/, Otros Artículos, Seguridad/La mejor descripción general del GDPR

La mejor descripción general del GDPR

Introducción: ¿Qué es el GDPR y a quién afecta?

Desde la entrada en vigor del Reglamento General de Protección de Datos (en inglés: General Data Protection Regulation – GDPR) hace unos meses, las empresas que operan en Europa están teniendo muy en cuenta todos sus estatutos, actuaciones y multas para prevenir las posibles repercusiones de su incumplimiento.

El GDPR, el cual entró en vigor el 25 de mayo de 2018, tiene como funciones principales unificar las leyes de privacidad de datos en toda Europa, proteger la información electrónica privada de los ciudadanos de la UE y mejorar su privacidad. Todo ello simplificando el entorno regulatorio dentro de la UE, cambiando la forma en que las organizaciones abordan la privacidad de datos y otorgando más poder a los organismos regulatorios para que actúen en contra de las organizaciones que incumplen las normas.

El GDPR no solo afecta a las empresas y países que pertenecen al Espacio Económico Europeo (en inglés: European Economic Area – EEA), el cual incluye a todos los Estados miembros de la UE, al Reino Unido después del Brexit, a Islandia, Liechtenstein y Noruega. También se aplica a todas las organizaciones (tanto públicas como privadas) que estén situadas fuera de la UE si ofrecen bienes o servicios y/o controlan y procesan datos personales de sujetos que residen actualmente en la UE/EEA.

Terminología decodificada

Sujeto de datos(en inglés: Data Subject) – es la persona o individuo con sede en la UE y/o en otros países europeos afectados.

Controlador de datos(en inglés, Data Controller) – es la organización que recoge datos personales de residentes en el EEA (por ejemplo, un banco, una compañía telefónica, etc).

Procesador de datos(en inglés, Data processor) – es la organización que procesa datos personales en nombre del controlador de datos (por ejemplo, empresa de correo electrónico, proveedor de servicios en la nube, etc).

Responsable de la protección de datos(en inglés: Data Protection Officer, DPO) – El GDPR exige explícitamente a ciertas organizaciones que designen un responsable de la protección de datos (DPO) como por ejemplo; a autoridades públicas, a autoridades que lleven a cabo un seguimiento sistemático a gran escala de las personas o que procesen datos relacionados con delitos penales. Existen otras organizaciones que no están obligadas a nombrar a un DPO. Sin embargo, se espera que posean las habilidades y el personal necesarios para responder a las demandas del GDPR. Se estima que han sido designados 28.000 DPOs en varias organizaciones de toda Europa para garantizar el cumplimiento del GDPR.

Datos personales(en inglés: Personal Data) – ¿Qué es exactamente lo que GDPR considera como datos personales? La definición («Cualquier información relacionada con una persona física y con el sujeto de datos del GDPR que sea identificable») se ha ampliado considerándose que los datos pertenecen a dos grupos: datos personales y datos personales sensibles.

Los datos personalesincluyen información como: nombre del interesado, información biométrica (por ejemplo, una fotografía), datos de localización (por ejemplo, una dirección), número de teléfono, ingresos y otros datos financieros, e identificadores en línea como dirección IP, cookies, aplicaciones, mensajes en redes sociales, etc. Los identificadores en línea pueden dejar huellas que pueden combinarse con otra información y utilizarse para crear los perfiles de los interesados.

Los datos personales sensiblesincluyen (pero no se limitan a) la siguiente información: salud, genética, datos socioeconómicos, perfil cultural (información racial, étnica y religiosa), orientación sexual, etc.

La seudonimización y el cifrado(en inglés: Pseudonymization & Encryption) – son procesos que transforman los datos personales de tal forma que no pueden ser asociados con un individuo específico. El cifrado implica técnicas que hacen que los datos sensibles sean ininteligibles e indescifrables sin una clave de descifrado. GDPR exige que todos los datos personales estén encriptados.

Disposiciones importantes y derechos otorgados a los ciudadanos

El consentimiento exigido a los interesados para el tratamiento de sus datos personales deberá solicitarse de forma explícita, en un lenguaje claro y comprensible. Se concede a la persona el derecho a retirar en cualquier momento el consentimiento dado previamente.

