GDPR: EL NUEVO REGLAMENTO DE PROTECCIÓN DE DATOS
¿Qué es el GDPR?
El Reglamento General de Protección de Datos de la UE (GDPR) es el resultado de cuatro años de trabajo por parte de la UE para alinear la legislación de protección de datos con las formas nuevas e imprevistas de utilizar los datos.
Actualmente, España se basa en la Ley de Protección de Datos de 1998, promulgada después de la Directiva de Protección de Datos de la UE de 1995, pero esta será reemplazada por la nueva legislación. Introduce multas más duras por incumplimiento e infracciones, y le da a la gente más poder de decisión sobre lo que las empresas pueden hacer con sus datos. También hace que las normas de protección de datos sean más o menos idénticas en toda la UE.
¿Por qué se redactó el GDPR?
En primer lugar, la UE quiere otorgar a las personas más control sobre cómo se utilizan sus datos personales, teniendo en cuenta que muchas empresas como Facebook y Google intercambian el acceso a los datos de las personas para utilizar sus servicios. La legislación actual se promulgó antes de que Internet y la tecnología en la nube crearan nuevas formas de explotar datos, y el GDPR busca abordar eso. Al reforzar la legislación de protección de datos y al introducir medidas de aplicación más estrictas, la UE espera mejorar la confianza en la emergente economía digital.
En segundo lugar, la UE quiere proporcionar a las empresas un entorno legal más simple y claro en el que operar, haciendo que la ley de protección de datos sea idéntica en todo el mercado único (la UE estima que esto ahorrará a las empresas 2.300 millones de euros anuales).
[pmc_quote border_color=»#ddd»]
Las empresas podrían ser multadas en gran medida por las normas GDPR si no proporcionan la seguridad informática adecuada para proteger sus datos personales.
[/pmc_quote]
¿Cuándo se aplicará el GDPR?
El GDPR se aplicará en todos los estados miembros de la UE a partir del 25 de mayo de 2018. Como el GDPR es un reglamento, no una directiva, España no necesita redactar una nueva legislación, sino que se aplicará automáticamente. Si bien entró en vigor el 24 de mayo de 2016, después de que todas las partes de la UE aceptaran el texto final, las empresas y las organizaciones tienen hasta el 25 de mayo de 2018 hasta que la ley se aplique realmente a ellas.
Si bien la abrumadora mayoría de los profesionales de seguridad de TI conocen el GDPR, poco menos de la mitad de ellos se está preparando para su llegada, de acuerdo con una encuesta instantánea realizada por 170 expertos en seguridad cibernética.
Solo el 43% está evaluando el impacto de GDPR en su compañía y cambiando sus prácticas para mantenerse al día con la legislación de protección de datos. A pesar de esto, casi un tercio dijo que no se estaba preparando para la nueva legislación, y el 28% dijo que ignoraban cualquier preparación que su compañía pudiera estar haciendo.
Entonces, ¿a quién se aplica la GDPR?
Los «controladores» y los «procesadores» de datos deben cumplir con el GDPR. Un controlador de datos indica cómo y por qué se procesan los datos personales, mientras que un procesador es la parte que procesa los datos. Entonces, el controlador podría ser cualquier organización, desde una empresa con fines de lucro hasta una organización benéfica o un gobierno. Un procesador podría ser una empresa de TI que realice el procesamiento de datos real.
Incluso si los controladores y procesadores tienen su sede fuera de la UE, el GDPR seguirá aplicándose a ellos siempre que traten con datos pertenecientes a residentes de la UE.
Es responsabilidad del controlador garantizar que su procesador cumpla con la ley de protección de datos y los procesadores deben cumplir con las reglas para mantener registros de sus actividades de procesamiento. Si los procesadores están involucrados en una violación de datos, son mucho más responsables bajo GDPR de lo que estaban bajo la Ley de Protección de Datos.
¿Cuándo puedo procesar datos bajo el GDPR?
Una vez que la legislación entre en vigencia, los controladores deben garantizar que los datos personales se procesen de manera legal, transparente y para un propósito específico. Una vez que se cumple ese propósito y los datos ya no son necesarios, deben eliminarse.
¿Qué quieres decir con «legal»?
‘Legalmente’ tiene una gama de significados alternativos, no todos los cuales deben aplicarse. En primer lugar, podría ser legal si el sujeto ha dado su consentimiento para que se procesen sus datos. Alternativamente, legal puede significar cumplir con un contrato u obligación legal; para proteger un interés que es «esencial para la vida» del sujeto; si el procesamiento de los datos es de interés público; o si hacerlo está en interés legítimo del controlador, como evitar el fraude. Al menos una de estas justificaciones debe aplicarse para procesar datos.
¿Cómo obtengo mi consentimiento bajo el GDPR?
El consentimiento debe ser una acción activa y afirmativa por parte del interesado, en lugar de la aceptación pasiva bajo algunos modelos actuales que permiten el uso de recuadros o exclusiones previamente marcadas.
Los controladores deben mantener un registro de cómo y cuándo una persona dio su consentimiento, y esa persona puede retirar su consentimiento cuando lo desee. Si tu modelo actual para obtener el consentimiento no cumple con estas nuevas reglas, tendrá que llevarlo a cero o dejar de recopilar datos bajo ese modelo cuando el GDPR se aplique en 2018.
Ejemplo de Fiat Chrysler Automobiles Spain S.A l Fuente: vasavender.com
¿Qué cuenta como datos personales bajo el GDPR?
