RGPD

¿Qué es RGPD?

El reglamento general de protección de datos (RGPD) de la Unión Europea, es un reglamento para la protección de los datos que entró en vigor en el 2018. Crea un único conjunto de directrices y autoridad para proteger los datos de todos los ciudadanos de la UE. Además, es aplicable para cualquier organización ─no solo las que están constituidas dentro de la UE─ que gestione datos de residentes de la UE o de cualquier persona dentro del Espacio Económico Europeo (EEE).

Resumen del RGPD

El RGPD establece tres tipos de actores respecto a los datos: los interesados, los controladores y los procesadores de datos. (Artículo 28A). 

Un "interesado" es una persona cuyos datos se recopilan. Un "controlador" es una organización que determina las condiciones, propósito y medios para el procesamiento de los datos personales del interesado. Y un "procesador" es una organización que procesa datos personales en nombre del controlador.

Según lo estipulado en el RGPD, los controladores y procesadores pueden estar constituidos en cualquier parte del mundo, incluyendo en los EE. UU. Esto representa un cambio drástico respecto a las antiguas reglas de la UE.

Las multas por incumplimiento también han cambiado, y ahora son mucho más cuantiosas que en el pasado. Por ejemplo, la autoridad supervisora de protección de datos está facultada para imponer multas y sanciones de hasta el 4% de la facturación anual o 20 millones de EUR, según cuál sea mayor.

Principios Clave

El impulsor principal del reglamento general de protección de datos (RGPD) es el objetivo de la UE de crear un mercado digital único. Los requisitos para la adecuación del RGPD se basan en los siguientes principios:

Transparencia

Todos los interesados tienen el derecho a ser informados del tratamiento y los motivos del tratamiento de los datos personales. Y deben otorgar su consentimiento explícito. (Artículos 7, 10, 11 y 12). Ha marcado un antes y un después para la mayoría de las empresas. Es necesario que cambie su mentalidad de procesamiento de datos, del "darse de baja" al "darse de alta".

Motivo legítimo

Este reglamento define unas condiciones específicas bajo las cuales está permitido el procesamiento de los datos personales (Artículo 6). Es lícito procesar los datos personales si esto es necesario para:

  • Suministrar el producto o servicio que el interesado ha solicitado
  • Cumplir con un requisito legal
  • Proteger los intereses vitales de los interesados o de cualquier otra persona
  • Ejecutar una tarea de interés público o en ejercicio de la autoridad oficial que se le haya conferido
  • Perseguir otros intereses legítimos, excepto cuando estos entren en conflicto con los intereses o derechos y libertades fundamentales del interesado, especialmente en el caso de los niños

Proporcionalidad

Con el RGPD, el nivel de cualquier tratamiento de datos personales debe ser proporcional al motivo de su recolección. Esto se traduce como recolectar la menor cantidad posible de datos, y conservarlos durante el período mínimo indispensable de tiempo para servir al cliente.

Los datos deben ser exactos y mantenerse actualizados. Y usted debe proteger su confidencialidad e integridad.

Los Requisitos Normativos Del RGPD, Explicados

El RGPD está centrado en unos requisitos normativos de privacidad y en unos poderes de ejecución más amplios, que incluyen (sin carácter restrictivo):

