Chipre aplica íntegramente el RGPD. Toda sociedad que trate datos personales de ciudadanos UE debe cumplir — sanciones de hasta 20 millones EUR o 4% de la facturación global.
Obligaciones principales
DPO: Obligatorio para tratamiento a gran escala. Para la mayoría de PYMES: no obligatorio pero recomendado. Consentimiento: Explícito, opt-in. Derechos: Acceso, rectificación, supresión, portabilidad. Notificación de brechas: 72 horas. Registro de tratamientos: Documentación completa.
Impacto para los Non-Dom
Si vende online a clientes UE: política de privacidad conforme, consentimiento cookies/marketing, seguridad de datos, respuestas en 30 días.
Preguntas frecuentes
Para la mayoría de PYMES: no. Obligatorio solo para tratamiento a gran escala.
Más información: Constitución.
Ámbito del RGPD en Chipre
El Reglamento General de Protección de Datos (UE 2016/679) se aplica directamente en Chipre como Estado miembro de la UE. Se complementa con la Ley nacional de Tratamiento de Datos Personales (Protección del Individuo) de 2018 (Ley 125(I)/2018), que aborda áreas donde el RGPD permite o requiere legislación nacional. La autoridad supervisora es el Comisionado para la Protección de Datos Personales, con sede en Nicosia.
El RGPD se aplica a su empresa chipriota si procesa datos personales de individuos ubicados en la UE, independientemente de dónde tenga lugar el procesamiento. Esto significa que una empresa chipriota con clientes, empleados o contratistas en cualquier parte de la UE debe cumplir con el RGPD. Los datos personales incluyen cualquier información que pueda identificar directa o indirectamente a un individuo vivo: nombres, direcciones de correo electrónico, números de teléfono, direcciones IP, identificadores de cookies, datos de ubicación, información financiera y datos de salud.
Para la mayoría de las empresas chipriotas, el impacto práctico del RGPD se centra en varias áreas clave: procesamiento de datos de empleados (nómina, registros de RR. HH., datos de rendimiento), gestión de datos de clientes (datos de contacto, registros de transacciones, historial de comunicaciones), actividades de marketing (boletines por correo electrónico, publicidad dirigida, seguimiento de cookies) y compartición de datos con terceros (contables, auditores, proveedores de servicios en la nube).
Requisitos clave de cumplimiento
Base legal para el procesamiento: Debe tener una base legal válida para cada categoría de datos personales que procese. Las seis bases legales bajo el RGPD son: consentimiento, ejecución de contrato, obligación legal, intereses vitales, interés público e intereses legítimos. La mayor parte del procesamiento de datos empresariales se basa en la ejecución de contrato (procesamiento de datos de clientes para entregar servicios) o intereses legítimos (procesamiento de datos de empleados para operaciones comerciales). El consentimiento se requiere principalmente para comunicaciones de marketing y cookies.
Avisos de privacidad: Cada empresa debe proporcionar avisos de privacidad claros y accesibles que expliquen qué datos se recopilan, por qué se procesan, cuánto tiempo se conservan, con quién se comparten y qué derechos tienen los individuos. Necesita avisos de privacidad separados para su sitio web, sus empleados y sus clientes/proveedores. Estos avisos deben estar redactados en lenguaje sencillo — la jerga legal no es suficiente.
Acuerdos de procesamiento de datos: Cuando comparte datos personales con terceros (su contable, proveedor de alojamiento en la nube, plataforma de marketing por correo electrónico, procesador de nómina), debe tener un acuerdo de procesamiento de datos (DPA) por escrito. Este acuerdo debe especificar el alcance del procesamiento, las medidas de seguridad, las obligaciones de notificación de violaciones de datos y el deber del procesador de ayudar con las solicitudes de los interesados. CMC tiene plantillas estándar de DPA disponibles para los clientes.
Registros de actividades de procesamiento: Las empresas con más de 250 empleados deben mantener un registro formal de actividades de procesamiento (ROPA). Sin embargo, las empresas más pequeñas también deben mantener registros si su procesamiento involucra categorías de datos sensibles, monitoreo regular de individuos o procesamiento a gran escala. En la práctica, CMC recomienda que todos los clientes mantengan al menos un ROPA básico como evidencia de cumplimiento.