Derecho de acceso

Los interesados tienen derecho a acceder a sus datos personales y a obtener información de los responsables del tratamiento sobre detalles del tratamiento de datos, como por ejemplo:

  • Si sus datos están siendo procesados
  • Cuál es la finalidad del tratamiento
  • Con quién se comparten los datos procesados
  • Cómo se adquirieron originalmente los datos.

Transferencia de datos

Una persona debe poder transferir sus datos personales de un procesador de datos a otro.

Derecho al olvido (Derecho al borrado)

En caso de que no exista una razón legítima para conservar los datos de un ciudadano de la UE, éste puede retirar su consentimiento y exigir que su información privada deje de procesarse y solicitar su supresión permanente.

Diseño de privacidad

Las empresas que procesan datos personales deberán diseñar políticas, aplicar medidas técnicas de protección de datos y considerar los aspectos éticos de su proceso de recogida de datos.

Notificación de infracción

GDPR exige que se tomen medidas para abordar las violaciones de datos y que se notifiquen a las autoridades dentro de las 72 horas posteriores al descubrimiento de la infracción. Los procesadores de datos también están obligados a informar a sus clientes del incumplimiento. Los interesados tienen derecho a saber que sus datos personales han sido pirateados.

¿Cuáles son las sanciones por incumplimiento?

La multa máxima que se impondrá a las organizaciones responsables de las infracciones más graves será del 4% del volumen de negocios global anual o de 20 millones de euros, según cuál sea el importe más alto. Aquí está la lista de algunas de las sanciones a las que se enfrentan las organizaciones:

  • Un aviso por escrito en caso de primer incumplimiento o de incumplimiento involuntario.
  • Auditorías periódicas realizadas por las autoridades competentes.
  • Una multa de 10 millones de euros (o del 2% del volumen de negocios global anual, el que sea mayor) por no tener sus registros en orden o por no notificar al interesado y a las autoridades pertinentes sobre una violación de datos.
  • Una multa de 20 millones de euros (o del 4% del volumen de negocios mundial anual, según cuál sea el importe más elevado) por violar algunos de los principios esenciales del Reglamento, como la recogida de datos privados de los ciudadanos sin su consentimiento explícito.

Las consecuencias de tales sanciones pueden resultar en la pérdida de la confianza de los clientes, la mala reputación y la publicidad negativa. Las sanciones se aplican tanto a los controladores como a los procesadores de datos, lo que significa que los proveedores de servicios en la nube, por ejemplo, no estarán exentos del GDPR.

¿Qué significa esto para las empresas?

Cambios organizativos

Ante todo, fue necesario realizar una transformación profunda en la forma en que las empresas utilizaban, retenían y gestionaban los datos de los ciudadanos. Para esto, debieron establecer un procedimiento, evaluando las políticas y procedimientos actuales y educar a todos sus empleados sobre la importancia y las consecuencias potenciales del GDPR. También fue necesario nombrar a un responsable de la protección de datos, sabiendo que este puesto debía cubrirse si se recopilaban y procesaban datos a gran escala.

Tecnología

Para cumplir con los requisitos del GDPR, las empresas necesitan saber exactamente dónde se almacenan los datos privados. En la mayoría de las empresas, estos datos se encuentran dispersos en servidores y buzones de correo de los empleados. En consecuencia, el primer paso tecnológico hacia el cumplimiento es reexaminar su infraestructura actual, ya que el correo electrónico, las redes sociales y los intercambios de mensajería instantánea son especialmente propensos a las violaciones del GDPR, debido a que se utilizan para compartir información personal y siguen siendo los principales objetivos de los ciberdelincuentes.

La implementación de una solución de archivado o de gestión de datos combinada con una estrategia organizativa bien planificada y ejecutada ayudará a su organización a cumplir con esta exigente normativa. Una solución de archivo de información permitirá a su empresa alojar los datos privados en un único depósito, seguro y a prueba de manipulaciones, que se pondrá bajo el control de personas concretas (el administrador y los responsables de la protección de datos). Las inigualables capacidades de búsqueda y recuperación de información de dichos archivos le permitirán localizar, recuperar y eliminar datos cuando lo solicite, así como evitar que los datos se filtren.

Fuente: Jatheon

Contacta con nosotros

Chief Revenue Officer
Presales Manager
2019-05-06T07:30:07+01:004 febrero, 2019|LOPD – Protección de Datos, Otros Artículos, Seguridad|