explicación útil, sin jerga jurídica.
¿Qué son los datos personales?
Cualquier información que identifique directa o indirectamente a una persona: nombre, correo, teléfono, IP, foto, DNI, a veces combinación de fecha de nacimiento y código postal.
Categorías especiales: salud, origen, opiniones políticas, religión, afiliación sindical, orientación sexual, biometría, genética. Protección reforzada.
En el trabajo: toda lista, correo o base con nombre-y-más como datos personales; salud, ID y biometría como especialmente sensible.
Los seis principios del RGPD
Artículo 5 RGPD. Reflejarlos en el comportamiento:
- Licitud, lealtad y transparencia.
- Limitación de la finalidad.
- Minimización de datos.
- Exactitud.
- Limitación del plazo de conservación.
- Integridad y confidencialidad.
Derechos del interesado
Derecho de acceso: respuesta normalmente en un mes.
Rectificación y supresión ("derecho al olvido").
Limitación y oposición.
Empleados: enviar de inmediato al DPO. No responder por su cuenta.
Fuga de datos: qué es y qué hacer
Fuga: violación de seguridad con pérdida, acceso no autorizado o alteración. Ej.: portátil perdido, correo al destinatario equivocado, sistema hackeado, carpeta de clientes pública por error.
Notificación: 72 horas a la autoridad de control (art. 33). Riesgo alto: también a las personas (art. 34).
En la práctica: avise internamente de inmediato a TI, al DPO, al equipo de seguridad. No juzgue por su cuenta.
RGPD, Reglamento IA y NIS2: interacciones
RGPD y Reglamento IA: IA con datos personales = se aplican ambos.
RGPD y NIS2/Cbw: una fuga suele ser también un incidente ciber a notificar.
RGPD y DORA: para finanzas, ambos; un incidente TIC con datos personales dispara ambas notificaciones.
Cómo anclar esto en un programa de concienciación
RGPD en el programa base. Módulo de 6–8 minutos sobre principios y ruta de notificación, profundización para RR. HH., marketing, atención, sanidad.
Visibilidad práctica: guía rápida "fuga sospechosa", onboarding, informe anual al consejo.
Documentación Cbw: plataforma central con informes de auditoría a demanda.
Descubra cómo 2LRN4 convierte este tema en un programa funcional con formación, simulación de phishing e informes para la dirección.
Ver la página NIS2Artículos relacionados
- Cómo evitar compartir datos por error
- Conectar notificación de brecha y concienciación
- Requisitos de cumplimiento para concienciación
- Principios básicos de seguridad de dispositivos
Fuentes
- RGPD (EUR-Lex, texto oficial)
- Autoridad de protección de datos neerlandesa (AP)
- European Data Protection Board (EDPB)
FAQ
¿Qué son los datos personales?
Cualquier información que identifique a una persona. Categorías especiales (salud, biometría, religión) con protección reforzada.
¿Cuándo hay fuga?
Violación de seguridad con pérdida, acceso no autorizado o alteración de datos personales.
¿En qué plazo notificar?
72 horas a la autoridad si hay riesgo; también a los interesados en riesgo alto.
¿Qué hacer con una solicitud RGPD?
Enviar de inmediato al DPO. No responder por su cuenta.
¿Traductor gratuito online para un documento de cliente?
Preferiblemente no; use un servicio aprobado. Si no, problema de RGPD.
¿Qué es la limitación de finalidad?
No reutilizar para B datos recogidos para A.
¿RGPD y Reglamento IA?
IA con datos personales: ambos. AI Act suma clasificación de riesgo y alfabetización IA desde febrero 2025.
Fuente externa: European Commission - NIS2 Directive