¡Descargá la Guía GDPR para obtener más información!
El Reglamento General de Protección de Datos (GDPR) busca crear un marco legal de protección de datos con el objetivo de devolver el control a los ciudadanos sobre sus datos personales. Comenzará a aplicarse el 25 de mayo de este año en todos los Estados miembros de la Unión Europea. Para esa fecha las instituciones, empresas y organizaciones europeas (e internacionales que operen en la UE) deberán cumplir con los requisitos que dispone. Entre las novedades más destacadas, pueden mencionarse la introducción de la figura del Oficial de Protección de Datos; el alcance territorial; el cumplimiento con los principios de privacidad desde el diseño; los nuevos derechos de los sujetos; el enfoque de riesgo y las multas por incumplimiento, entre otras cuestiones. En esta nota te explicaremos todo lo que tu organización necesita saber sobre esta nueva reglamentación.
¿Qué es GDPR?
Una breve historia
En 1995 se creó la Directiva de Protección de Datos 95/46/EC para regular el procesamiento de datos personales. Recién en 2012 la Comisión Europea propuso actualizar la regulación de protección de datos. Es así que en 2014 el Parlamento Europeo aprobó su primera versión del Reglamento en primera lectura y un año más tarde hizo lo propio el Consejo de la Unión Europea. De esta forma la regulación pasó a la etapa final de legislación.
En diciembre de 2015 el Parlamento y el Consejo llegaron a un acuerdo y el texto definitivo se firmó a principios de 2016. El nuevo Reglamento General de Protección de Datos entró en vigor en mayo de 2016 y será aplicable a partir de mayo de 2018. En ese período transitorio, los responsables y encargados del tratamiento debieron ir preparando y adoptando las medidas necesarias para estar en condiciones de cumplir con las previsiones del GDPR en el momento de su aplicación.
¿A quiénes afecta el GDPR?
El GDPR no solo se aplicará a organizaciones ubicadas dentro de la UE, sino también a organizaciones ubicadas fuera de la UE que ofrezcan bienes o servicios a las personas físicas y/o jurídicas de la UE, que monitoreen su comportamiento o que reciban datos personales desde Europa.
Se aplicará a todas las empresas que procesan los datos personales de los interesados que residen en la Unión Europea, independientemente de la ubicación de la empresa. Anteriormente, la aplicabilidad territorial de la directiva era ambigua y se refería al proceso de datos ‘en el contexto de un establecimiento’.
¿Cuáles son los cambios respecto de la normativa anterior?
GDPR es el nuevo marco legal en la Unión Europea que reemplazará a la actual Directiva de Protección de Datos. La diferencia más importante entre ambas es la distinción entre una “regulación” y una “directiva”. La Directiva de Protección de Datos son recomendaciones a tener en cuenta y no son legalmente vinculantes, dejan abierta a la interpretación. El GDPR, en cambio, es una ley y debe ser cumplida por todas las organizaciones.
Aunque los principios clave de la privacidad de los datos siguen siendo fieles a la directiva anterior, se han propuesto muchos cambios:
- Consentimiento: las condiciones para el consentimiento se han fortalecido. Las empresas ya no podrán usar términos y condiciones ilegibles, ya que la solicitud de consentimiento debe ser proporcionada en un lenguaje de fácil acceso, sencillo y claro. Debe ser tan fácil retirar el consentimiento como darlo.
- Enfoque de riesgo: las medidas dirigidas a garantizar el cumplimiento de GDPR deben tener en cuenta la naturaleza, el ámbito, el contexto y los fines del tratamiento así como el riesgo para los derechos y libertades de las personas. Algunas de las medidas que establece se aplicarán sólo cuando exista un alto riesgo para los derechos y libertades, mientras que otras deberán modularse en función del nivel y tipo de riesgo que los tratamientos presenten. La aplicación de las medidas previstas debe adaptarse, por tanto, a las características, tamaño y procesamiento de datos que maneje cada una de las organizaciones.
- Seguridad, protección de datos y aplicaciones cloud: se obtendrá una visibilidad completa del uso y actividades de los servicios y aplicaciones cloud. Todas las empresas, cualquiera que sea su localización, deberán responsabilizarse de la protección de los datos de sus clientes. En el caso de las compañías que contratan servicios en la nube, serán los responsables últimos de la seguridad de los datos de carácter personal, y no el prestador del servicio.
- Notificación de incumplimiento: será obligatoria en todos los estados miembros donde una violación de datos probablemente “genere un riesgo para los derechos y libertades de las personas”. Esto debe hacerse dentro de las 72 horas de haberse dado cuenta de la violación por primera vez. Los procesadores de datos también deberán notificar a sus clientes después de registrar por primera vez una violación de datos.
