+34 963 693 584 info@ainospublicidad.es

¿Qué es GDPR y cómo te afecta?

12/abril/2018 | General

En Mayo de 2018, el Reglamento General de Protección de Datos de la Unión Europea (GDPR) entra en vigor para mejorar la protección de datos personales.

El GDPR va a tener un impacto significativo para las organizaciones y su forma de manejar los datos, con sanciones potencialmente muy grandes para aquellas empresas que sufran una violación, llegando hasta un 4% de los ingresos globales.

GDPR impacta directamente en el almacenamiento, procesamiento, acceso, transferencia y divulgación de los registros de datos de un individuo y afecta a cualquier organización a nivel mundial que procese datos personales de personas de la Unión Europea.

¿Qué es GDPR, a quién se le aplica y sobre qué información?

El Reglamento General de Protección de Datos (GDPR) (Reglamento 2016/679) es un reglamento por el que el Parlamento Europeo, el Consejo de la Unión Europea y la Comisión Europea tienen la intención de reforzar y unificar la protección de datos para todos los individuos dentro de la Unión Europea (UE). También se ocupa de la exportación de datos personales fuera de la UE. El objetivo principal del GDPR es dar control a los ciudadanos y residentes sobre sus datos personales y simplificar el entorno regulador de los negocios internacionales unificando la regulación dentro de la UE.

Cuando el GDPR surta efecto, sustituirá a la Directiva de protección de datos (oficialmente Directiva 95/46 / CE) de 1995. El Reglamento fue adoptado el 27 de abril de 2016. Se convierte en ejecutivo a partir del 25 de mayo de 2018 tras una transición de dos años y, a diferencia de una directiva, no obliga a los gobiernos nacionales a aprobar ninguna legislación habilitante, por lo que es directamente vinculante y aplicable.

El nuevo régimen propuesto de protección de datos de la UE amplía el ámbito de aplicación de la legislación de protección de datos de la UE a todas las empresas extranjeras que procesan datos de residentes de la UE. Proporciona una armonización de los reglamentos de protección de datos en toda la UE, facilitando así que las empresas no europeas cumplan estas normas; sin embargo, esto se produce a costa de un estricto régimen de cumplimiento de la protección de datos con severas sanciones de hasta el 4% del volumen de negocios mundial.

Entra en vigor el 25 de Mayo de 2018

Las sanciones pueden suponer hasta un 4% de la facturación.

¿Por qué se redactó el GDPR?

Las razones detrás del GDPR son dos. En primer lugar, la UE quiere dar a las personas más control sobre cómo se utilizan sus datos personales, teniendo en cuenta que muchas empresas como Facebook y Google intercambian el acceso a los datos de las personas para el uso de sus servicios. La legislación actual fue promulgada antes de que Internet y la tecnología de la nube crearan nuevas formas de explotar los datos, y el GDPR busca abordar eso. Al reforzar la legislación sobre protección de datos e introducir medidas de aplicación más estrictas, la UE espera mejorar la confianza en la economía digital emergente.

En segundo lugar, la UE quiere dar a las empresas un entorno jurídico más simple y más claro para operar, haciendo que la ley de protección de datos sea idéntica en todo el mercado único (la UE estima que esto ahorrará a las empresas un colectivo de 2.300 millones de euros al año).

¿A quién se aplica el GDPR?

Los “controladores” y los “procesadores” de datos deben atenerse al GDPR. Un controlador de datos indica cómo y por qué se procesan los datos personales, mientras que un procesador es la parte que realiza el procesamiento real de los datos. Por lo tanto, el controlador podría ser cualquier organización, desde una empresa con fines de lucro hasta una organización benéfica o un gobierno. Un procesador podría ser una empresa de TI que realice el procesamiento de datos real. Incluso si los controladores y procesadores están fuera de la UE, el GDPR seguirá aplicándose a ellos siempre y cuando se trate de datos pertenecientes a residentes de la UE.

Es responsabilidad del controlador asegurar que su procesador cumple con la ley de protección de datos y los procesadores deben respetar las reglas para mantener registros de sus actividades de procesamiento. Si los procesadores están involucrados en una violación de datos, son mucho más responsables bajo GDPR que estaban bajo la Ley de Protección de Datos.

¿Qué son datos personales bajo el GDPR?

La UE ha ampliado sustancialmente la definición de datos personales en el marco del GDPR. Para reflejar los tipos de organizaciones de datos que ahora recopilan sobre personas, los identificadores online, como las direcciones IP, ahora son considerados como datos personales. Otros datos, como la información económica, cultural o de salud mental, también se consideran información de identificación personal.

Los datos personales pseudónimos también pueden estar sujetos a las reglas de GDPR, dependiendo de lo fácil o difícil que sea identificar cuáles son los datos. Cualquier cosa que era considerada como datos personales bajo la Ley de Protección de Datos también califica como datos personales bajo el GDPR.

