La privacidad de los datos es importante para los consumidores. El RGPD y otras leyes de privacidad de datos similares, incluida la Ley de Privacidad del Consumidor de California (CCPA, del inglés California Consumer Privacy Act) de Estados Unidos, velan por el cumplimiento de los principios de privacidad de datos para consumidores y ciudadanos. Las empresas que se consideren inconformes con el RGPD están sujetas a multas significativas; el 13 de abril de 2023, la Autoridad de Protección de Datos de Irlanda (DPA) emitió una multa de 1200 millones de euros a Meta Platforms Ireland Limited (Meta IE), por infracciones del RGPD durante la transferencia de datos personales a Estados Unidos en función de las cláusulas contractuales estándar (SCC).

Además de las empresas cubiertas directamente por el RGPD, las siguientes organizaciones de ejemplo también deben cumplir el reglamento:

Empresas estadounidenses con clientes en la UE

El RGPD tiene un alcance extraterritorial. Por lo tanto, aunque su empresa tenga su sede fuera de la UE, si tiene la posibilidad de hacer negocios con ciudadanos de la UE, debe cumplir el RGPD. Estas empresas deben realizar una evaluación del RGPD para determinar qué actividades de tratamiento de datos llevan a cabo. También deberá proporcionar avisos de privacidad que cumplan los requisitos del RGPD. Además, tendrá que realizar una evaluación del impacto en la protección de datos y determinar qué medidas de protección son necesarias. Es probable que esto incluya el cifrado de datos, medidas de autenticación sólidas y protección de datos en el nivel de organización, como la implementación de un enfoque de seguridad Zero Trust. Estas medidas deben extenderse a los proveedores externos.

Empresas pequeñas con menos de 250 empleados

El RGPD no exime a las organizaciones más pequeñas de la normativa. Las empresas unipersonales o con estatus de organización benéfica también tendrán que cumplir las normas del RGPD si tratan y procesan datos personales. Sin embargo, solo se requieren los niveles de documentación sobre el tratamiento de datos que habitualmente exige la ley si se procesan datos de forma habitual, en grandes cantidades o si son datos que pueden afectar a derechos y libertades, o que revelan aspectos relativos a la raza, etnia, datos biométricos, etc. Además de cumplir con los requisitos de privacidad de datos, las empresas pequeñas deben buscar plataformas de seguridad que puedan proporcionar una autenticación y un cifrado sólidos para ayudar a proteger los datos y evitar filtraciones.