El GDPR es el Reglamento General de Protección de Datos. ¿Por qué es importante? ¿Cuáles son los requisitos para estar en conformidad y los roles en juego?
El GDPR, acrónimo de Reglamento General de Protección de Datos, es una de las leyes de privacidad y protección de datos más estrictas del mundo, sin embargo, pocas organizaciones cumplen completamente con sus estatutos.
El GDPR regula generalmente a los países dentro de la Unión Europea (UE) y del Espacio Económico Europeo, pero su marco ha sido adoptado en muchas leyes importantes de privacidad de datos en todo el mundo.
Las entidades no conformes pueden recibir multas de hasta 20 millones de euros o sanciones de entre el 2 y el 4% de los ingresos globales anuales (según cuál sea mayor). A partir de 2018, la Oficina del Comisionado de Información (ICO) aplica los estándares de GDPR.
Este artículo describe los estándares establecidos por el GDPR y proporciona una lista de verificación para ayudar a las organizaciones a mantenerse conformes.
Qué es el Reglamento General de Protección de datos
El Reglamento General de Protección de Datos (RGPD) es el audaz resultado de la reforma de la protección de datos de la Unión Europea (UE). Los estrictos estándares de privacidad entraron en vigor el 25 de mayo de 2018 para proteger los derechos de las personas. Este marco de ciberseguridad tiene como objetivo proteger los datos personales de todas las personas en la Unión Europea.
El RGPD actualiza el Convenio Europeo de Derechos Humanos de 1950 para que sea relevante en la era digital. El artículo 8 del convenio establece que cada persona tiene derecho a respetar su vida familiar y privada. En la era analógica, los límites entre la vida pública y privada estaban bien definidos y fácilmente identificables. Hoy en día son ambiguos y difusos. Sin un estándar claro y aplicado como el RGPD, los usuarios nunca pueden estar seguros de que sus datos privados, y por lo tanto su vida privada, estén siendo respetados.
¿Qué se entiende por «datos personales» según el GDPR de la UE?
Según el artículo 4 del GDPR, los datos personales se definen como cualquier información relativa a una persona física identificada o identificable. En otras palabras, los datos personales son todos los datos relacionados con la identidad de una persona viva.
Los datos personales no se limitan a imágenes, videos, audio, números y palabras. No solo incluyen asociaciones directas, como información financiera y direcciones, sino también asociaciones indirectas, como evaluaciones de patrones de comportamiento de una persona.
La información errónea sobre las partes interesadas sigue considerándose datos personales porque está vinculada a una identidad. Sin embargo, si la información está asociada a una entidad ficticia, no se considera como datos personales. Por ejemplo, si haces referencia a un personaje ficticio que reside en un lugar ficticio, no se consideran datos personales.
Los datos personales se dividen en dos categorías: los que controlan los datos y los que procesan los datos (responsables vs. encargados).
¿A quién aplica el GDPR?
El GDPR tiene un impacto en cualquier organización que ofrezca bienes y servicios a personas en la UE. Esto incluye entidades que no se encuentran en la UE. Si manejas un negocio en línea, nunca sabes con certeza si las personas con las que haces transacciones están en la UE. Por esta razón, todas las actividades en línea deben cumplir con el GDPR como medida de protección.
Responsables de datos
El GDPR define a un responsable de datos como cualquier individuo, autoridad pública, agencia u otro organismo que determine el propósito y el procesamiento de datos personales. Los responsables deciden cómo se procesan los datos personales.
Por ejemplo, una escuela de música utiliza una pantalla digital para avisar a los padres en la sala de espera cuando cada maestro está listo. La pantalla muestra el nombre de cada niño y el número de la sala de su clase de música.
La escuela de música se clasifica como «responsable de datos» de los datos personales, ya que decide cómo el sistema de notificación debe procesar todos los datos.
Encargado del tratamiento de datos
El GDPR define a cualquier individuo, autoridad pública, agencia u otro organismo que procese datos personales en nombre de un responsable del tratamiento. Dado que los encargados del tratamiento siguen las reglas de procesamiento de datos establecidas por el responsable, no toman decisiones sobre cómo se manejan los datos personales.
Por ejemplo, una empresa de software contrata a un especialista en marketing para una próxima campaña por correo electrónico. Al especialista de marketing se le proporcionan los nombres y direcciones de correo electrónico de todos los clientes potenciales para que se les puedan enviar los llamados correos electrónicos «fríos» personalizados (es un correo electrónico no solicitado que se envía a un destinatario sin previo aviso).
La empresa de software se clasifica como responsable del tratamiento de datos personales porque determina cómo deben ser manejados los datos. El operador de marketing se clasifica como «procesador» porque sigue las instrucciones de procesamiento de datos de la empresa de software.
Ya que manejan datos personales, incluso si los procesos siguen las directivas del titular, aún deben y siempre estar en conformidad con el GDPR.
Para ser conforme, es necesario que te asegures de:
- Conocer todos los datos recopilados por tu empresa;
- Crear un registro GDPR para mapear los procesos de tu actividad/organización;
- Evaluar los requisitos para la recopilación de datos;
- Reportar de inmediato las violaciones de datos;
- Ser transparente sobre el motivo de la recopilación de datos;
- Verificar la edad de todos los usuarios que consienten a las actividades de tratamiento de datos;
- Incluir un doble consentimiento explícito para todas las nuevas suscripciones a la lista de correo electrónico;
- Mantener actualizada tu política de privacidad;
- Evaluar regularmente todos los riesgos de terceros.
Hablaremos más en detalle sobre todo esto pronto.
En Nominalia disponemos de una solución automatizada y segura de GDPR con la que ayuda a empresas y pequeños usuarios a cumplir con el GDPR y otras regulaciones vigentes sobre protección de datos en línea. Se trata de una solución proporcionada por iubenda, la mejor actualmente en el mercado elegida por más de 90,000 clientes en más de 100 países.
Es una herramienta fácil y rápida que ayuda al sitio web a mantener la conformidad con el GDPR identificando y abordando vulnerabilidades específicas de seguridad que afectan el cumplimiento normativo.
Al utilizar nuestro escáner, las empresas y organizaciones pueden comenzar a evaluar su conformidad con el GDPR y corregirlo al ofrecer un servicio en línea legalmente conforme.
Nuestras soluciones de conformidad online de iubenda también permiten rastrear la conformidad de terceros con las regulaciones más comunes. Esto identifica posibles deficiencias de cumplimiento que exponen a terceros a un mayor riesgo de sanciones normativas y violaciones de datos.
