El avance tecnológico tiene una desventaja que se llama falta de privacidad. Cada vez que entramos en línea, ya sea para abrir una cuenta, participar en una encuesta, descargar un recurso o casi cualquier otra cosa, las empresas recopilan datos sobre nosotros. Con más frecuencia de lo que nos gustaría, esta información llega a otras empresas, como anunciantes, grupos de análisis de datos, etc. Como usuarios de Internet, puede que no nos gusten las compañías que recopilan datos sobre nosotros, pero a menos que nos mantengamos lejos de Internet por completo, que es casi imposible, ¡es la realidad de vivir en un mundo digital!

El 25 de Mayo de 2018,  cuando el Reglamento de la Unión Europea General de Protección de Datos (GDPR) entre en vigor, el mundo va a dar un paso de gigante hacia una aplicación más estricta de las leyes de privacidad y protección de datos. Se allanará el camino para mejores prácticas de protección de datos al ponerlo a la vanguardia de las agendas de negocios en todo el mundo y establecer un único conjunto de reglas de protección de datos en toda la Unión Europea. Si bien la ley afectará a las empresas basadas en la UE, las organizaciones que operen en todo el mundo y recopilen datos de un ciudadano europeo también se verán afectada. El cumplimiento es obligatorio y las sanciones son severas. Por lo tanto, es esencial que las empresas comiencen a dar los pasos apropiados para prepararse para GDPR.

El primer paso hacia el cumplimiento es comprender la ley misma. Así que comencemos con una mirada más de cerca a los aspectos más destacados de esta ley que pronto se aplicará.

Lea nuestra guía

GDPR Reemplaza la Directiva de Protección actual

La Unión Europea (UE) ha necesitado cuatro años de intenso debate y deliberaciones para reemplazar la legislación de dos décadas, la Directiva de Protección de Datos 95/46 / EC. La legislación actual estaba abierta a la interpretación por países individuales en la UE. Por lo tanto, cada estado miembro que operaba bajo la regulación de protección de datos de 1995 tenía sus leyes nacionales con respecto a la protección de datos. El GDPR acabará con esta situación. Diseñado para proteger los datos personales y la privacidad de los ciudadanos de la UE para las transacciones dentro de los 28 estados miembros , el GDPR también regulará la exportación de datos personales fuera de la UE. Esto exige que todas las organizaciones que operan fuera de la UE, pero que comercializan sus productos a los ciudadanos europeos, o monitorea el comportamiento de las personas en la UE, deben estar listas para el GDPR a fines de mayo de 2018.

Elementos principales de GDPR

El GDPR en sí contiene 11 capítulos y 99 artículos en total. Especifica los principios relativos al procesamiento de datos personales, la legalidad del procesamiento de datos personales y las condiciones para el consentimiento con respecto al procesamiento de datos personales (incluido el consentimiento de los niños). También establece las condiciones para el procesamiento de categorías especiales de datos personales (datos confidenciales, datos genéticos y datos biométricos) y el procesamiento de datos personales en relación con condenas y delitos penales. Si desea detalles sobre los temas tratados en cada capítulo, puede visitar el sitio oficial de GDPR . Sin embargo, como un resumen útil, aquí están algunos de los elementos clave de esta ley que hemos obtenido del PDF oficial del Reglamento General de Protección de Datos :

Consentimiento : GDPR hace que el consentimiento se acerque un poco más a ser un consentimiento genuino. Debe ser “otorgado libremente”, y las organizaciones deben poder mostrar claramente cómo y cuándo obtuvieron este consentimiento.

Derecho a estar informado: cuando una organización solicita datos a un individuo, deberá proporcionar, de forma clara y sin cargo, información sobre su identidad, detalles de contacto, el propósito para el que está recopilando datos, cómo será utilizada la información, por cuánto tiempo se almacenarán los datos y si los datos se transferirán internacionalmente.