- Privacidad por defecto / desde el diseño: como concepto ha existido desde hace años, pero solo se está convirtiendo en parte de un requisito legal con GDPR. En esencia, requiere la inclusión de protección de datos desde el inicio del diseño de los sistemas, en lugar de ser una adición. Exige que los controladores retengan y procesen solo los datos absolutamente necesarios para el cumplimiento de sus funciones (minimización de datos).
- Oficiales de Protección de Datos (OPD): actualmente, las empresas están obligadas a notificar sus actividades de procesamiento a las Autoridades de Protección de Datos (APD) locales, lo cual les resulta engorroso dado que la mayoría de los Estados miembros tienen requisitos de notificación diferentes. Bajo GDPR esto ya no será necesario. En su lugar, habrá requisitos internos de mantenimientos de registros y además se incorporará la figura del Oficial de Protección de Datos. Su rol será obligatorio en aquellos casos de empresas cuyas actividades centrales de procesamiento requieren un monitoreo regular y sistemático de datos a gran escala, o son de categorías especiales de datos, o los mismos están relacionados con condenas y delitos penales.
La ley otorga a los sujetos ocho derechos específicos, pueden mencionarse los siguientes:
- Derecho a estar informado: proporciona transparencia con respecto a cómo son recolectados, procesados y utilizados los datos personales de los sujetos.
- Derecho de acceso: es el derecho de los interesados a obtener de los controladores de datos la certeza de que su información personal está siendo o no procesada, dónde y con qué propósito. Además, el controlador deberá proporcionar una copia de los datos personales, sin cargo, en un formato electrónico. Esta medida apunta hacia la transparencia de los datos.
- Derecho a la rectificación: otorga el derecho de que los datos personales sean rectificados en caso de ser incorrectos o incompletos.
- Derecho a ser olvidado: es el derecho de las personas de que sus datos personales sean borrados de cualquier lugar si no existe una razón convincente para que estén almacenados. También implica el cese de la diseminación de datos y, potencialmente, que terceros detengan el procesamiento de los mismos.
- Derecho a restringir el procesamiento: permite bloquear o suprimir los datos personales en el momento en que están siendo procesados o en uso.
- Derecho a la portabilidad de datos: es el derecho de un sujeto de recibir los datos personales que le conciernen y que previamente proporcionó en un “formato de uso común y legible por máquina”. También el interesado tiene derecho a transmitir esos datos a otro controlador.
- Derecho a objeción: permite objetar acerca del procesamiento de sus datos sin un consentimiento explícito.
- Derecho a no ser sujeto de toma de decisiones automatizadas: es el derecho de objetar sobre la toma de decisiones automáticas -sin intervención humana- que se hagan sobre los datos personales.
¿Las empresas que operan en la UE ya están listas para GDPR?
En el 2017 Kapersky Lab, compañía internacional dedicada a la seguridad informática y partner de NextVision, realizó una encuesta a más de dos mil responsables de departamentos IT acerca de sus conocimientos y puntos de vista sobre la nueva legislación. Aunque la mayoría de ellos (73%) cree que el reglamento de almacenamiento y procesamiento de datos personales es importante, tienen niveles de confianza bajos respecto a la capacidad de las organizaciones de cumplir el GDPR adecuadamente. No obstante, consideran que es una oportunidad para mejorar su capacitación.
De acuerdo al informe, los niveles más altos de ‘conocimiento adecuado’ entre los responsables de los departamentos de IT se encuentran en los sectores de la construcción (51 %) y servicios financieros (47 %) y los más bajos se encuentran en los sectores sanitarios (28 %), educativos (26 %) y de fabricación (29 %).
En cuanto a países que muestran más preparación para cumplir el GDPR figuran Reino Unido, Francia, Alemania, Italia, Países Bajos y España. Los países que demostraron menor preparación son Bélgica, Portugal, Dinamarca y Noruega: los responsables IT manifestaron que no contaban con ningún conocimiento aparte de haber escuchado el término GDPR o que directamente no sabían en qué consistía.
¿Qué sucede si tu empresa no cumple con GDPR?
Las organizaciones pueden recibir multas de hasta el 4% de la facturación global anual, o hasta € 20 millones de euros. Esta es la multa máxima que se puede imponer por las infracciones más graves, por ejemplo, no tener suficiente consentimiento del cliente para procesar datos o violar los conceptos de privacidad desde el diseño.