Sanciones y aplicación en Chipre
Las sanciones del RGPD pueden ser severas: hasta EUR 20 millones o el 4 % de la facturación anual global, lo que sea mayor, para las violaciones más graves. El Comisionado chipriota ha emitido multas que van desde EUR 3.000 por fallos administrativos menores hasta EUR 30.000 por violaciones más significativas. Si bien la aplicación en Chipre ha sido proporcionada en comparación con algunas otras jurisdicciones de la UE, la tendencia es hacia un escrutinio creciente y multas más altas.
Los desencadenantes comunes de la acción coercitiva en Chipre incluyen el incumplimiento de responder a las solicitudes de acceso de los interesados dentro del plazo requerido de 30 días, el envío de correos electrónicos de marketing sin consentimiento válido, mecanismos inadecuados de consentimiento de cookies en sitios web, el incumplimiento de informar las violaciones de datos dentro de las 72 horas y la falta de un Delegado de Protección de Datos cuando se requiere uno.
Más allá de las multas regulatorias, el incumplimiento crea riesgos comerciales significativos. Las violaciones de datos pueden dañar la confianza del cliente y la reputación empresarial. La falta de acuerdos adecuados de procesamiento de datos puede interrumpir las relaciones con socios comerciales de la UE. Las prácticas inadecuadas de protección de datos también pueden conducir a reclamaciones de responsabilidad civil de individuos afectados.
Lista de verificación práctica de cumplimiento
Comience con estos elementos esenciales: publique una política de privacidad conforme al RGPD en su sitio web, implemente un banner de consentimiento de cookies, cree avisos de privacidad para empleados y clientes, revise todos los acuerdos de compartición de datos con terceros y establezca DPA, establezca un plan de respuesta a violaciones de datos con responsabilidades internas claras y capacite a su personal en principios básicos de protección de datos. Estos pasos abordan las brechas de cumplimiento más comunes y reducen significativamente su exposición al riesgo.
RGPD y estructuras empresariales Non-Dom
Los empresarios Non-Dom que operan a través de empresas chipriotas se enfrentan a consideraciones específicas del RGPD que merecen atención. Si su empresa atiende a clientes en múltiples países de la UE, debe cumplir con el RGPD en cada jurisdicción donde se encuentren sus clientes. Sin embargo, la autoridad supervisora de protección de datos de su empresa chipriota — el primer punto de contacto para cualquier procesamiento a nivel de la UE — es el Comisionado chipriota, que puede ser ventajoso dado el enfoque proporcionado de la autoridad para la aplicación.
Las transferencias internacionales de datos son otra consideración clave. Si su empresa chipriota transfiere datos personales a países fuera de la UE/EEE (por ejemplo, a proveedores de servicios en Estados Unidos, India o los EAU), debe implementar salvaguardas apropiadas. Estas incluyen Cláusulas Contractuales Estándar (SCC), reglas corporativas vinculantes o dependencia de una decisión de adecuación. El Marco de Privacidad de Datos UE-EE.UU. proporciona un mecanismo para transferencias a empresas estadounidenses certificadas, pero las transferencias a otros países no comunitarios requieren una evaluación individual.
Para empresas de comercio electrónico, creadores de contenido y proveedores de servicios digitales — tipos de negocio Non-Dom comunes — los requisitos prácticos del RGPD incluyen la gestión del consentimiento de cookies en sitios web, mecanismos claros de opt-in para marketing por correo electrónico, minimización de datos en bases de datos de clientes y revisión regular de los períodos de retención de datos. Implementar estas medidas desde el principio es mucho más fácil y económico que adaptar el cumplimiento a una operación establecida.
Preguntas frecuentes
Sí. El RGPD se aplica directamente en Chipre como Estado miembro de la UE. Cualquier empresa que procese datos personales de residentes de la UE debe cumplir, independientemente del tamaño o la facturación de la empresa.
Un DPO se requiere solo si sus actividades principales involucran monitoreo regular y sistemático de individuos a gran escala, o procesamiento de categorías de datos sensibles a gran escala. La mayoría de las pymes no cumplen estos umbrales pero deben mantener políticas de RGPD documentadas.
Las multas máximas bajo el RGPD son EUR 20 millones o el 4 % de la facturación anual global. En la práctica, el Comisionado chipriota ha emitido multas que van de EUR 3.000 a EUR 30.000 por diversas violaciones. Los desencadenantes comunes incluyen el incumplimiento de responder a las solicitudes de los interesados y el consentimiento inadecuado de cookies.