Derecho de acceso: esto brinda a los individuos o sujetos la capacidad de solicitar y acceder a la información de una organización sobre cómo se procesan sus datos. Si solicitan detalles, la organización debe poder proporcionar una copia de la información de forma gratuita dentro de un mes. Sin embargo, la organización puede cobrar una “tarifa razonable” si encuentra que una solicitud es infundada, excesiva o repetitiva.

Derecho a la rectificación: si un individuo exige que una organización corrija la información incorrecta que ha sido recopilada, esta debe cumplir sin demora.

Derecho a borrado : si una persona retira el consentimiento, puede decirle a la empresa que deje de usar sus datos personales una vez que cierren sus cuentas. Esta es una extensión del “derecho al olvido” que existía antes. Si los datos ya no son necesarios por los motivos por los cuales se recopilaron, la empresa deberá borrarlos. Existen requisitos adicionales cuando la solicitud de borrado se relaciona con los datos personales de los niños. La ley enumera algunas condiciones cuando algunas organizaciones pueden conservar datos durante un período más largo. Además, GDPR hace excepciones para los casos en que los datos se procesan para servir al interés público.

Derecho a restringir el procesamiento : las personas tienen derecho a “bloquear” o suprimir el procesamiento de datos personales si creen que es incorrecto o que ha sido obtenido ilegalmente. La organización está obligada a verificar la exactitud de los datos o restringir el uso según sea necesario. Además, la organización debe informar al individuo una vez que se levante la restricción sobre el procesamiento.

Derecho a la portabilidad de datos: esto permite que una persona obtenga y reutilice sus datos personales para sus propios fines en diferentes servicios. Les permite mover, copiar o transferir datos personales fácilmente de un entorno de TI a otro de manera segura, sin obstáculos para la usabilidad.

Derecho a formular objeciones : si un individuo solicita saber si sus datos se están procesando en beneficio del interés público u otros intereses “legítimos”, la organización tendrá que demostrar bases convincentes para el procesamiento en nombre de estos intereses. Esta sección también otorga a los individuos el derecho de restringir el procesamiento de sus datos para el marketing directo.

Controlador y procesador: GDPR define su rol y responsabilidades en detalle. Considera que el controlador es la parte principal de las responsabilidades, como recabar el consentimiento para recopilar o almacenar datos de un individuo, gestionar la revocación del consentimiento, habilitar el derecho de acceso, etc. El procesador, por otro lado, podría ser una persona física o jurídica , autoridad pública, agencia u otro organismo que procesa datos personales en nombre del controlador. Tanto el controlador como el procesador deben mantener registros detallados de sus datos y proporcionarlos a la “autoridad supervisora” a petición. El GDPR también establece condiciones sobre cómo deben construirse las relaciones contractuales entre controladores y procesadores para garantizar el cumplimiento.

Encargado de protección de datos (DPO): en algunos casos, una organización puede necesitar designar a un encargado de protección de datos que asesore al controlador o procesador y a los empleados de procesamiento de datos sobre los requisitos GDPR, capacite al personal en prácticas privadas, supervise el cumplimiento en las operaciones de procesamiento y más .

Notificación de una violación de datos: las organizaciones tienen que informar cualquier violación de seguridad “que conduzca a destrucción accidental o ilegal, pérdida, alteración, divulgación no autorizada o acceso a datos personales transmitidos, almacenados o procesados ​​de otra manera”. Si hay una violación de datos personales, la compañía debe notificar a la autoridad de supervisión apropiada dentro de las 72 horas de haberse enterado de ello.

Multas y multas : GDPR brinda a los individuos un mejor control sobre sus datos personales. También impondrá penas severas a cualquier empresa que incumpla sus normas de privacidad de datos. De hecho, uno de los elementos más grandes y más comentados del GDPR son las penalidades involucradas en el incumplimiento y la violación. Discutamos en detalle.