Existe un enfoque escalonado de multas, por ejemplo una empresa puede recibir una multa del 2% por no tener sus registros en orden, por no notificar a la autoridad supervisora y al sujeto de los datos sobre una infracción o por no realizar la evaluación de impacto. Es importante tener en cuenta que estas reglas se aplican tanto a los controladores como a los procesadores, lo que significa que la ‘nube’ no estará exenta de la aplicación de GDPR.
¿Cómo cumplir con GDPR?
La Agencia Española de Protección de Datos elaboró una “Guía del Reglamento General de Protección de Datos para Responsables de Tratamiento” con una serie de medidas a considerar para que las empresas cumplan con el reglamento:
- Identificación de la base jurídica de los tratamientos que se realizan: los tratamientos básicos involucran una relación contractual entre el interesado y el responsable o en el consentimiento del interesado. También es habitual que existan obligaciones legales para el responsable. El responsable debe asegurarse de que todos los tratamientos que realiza pueden apoyarse en una base jurídica ya estipulada.
- Verificación de la información que se proporciona a los interesados: se debe ofrecer a los interesados una mayor información sobre los tratamientos que se realizan, independientemente del tamaño de la organización. La información podrá proporcionarse por diversos medios -avisos en páginas webs, espacios reservados en formularios o carteles informativos- y en diversas instancias. Sin embargo, dependiendo del tratamiento a realizar, no sería prioritario informar sobre ciertas cuestiones, tales como los datos de contacto del Oficial de Protección de Datos o la adopción de decisiones automatizadas.
- Establecimiento de un registro de actividades de tratamiento: el responsable debe prever la existencia de este registro e incluir en él los contenidos previstos por el GDPR.
- Ejercicio de derechos de los interesados: el responsable debe prever mecanismos para facilitar el ejercicio de derechos y la respuesta a las solicitudes, como establecer una dirección de correo electrónico específica y derivar a una persona de la organización para que se encargue de tramitar todas las solicitudes que se reciban. Es importante que el modo de implementar estos mecanismos, por sencillos que sean, estén claramente establecidos.
- Identificación de medidas de seguridad: permiten garantizar la integridad de la información, permitir su recuperación en caso de incidentes y evitar accesos no autorizados. Deben poder adaptarse a las características de los tratamientos, al tipo de datos tratados y a la tecnología disponible. El responsable debe asegurarse de que las medidas que establece el Reglamento de Desarrollo de la Ley Orgánica de Protección de Datos (LOPD) se apliquen y, dependiendo el caso o el nivel de complejidad, evaluar si se requiere alguna medida distinta o adicional.
- Verificación de las relaciones con los encargados de tratamiento: el responsable puede encomendar parte de las operaciones a un encargado de tratamiento, por ejemplo el almacenamiento de la información o la realización de distintas tareas sobre la base de los datos personales. El responsable debe asegurarse de que los encargos estén siempre amparados en un contrato y de que incluya todos los aspectos que establece el GDPR. Especialmente, el encargado sólo tiene que tratar los datos para los fines que le encomiende el responsable, debe aplicar las medidas de seguridad adecuadas y mantener una estricta confidencialidad sobre la información tratada.
Propuesta de NextVision
Para adecuar la protección de datos de una empresa a GDPR, NextVision ofrece los siguientes servicios que permitirán que el GDPR se convierta en una ventaja competitiva para tu empresa:
- Análisis de GAP respecto GDPR, definiendo el plan de acción para adecuarse (GAP es un análisis de la situación actual desde un punto de vista legal, técnico y organizativo, para implementar las mejores recomendaciones de adecuación al reglamento).
- Determinación de las responsabilidades de seguridad.
- Definición de la metodología de evaluación de riesgos y plan de implantación de controles necesarios.
- Adecuación de la Gestión de Incidentes, evaluación de impacto y notificación a afectados.
- Test interno y externo para evaluar posibles vulnerabilidades y su posible explotación.
- Servicios jurídicos especializados con más de diez años de adaptaciones a protección de datos.
El futuro de la protección de datos
El GDPR tiene como intención crear un marco legal de protección de datos con el objetivo de devolver el control a los ciudadanos sobre sus datos personales. Aplica para todas las organizaciones que procesan datos de personas físicas y/o jurídicas de la UE en cualquier parte del mundo.
La reglamentación introduce cambios sustanciales con respecto a la Directiva de Protección de Datos 95/46/EC para regular el procesamiento de datos personales. Es muy importante que el responsable de tratamiento de la organización esté al tanto de las modificaciones y que tome las medidas correspondientes para adecuarse al reglamento, no solo por las multas que establece el incumplimiento, sino también para implementar una política de datos personales transparente que garantice la confianza de las personas.
Te invitamos a descargar la Guía GDPR realizada por nuestros expertos para obtener más información.