La UE ha ampliado sustancialmente la definición de datos personales en virtud del GDPR. Para reflejar los tipos de datos que las organizaciones ahora recopilan sobre las personas, los identificadores online, como las direcciones IP ahora califican como datos personales. Otros datos, como información económica, cultural o de salud mental, también se consideran información de identificación personal.
Los datos personales pseudonimizados también pueden estar sujetos a las reglas de GDPR, dependiendo de qué tan fácil o difícil es identificar de quién es la información.
Todo lo que contaba como datos personales en virtud de la Ley de Protección de Datos también califica como datos personales bajo el GDPR.
¿Cuándo pueden las personas acceder a los datos que almacenamos en ellos?
Las personas pueden solicitar acceso a «intervalos razonables», y los controladores generalmente deben responder dentro del plazo de un mes. El GDPR requiere que los controladores y procesadores sean transparentes sobre cómo recopilan datos, qué hacen con ellos y cómo lo procesan, y deben ser claros (utilizando un lenguaje sencillo) para explicar estas cosas a las personas.
Las personas tienen derecho a acceder a cualquier información que una compañía posea sobre ellas, y el derecho a saber por qué se procesan esos datos, por cuánto tiempo están almacenados y quién puede verlos. Donde sea posible, los controladores de datos deben proporcionar acceso seguro y directo para que las personas revisen la información que almacena el controlador sobre ellos.
También pueden solicitar que esos datos, si son incorrectos o incompletos, se corrijan cuando lo deseen.
¿Cuál es el «derecho a ser olvidado»?
Las personas también tienen derecho a exigir que se eliminen sus datos si ya no son necesarios para el propósito para el que se recopilaron. Esto se conoce como el «derecho a ser olvidado». Según esta regla, también pueden exigir que sus datos se borren si han retirado su consentimiento para que se recopilen sus datos, u objetar la forma en que se procesan.
El controlador es responsable de decirle a otras organizaciones (por ejemplo, Google) que eliminen cualquier enlace a copias de esos datos, así como a las copias mismas.
¿Qué pasa si quieren mover tus datos a otra parte?
Los controladores ahora deben almacenar la información de las personas en formatos comúnmente utilizados (como archivos CSV), de modo que puedan mover los datos de una persona a otra organización (sin cargo) si la persona lo solicita. Los controladores deben hacer esto dentro del plazo de un mes.
¿Qué pasa si sufrimos una violación de datos?
Es tu responsabilidad informar a la autoridad de protección de datos de cualquier violación de datos que arriesgue los derechos y libertades de las personas dentro de las 72 horas de que tu organización se entere.
[pmc_quote border_color=»#ddd»]
El coste total promedio de una violación de datos es de aproximadamente 3.62 millones.
[/pmc_quote]
Pero incluso antes de llamar a la autoridad de protección de datos, debes informar a las personas afectadas por la violación de datos. Aquellos que no cumplan con el plazo de 72 horas podrían enfrentar una multa de hasta el 2% de sus ingresos anuales en todo el mundo, o 10 millones de euros, el que sea mayor.
Si no sigue los principios básicos para procesar los datos, como tener una base legal para hacerlo, ignorar los derechos de los individuos sobre sus datos o transferir datos a otro país, las multas son incluso peores. La autoridad de protección de datos podría emitir una multa de hasta 20 millones de euros o el 4% de tu facturación anual global, la que sea mayor.
Sin embargo, es importante tener en cuenta que aunque las multas máximas que se pueden emitir serán mucho más altas en virtud de GDPR, la legislación estipula que deben permanecer «proporcionales» a la infracción. Además, si puedes demostrar que trabajas arduamente para garantizar que tu organización cumple con GDPR, es probable que la Agencia Española de Protección de Datos (AEPD) no emita una multa tan alta en caso de incumplimiento como lo haría de otra manera.
¿Necesitamos un oficial de protección de datos?
Cualquier organismo público que lleve a cabo el procesamiento de datos necesita contratar un oficial de protección de datos, al igual que las empresas cuyas actividades centrales implican el procesamiento de datos que requiere que monitoreen regularmente a los individuos «en gran escala», según la legislación GDPR, aunque los organismos públicos están en ventaja, ya que varios pueden compartir el mismo oficial de protección de datos. Las organizaciones deben dar los datos de contacto de esta persona a su autoridad de protección de datos.
El trabajo del oficial de protección de datos es informar y asesorar a la organización sobre el cumplimiento de los requisitos de GDPR y monitorear el cumplimiento. También actuarán como el principal punto de contacto de la autoridad de protección de datos, y se espera que cooperen con la autoridad.
Bien, entonces, ¿cómo hacemos para cumplir los requisitos de GDPR?
[pmc_box background_color=»#DF5148″ border_color=»#E04028″ text_color=»#ffffff» ]El mejor consejo es comenzar a prepararse lo antes posible: el 25 de mayo de 2018 puede sonar muy lejano, pero hay mucho que hacer y bien. Inmediatamente, debes buscar y contratar un oficial de protección de datos si es necesario, y verificar el estado actual de tus reglas y políticas de protección de datos, particularmente el consentimiento. [/pmc_box]
Luego, determina qué procedimientos debes adoptar o actualizar para cumplir. Preséntalos lo más rápido posible para que puedas comenzar a educar a tu fuerza de trabajo sobre ellos.
Si trabajas con proveedores de terceros que cuentan como procesadores, verifica cuáles son sus políticas de protección de datos y si cumplen con ellas; si no lo hacen, podría ser hora de presentar ofertas nuevamente.
También vale la pena buscar tecnología que te ayude a cumplir con los requisitos de eliminación de datos y portabilidad de datos.