Desde el 25 de mayo, la GDPR o RGPD (Regulación general de la privacidad de datos) está en marcha, reemplazando la Directiva de Protección de Datos de la UE de 1995. ¿Qué cambiará exactamente y cómo administrarán nuestras empresas nuestros datos?
Hay muchas preguntas sobre la RGPD, especialmente para los propietarios de negocios y empresas, tanto en Europa como más allá. Estas son algunas de las cuestionas básicas de dicha regulación.
¿Qué es información personal?
Según el Diccionario de negocios, la información personal es:
Información registrada sobre una persona identificable que puede incluir tu (1) nombre, dirección, dirección de correo electrónico, número de teléfono, (2) raza, nacionalidad, etnia, origen, color, creencias religiosas o políticas o asociaciones, (3) edad, sexo, orientación sexual, estado civil, estado familiar, (4) número de identificación, código, símbolo, (5) huellas dactilares, tipo de sangre, características heredadas, (6) historial de atención médica, incluido información sobre discapacidad física/mental, (7) historial educativo, financiero, criminal, laboral, (8) otras opiniones sobre el individuo, y (9) opiniones personales, excepto las relativas a otras personas.
¿Cuál es la política de la RGPD?
Las regulaciones RGPD son un conjunto de políticas que se han estado preparando durante años en la Unión Europea. Básicamente, son una revisión completa de las directrices de protección de datos existentes y su objetivo principal es armonizar las leyes de datos privados en los países miembros. Según los miembros del Parlamento detrás de su creación, los nuevos mecanismos ayudarán a fortalecer el control de datos en toda la Unión.
Los cambios propuestos y sus efectos posteriores finalmente cambiarán la forma en que las empresas y las organizaciones gubernamentales procesan la información de las personas. Hay muchos cambios importantes que afectarán a las leyes sobre la confidencialidad de los datos actuales en los Estados miembros. Tanto los políticos como los expertos en privacidad señalan que este es uno de los mayores cambios a este respecto, si no el mayor cambio, en las últimas dos décadas.
Existe una distinción importante entre las regulaciones de la RGPD y las leyes de privacidad de los datos anteriores. Por naturaleza, la RGPD está escrita como un reglamento, una pieza legislativa vinculante. De acuerdo con la ley, debe aplicarse plenamente en toda la Unión Europea.
¿Cómo procesan las empresas los datos bajo la RGPD?
En primer lugar, cualquier compañía que esté procesando y almacenando datos de ciudadanos de la UE debería volver a evaluar la necesidad de hacerlo. Al continuar, estos procesos con respecto a los datos de los ciudadanos de la UE deberían seguir el cumplimiento de la RGPD.
En resumen, según la RGPD, las organizaciones deben implementar principios de protección de datos, así como medidas técnicas y organizativas, con el único propósito de proteger la privacidad y los derechos de los usuarios con respecto a su privacidad. Las organizaciones sujetas a regulaciones futuras deben invocar una protección de privacidad completa, mientras tanto, deben asegurar que los sistemas y los procedimientos cumplen estrictamente con las necesidades de seguridad de datos.
Seguridad de datos bajo la RGPD
Los expertos describieron una breve lista de verificación que ilustra los pasos a seguir para cumplir con la RGPD:
- Conocer tus datos
- Tener una buena gestión de riesgos
- Implementar políticas y procedimientos integrales
- Implementar controles apropiados y efectivos
- Tener procedimientos efectivos de respuesta a incidentes
De hecho, estos pasos tienen todo que ver con la estrategia de ciberseguridad que cualquier organización debe tener. Adoptar el enfoque basado en el riesgo para el estado general de seguridad de una organización. Este enfoque es esencial tanto para la RGPD como para la estrategia de ciberseguridad.
Más específicamente, el Artículo 32 de la RGPD requiere que las medidas implementadas aseguren un nivel de seguridad apropiado al riesgo:
Dado el estado de la tecnología, los costes de implementación y la naturaleza, alcance, contexto y fines de procesamiento, así como el riesgo de probabilidad de variación y la gravedad de los derechos y libertades de las personas, el controlador y el procesador implementarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
Derecho a borrar o a ser olvidado
El llamado «derecho al olvido» entró en el campo de la privacidad de la UE con la sentencia del Tribunal de Justicia de la UE de 2014, bajo el predecesor de la RGPD (La Directiva 95/46 / CE), en el caso de C 131/12, que involucró a Google. La decisión identificó el derecho de los interesados de la UE a solicitar la eliminación de enlaces por parte de los motores de búsqueda o controladores de datos. El derecho al borrado es ahora el derecho a ser olvidado y es parte de la RGPD. Este derecho es un derecho fundamental de los interesados en la RGPD, tanto dentro como fuera del contexto de la información personal disponible para el público.
Lo que hace la RGPD esencialmente es que amplía el alcance del derecho al olvido, convirtiéndolo en un derecho sobre datos fundamentales y de exigir que los controladores de datos permitan a los ciudadanos de la UE ejercer ese derecho.
En términos oficiales, el derecho al borrado permite que el interesado obtenga del responsable del tratamiento la eliminación de los datos personales que lo conciernen sin demora indebida.
Sin embargo, cabe señalar que, como ocurre con la mayoría de los derechos, el derecho a una eliminación de datos no es absoluto. La RGPD cubre el derecho del interesado a corregir datos personales sobre él/ella y el derecho a ser olvidado donde la retención de datos personales violara las estipulaciones de la RGPD u otra ley a la cual el controlador esté obligado.
¿Las entidades tienen que borrar los datos personales a petición del usuario?
El hecho es que la RGPD da a las personas el derecho de solicitar que sus datos sean eliminados y que las organizaciones deban cumplir, excepto en los siguientes casos:
- los datos personales que posee la empresa son necesarios para ejercer el derecho a la libertad de expresión;
- existe la obligación legal de conservar los datos;
- por razones de interés público (p. ej., salud pública, científicos, fines de investigación o estadísticas históricas).
Cumplimiento del consentimiento del usuario
Asegurarse de que la forma en que se controlan los datos sea coherente con la RGPD es algo prioritario. Puede parecer que las regulaciones son claras pero, en realidad, hay una serie de factores que hacen que el cumplimiento sea complejo e incluso confuso.
Por un lado, la RGPD requiere que la recopilación y el procesamiento de datos se vinculen a usos específicos. Sin embargo, esto no siempre es posible en el sentido directo requerido por las regulaciones. Es un hecho conocido que los datos recopilados para un propósito se pueden usar para satisfacer diferentes necesidades. Esto es inevitable en el mundo interconectado en el que vivimos, donde las empresas recopilan más y más datos, y estos datos a menudo se agregan a otros conjuntos de datos. La RGPD requiere que las organizaciones y los controladores de datos cumplan siempre con el propósito específico acordado originalmente.
Como enfatizó Snowplow Analytics, gran parte de esto está sujeto a interpretación:
Para los profesionales del marketing en particular, es probable que el consentimiento sea la base más importante para recopilar datos por razones legítimas descritas por la RGPD, ya que es difícil ver cómo el uso de datos personales para la comercialización puede ser justificado. Tal como se describe en el sitio web de la RGPD de la UE, la recopilación regular de datos bajo los auspicios del consentimiento requiere que, «el interesado haya otorgado su consentimiento para el procesamiento de sus datos personales para uno o para más fines específicos».
Te interesa:
- 5 consejos para evitar las sanciones por incumplir la nueva ley de protección de datos
- 4 principios imprescindibles para cumplir con el RGPD
- Aplicación práctica de la nueva ley de protección de datos