Multas y sanciones GDPR

Estas son mucho mayores que las sanciones impuestas hasta ahora. Bajo el GRDP, si una organización no procesa los datos de una persona de la manera correcta, puede ser multada. Si se requiere, pero no tiene un Encargado de Protección de Datos, puede ser multado. Si hay una violación de seguridad, puede ser multada. Sin embargo, los reguladores mencionan que serán más indulgentes con las compañías que han demostrado tener conocimiento del GDPR y han intentado implementarlo en comparación con aquellas que no han hecho ningún esfuerzo.

Una empresa que no cumpla o viole sus obligaciones de mantenimiento de registros, seguridad, notificación de incumplimiento y privacidad será multada con 10 millones de euros o el 2% de su facturación global bruta, el que sea mayor.

Una empresa que incumple obligaciones relacionadas con la justificación legal del procesamiento, la falta de consentimiento, los derechos de los interesados ​​y las transferencias transfronterizas de datos tendrá que pagar el doble, en forma de 20 millones de euros o el 4% de su facturación bruta global total .

En otras palabras, ¡los días de burlar las leyes locales de privacidad y aceptar pequeñas multas ya se terminaron! Será vital que las compañías tomen medidas técnicas y organizativas apropiadas para detectar, manejar e informar una violación.

Cómo preparar su negocio para GDPR

En WSI, hemos puesto a su disposición una lista simple de los 12 pasos que debe seguir para preparar su organización para el cumplimiento de la GDPR. Esta lista de verificación ha sido obtenida de la guía de la Oficina del Comisionado de Información sobre Preparación para el Reglamento General de Protección de Datos .

En esta lista, le llevamos desde el primer paso para que las personas clave de su empresa conozcan la nueva ley, sus principales características y el impacto que tendrá. También recomendamos otros pasos que su empresa debe considerar, como documentar adecuadamente los datos, revisar y actualizar sus procedimientos actuales de recopilación de datos y revisar cómo busca, registra y gestiona el consentimiento.

Cuando se implemente, el GDPR tendrá un impacto variable en las empresas y organizaciones. Algunas empresas (aunque no todas) pueden necesitar los servicios de un Encargado de Protección de Datos (DPO en inglés) que actuará como un punto focal para las actividades de protección de datos en curso para su empresa. El Oficial de Protección de Datos (DPO) influirá en el proceso de toma de decisiones para ponerse en contacto con los reguladores, mantener una conciencia de privacidad adecuada en la organización, supervisar el cumplimiento de el GDPR y mejorar la privacidad y la protección de datos.

Las empresas deben contratar un DPO si cumplen alguno de los siguientes puntos:

  • Emplea a más de 250 personas
  • Procese o almacene grandes cantidades de datos personales de ciudadanos de la UE
  • Procese o almacene datos personales especiales
  • Monitoree regularmente a los sujetos de datos
  • Son una autoridad pública

El GDPR afectará a las organizaciones de muchas maneras, más allá de las políticas y la seguridad de los datos. Las empresas que se verán afectadas deben buscar ayuda o asesoría legal si es necesario. Por lo menos, necesitan un plan de acción claro que incluya capacitación en GDPR, revisar sus flujos de datos y mecanismos de procesamiento, obtener una vista previa de sus prácticas y políticas de privacidad, la forma en que aprovechan los datos de terceros y más. Para comenzar a estar listo para GDPR, lo invitamos a descargar nuestra “Lista de verificación de 12 puntos para ayudar a preparar su organización para GDPR” haciendo clic aquí .

Tenga en cuenta que en este blog hemos proporcionado información básica sobre el GDPR. WSI no es una autoridad legal para GDPR y solo puede ofrecer asesoramiento sobre las mejores prácticas a seguir mientras lleva a cabo cualquier iniciativa de marketing digital. Sin embargo, para obtener asesoramiento con respecto a la interpretación legal de esta ley para su negocio, acérquese a un funcionario legal o de protección de datos.