  • El derecho de supresión (antes conocido como "derecho a ser olvidado"). Cuando usted no tenga motivos válidos para retener los datos y los interesados quieran que algunos o todos sus datos sean eliminados, usted debe hacerlo. (Artículo 17). La conformidad con esta regla puede resultar complicada para los proveedores de servicios de correo electrónico o basados en la nube Los proveedores suelen dividir los datos entre las zonas de disponibilidad, respaldos y archivos.
  • Los datos personales son mucho más que datos que se usan para identificar a una "persona natural". El RGPD estipula que esto también incluye a los metadatos. Estos comprenden direcciones IP, ID de tarjetas SIM, números de móvil, datos biométricos y hasta cookies almacenadas de páginas web. Además, es retroactivo. Se aplica a los datos recolectados antes de la entrada en vigor de este.
  • Portabilidad de los datos (Artículo 20). Las personas tienen derecho a trasladar sus datos de un servicio a otro y a que estos datos permanezcan intactos, protegidos y en privado.
  • Los controladores de datos deben informar a los interesados de si sus datos han sido objeto de tratamiento, si estos así lo solicitan (Artículo 15).
  • Mejor gobernanza para los datos protegidos. Esto incluye (sin carácter restrictivo) unas condiciones de consentimiento, registros del tratamiento y detalles acerca de la notificación de violaciones mucho más exigentes (Artículos 7, 30, 33 al 34).
  • Cualquiera que procese o almacene datos personales de un ciudadano de la UE puede necesitar un delegado de protección de datos (DPO, del inglés Data Protection Officer) (artículos 35 al 37). El RGPD es muy explícito acerca del rol del DPO y sus especificidades. Además, los controladores y procesadores de datos cuya sede esté fuera de la UE deberán designar un representante en un estado miembro de la UE en donde residan los interesados de los datos.
  • Usted debe ser capaz de cumplir con los exigentes requisitos de detección de fugas o robos de datos, así como con los requisitos de notificación (dentro de las 72 horas siguientes a la detección).
     

Protección de datos desde el diseño y por defecto, y seguridad en el tratamiento

Las tres directivas principales del RGPD son la protección de datos desde el diseñopor defecto y la seguridad del tratamiento.

La protección de datos desde el diseño se refiere a los medios y salvaguardas que los controladores deben implementar para la adecuación con el RGPD. Estos incluyen medios técnicos y organizativos.

De manera similar, la protección de datos por defecto estipula que usted debe recolectar, procesar y almacenar exclusivamente los datos personales necesarios para ofrecer el servicio acordado. (Artículos 25 y 32).

Seguridad del tratamiento impone el uso de las medidas técnicas y organizacionales adecuadas para garantizar un nivel de seguridad proporcional al riesgo de divulgación. No cumplir con estas obligaciones puede redundar en unas severas penalizaciones.

No solo datos de los clientes

Los tres "motores": transparencia, motivo legítimo y proporcionalidad, se aplican más allá de los datos del cliente. También se aplican a los datos de los empleados.

Muchas organizaciones recolectan y tratan datos del uso de internet de sus empleados para proteger la seguridad de la información: detener programas de malware, bloquear la transferencia de propiedad intelectual, proteger los derechos de otros trabajadores, etc. El principio de proporcionalidad es la principal directriz. Usted debe ponderar los derechos de los empleados a la protección de datos contra sus necesidades de seguridad.

Conozca sus datos

Según las reglas del reglamento general de protección de datos, usted debe saber qué tipo de datos está recolectando, procesando y almacenando. Por ejemplo, el RGPD es muy explícito acerca del evitar el tratamiento de datos para la determinación de una serie de características, incluyendo origen étnico o racial, opinión política y creencias religiosas o filosóficas, a menos que se apliquen ciertas excepciones muy específicas (Artículo 9).

La única manera de garantizar que usted tenga una razón válida para recolectar los datos es comprender los datos en sí mismos.

Lista de Comprobación Para La Adecuación del RGPD

Este reglamento afectará a muchas organizaciones en el mundo entero, sin importar en qué país estén radicadas. Y cumplir con las nuevas reglas de adecuación al RGPD no será cosa fácil.

Aquí le presentamos una pequeña lista de comprobación para su implementación:

  1. Conozca sus directivas de protección de datos. Esto incluye datos tanto de los clientes como de los empleados.
  2. Ejecute una evaluación de impacto relativa a la protección de datos (EIPD) (Artículo 35). La EIPD contempla todos los puntos de contacto para los datos protegidos de un ciudadano de la UE. Esto es independiente de en dónde ocurre el tratamiento o almacenamiento de los datos. El resultado de la EIPD debe ser una evaluación de riesgos detallada.
  3. Aborde los temas de derecho de supresión, portabilidad de datos, violaciones de datos y notificación. Esto requiere de unos sólidos controles técnicos, procedimientos y gobernanza corporativo y organizacional.
  4. Si su empresa tiene más de 250 empleados podría estar obligada a tener un DPO, incluso si su sede está en los Estados Unidos.