Seleccione su región: Singapur y Asia Pacífico Europa América Latina
RESGUARD
solutions

Cumplimiento del RGPD en Chipre: Guía Práctica para Empresas

La Ley 125(I)/2018, el Comisario para la Protección de Datos Personales y lo que su empresa debe hacer

Compliance Security Platform APAC
Inicio / Blog / Protección de Datos
14 de abril de 2026 Protección de Datos 9 min de lectura

Chipre adoptó el Reglamento General de Protección de Datos (RGPD) junto con el resto de la Unión Europea cuando se hizo directamente aplicable en mayo de 2018. Para complementar el reglamento con disposiciones nacionales, Chipre promulgó la Ley 125(I)/2018 sobre la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales. Las empresas que operan en Chipre —incluyendo los amplios sectores de servicios financieros, transporte marítimo, turismo y tecnología— deben cumplir tanto el RGPD como esta ley de aplicación nacional.

El Comisario para la Protección de Datos Personales

La autoridad supervisora en Chipre es el Comisario para la Protección de Datos Personales (Επίτροπος Προστασίας Δεδομένων Προσωπικού Χαρακτήρα), una autoridad independiente establecida en virtud de la Ley 125(I)/2018. La oficina del Comisario es responsable de supervisar y aplicar el cumplimiento, tramitar las reclamaciones de los interesados, llevar a cabo investigaciones y emitir orientaciones a las organizaciones.

El Comisario tiene la potestad de imponer multas administrativas alineadas con el régimen de sanciones del RGPD: hasta 10 millones de euros o el 2 % del volumen de negocio anual mundial para infracciones de nivel inferior, y hasta 20 millones de euros o el 4 % para violaciones más graves. Las organizaciones que reciban una consulta o auditoría del Comisario deben tratarlo como un riesgo significativo de cumplimiento y contratar asesoría jurídica de inmediato.

Lo que la Ley 125(I)/2018 añade al RGPD

Si bien el RGPD se aplica directamente en todos los Estados miembros de la UE, la Ley 125(I)/2018 ejerce las derogaciones nacionales permitidas por el reglamento en varios ámbitos importantes:

  • Edad de consentimiento: Chipre establece la edad de consentimiento digital en 14 años para los servicios de la sociedad de la información, por lo que se requiere el consentimiento parental para tratar los datos personales de menores de 14 años
  • Datos de empleados: La ley proporciona una base jurídica para que los empleadores traten los datos de los empleados cuando sea necesario para el contrato laboral, las obligaciones de derecho laboral y los requisitos de salud laboral
  • Categorías especiales de datos: La ley especifica las condiciones en las que se pueden tratar datos sensibles (salud, genéticos, biométricos, opiniones políticas, creencias religiosas) en el contexto chipriota
  • Libertad de expresión: Disposiciones específicas equilibran los derechos de protección de datos con la libertad de expresión y el periodismo
  • Interés público: Se aclaran las condiciones para el tratamiento en el interés público, la investigación y los contextos de archivo

Obligaciones clave del RGPD para las empresas en Chipre

Las empresas chipriotas deben cumplir todas las obligaciones estándar del RGPD. Las siguientes áreas son las que con mayor frecuencia se identifican como lagunas en las evaluaciones:

Registro de actividades de tratamiento

Toda organización con 250 o más empleados —y las que traten datos que probablemente supongan un riesgo para los interesados, traten categorías especiales de datos o datos de condenas penales— deben llevar un Registro de Actividades de Tratamiento (RAT). En la práctica, incluso las organizaciones más pequeñas de Chipre deberían mantener un RAT como medida básica de cumplimiento y para facilitar las respuestas a las consultas regulatorias.

Acuerdos con encargados del tratamiento

Cualquier organización que encomiende a un tercero el tratamiento de datos personales en su nombre debe tener un Acuerdo de Encargo de Tratamiento (AET) por escrito. Esto es especialmente relevante para las empresas chipriotas que utilizan servicios en la nube, proveedores de nóminas, plataformas de marketing y socios de externalización de TI. Muchas pymes de Chipre carecen de AET con sus proveedores tecnológicos —esto se identifica con frecuencia en las investigaciones del Comisario.

Derechos de los interesados

Las organizaciones deben contar con procedimientos documentados para responder a las solicitudes de los interesados —incluidas las de acceso, rectificación, supresión, limitación y portabilidad— dentro del plazo requerido de un mes. El incumplimiento del plazo es una fuente común de reclamaciones ante el Comisario.

Notificación de brechas de datos

Las violaciones de datos personales que probablemente supongan un riesgo para las personas deben notificarse al Comisario en un plazo de 72 horas desde que se tenga conocimiento de ellas. Las violaciones que supongan un alto riesgo para las personas también deben comunicarse directamente a los afectados. Las empresas chipriotas deben contar con un procedimiento documentado de detección y notificación de brechas antes de que se produzca un incidente.

Sectores con mayor riesgo en Chipre

Determinados sectores en Chipre se enfrentan a un mayor riesgo de protección de datos debido al volumen y la sensibilidad de los datos que manejan:

  • Servicios financieros y empresas de inversión: Las entidades reguladas por CySEC tratan importantes volúmenes de datos financieros y de identidad de los clientes. Las obligaciones del RGPD se superponen a los requisitos de documentación de MiFID II y AML
  • Proveedores de atención sanitaria: Los datos de salud son una categoría especial que requiere consentimiento explícito u otra condición habilitante. Las clínicas privadas y los hospitales de Chipre deben implementar protecciones correspondientememente robustas
  • Turismo y hostelería: Los hoteles, agencias de viajes y aerolíneas recopilan amplios datos personales. Las transferencias transfronterizas de datos y los datos de programas de fidelización plantean consideraciones específicas de cumplimiento
  • Servicios jurídicos y profesionales: Los abogados, contables y auditores de Chipre manejan datos sensibles de clientes y deben evaluar cuidadosamente sus actividades de tratamiento
  • Startups de tecnología y fintech: Chipre cuenta con un sector tecnológico en crecimiento en Limassol y Nicosia. Las empresas orientadas a productos deben integrar la privacidad desde el diseño desde el inicio

Transferencias transfronterizas de datos desde Chipre

Las empresas chipriotas frecuentemente transfieren datos personales a países no pertenecientes a la UE, especialmente en el contexto de servicios financieros, operaciones marítimas y externalización tecnológica. Tales transferencias solo están permitidas cuando se garantiza un nivel adecuado de protección, ya sea mediante una decisión de adecuación de la UE, Cláusulas Contractuales Estándar (CCE), Normas Corporativas Vinculantes u otro mecanismo aprobado. Las organizaciones deben mapear todos los flujos transfronterizos de datos y confirmar que existe un mecanismo de transferencia apropiado para cada uno.

Pasos prácticos para las empresas en Chipre

  1. Realizar un ejercicio de mapeo de datos: Identificar cada categoría de datos personales tratados, el fin, la base jurídica, el plazo de conservación y cualquier intercambio con terceros
  2. Revisar y actualizar los avisos de privacidad: Los avisos deben ser concisos, transparentes y redactados en un lenguaje claro accesible para los interesados
  3. Auditar los acuerdos con proveedores: Asegurarse de que existen AET con todos los encargados del tratamiento, incluidas las plataformas en la nube y los proveedores de SaaS
  4. Implementar un procedimiento para solicitudes de interesados: Asignar responsabilidades, establecer un sistema de seguimiento y garantizar que las respuestas se emitan dentro del plazo de un mes
  5. Establecer un plan de respuesta a brechas: Definir roles, vías de escalada y el flujo de notificación de 72 horas
  6. Capacitar al personal: Todos los empleados que manejen datos personales deben recibir regularmente formación en protección de datos
  7. Evaluar el requisito de DPO: Determinar si sus actividades de tratamiento requieren un Delegado de Protección de Datos y considerar los servicios de DPO externalizado si no es factible un nombramiento a tiempo completo

Conclusión

El cumplimiento del RGPD en Chipre requiere que las organizaciones aborden tanto el reglamento en sí mismo como las disposiciones nacionales de la Ley 125(I)/2018. El Comisario para la Protección de Datos Personales ha demostrado voluntad de investigar reclamaciones e iniciar procedimientos contra organizaciones incumplidoras. Un programa de cumplimiento estructurado —respaldado por una documentación adecuada, personal capacitado y la tecnología adecuada— es la forma más eficaz de gestionar este riesgo y generar una confianza duradera con clientes y socios.

Chipre RGPD Protección de Datos Ley 125(I)/2018 Comisario

Seguir Leyendo

Artículos Relacionados

Cumplimiento NIS2 en Chipre

Lo que las empresas chipriotas necesitan saber sobre las obligaciones de la Directiva NIS2.

ISO 27001 para empresas chipriotas

Una hoja de ruta para obtener la certificación ISO 27001 en el mercado chipriota.

Guía Completa del RGPD

Una visión general completa de los principios, derechos y pasos de cumplimiento del RGPD.

Manténgase Informado

Explore Nuestras Soluciones de Cumplimiento

Explore todos nuestros recursos de cibercumplimiento o descubra cómo nuestra plataforma y servicios expertos pueden ayudar a su organización a alcanzar y mantener el cumplimiento.

Todos los Artículos Contactar
Formulario de contacto