¿Cómo prepararse para su cumplimiento?

La introducción de GDPR está configurada para llevar la protección de datos a la parte superior de las listas de prioridades de las empresas. Entonces, ¿cómo pueden las empresas asegurarse de que son conformes y qué pasos deben tomar? Veamos seis pasos a continuación:

 Entender el marco legal de GDPR

El primer paso para asegurar el cumplimiento es entender la legislación en vigor, así como las implicaciones de no cumplir con las normas requeridas, realizando una auditoría de cumplimiento con el marco legal de GDPR.

Parte de esta auditoría de cumplimiento, no importa el tamaño de la compañía, se hace contratando a un técnico de protección de datos para que nos explique las regulaciones y aplicarlas al negocio. Es preferible que esta persona tenga un fondo legal y tecnológico combinado para que entiendan tanto el marco regulatorio como las especificaciones técnicas necesarias para cumplirlo. Como cada organización es única, el camino hacia el cumplimiento de GDPR también será diferente. La dirección correcta de los líderes dentro del negocio necesita ser adaptada a esto.

Crear un registro de datos

Una vez que las empresas tienen una idea más clara de su disposición a cumplir con los requisitos reglamentarios, deben mantener un registro del proceso. Esto debe hacerse a través del mantenimiento de un Registro de Datos – esencialmente un diario de GDPR. Cada país cuenta con una Asociación de Protección de Datos (DPA), que será responsable de hacer cumplir el GDPR.

Es esta organización la que juzgará si una empresa ha sido compatible con la determinación de posibles sanciones por incumplimiento. En el caso de que se produzca una violación durante la fase inicial de implementación, la empresa debe poder mostrar a la DPA su progreso hacia el cumplimiento a través de su Registro de Datos.

Si no hubiera ninguna prueba de que la empresa haya iniciado el proceso, la DPA podría imponer una multa entre el 2% y el 4% del volumen de negocios de una empresa, dependiendo de la sensibilidad de los datos que se violen. La naturaleza de los datos, podría hacer que la DPA mueva la multa a la empresa mucho más rápido.

Clasificar los datos

En este paso se trata de entender qué datos las empresas necesitan proteger y cómo se está haciendo. En primer lugar, las empresas deben encontrar información personal identificable (PII) – información que pueda identificar a alguien directamente o indirectamente – de ciudadanos de la UE. Es importante identificar dónde se almacena, quién tiene acceso a ella, con quién se comparte, etc.

A continuación, pueden determinar qué datos son más vitales para proteger, sobre la base de su clasificación. Esto también significa saber quién es responsable de controlar y procesar los datos, y asegurarse de que todos los contratos correctos están en su lugar.

Empezar con la prioridad principal

Una vez que los datos han sido identificados, es importante comenzar a evaluar los datos, incluyendo cómo se están produciendo y protegiendo. Con cualquier dato o aplicación, la primera prioridad debe ser proteger la privacidad del usuario. Al mirar la mayoría de los datos privados o aplicaciones, las empresas siempre deben preguntarse si realmente necesitan esa información y por qué. Estos datos son siempre de mayor valor para un hacker y por lo tanto tiene el mayor riesgo de ser violado.

Las empresas deben completar una Evaluación de Impacto de la Privacidad (PIA) y la Evaluación de Impacto de la Protección de Datos (DPIA) de todas las políticas de seguridad, evaluando los ciclos de vida de los datos desde el origen hasta su destrucción. Es importante recordar al hacer esto, los derechos de los ciudadanos de la UE, incluyendo la portabilidad de datos y la restricción de procesamiento. El “derecho a ser olvidado” es también uno a considerar como parte de GDPR.

Se trata de datos de terceros que se pueden utilizar para identificar a alguien y deben ser eliminado si se solicita. Es vital que estos datos estén correctamente destruidos y no se pueda acceder a ellos.

A partir de aquí, las empresas deben evaluar sus estrategias de protección de datos – cómo exactamente están protegiendo los datos (por ejemplo, con encriptación, tokenization o psuedonymisation). Esto debe centrarse en los datos que se están produciendo, los datos que se han respaldado – ya sea in house o en la nube – y los datos históricos que se pueden utilizar con fines analíticos.

Las empresas deben preguntarse cómo están anonimizando estos datos para proteger la privacidad e identificación de los ciudadanos con los que se relaciona. Siempre se debe de tener en cuenta que los datos deben ser protegidos desde el día en que se recoge, hasta el día en que ya no es necesario y luego deben ser destruidos de la manera correcta.

Evaluar y documentar riesgos y procesos adicionales

Aparte de los datos más sensibles, la siguiente etapa es evaluar y documentar otros riesgos, con el objetivo de averiguar dónde puede ser que el negocio más vulnerable durante otros procesos.

Es vital para las empresas mantener un documento de hoja de ruta para mostrar a la DPA cómo y cuándo van a abordar estos riesgos pendientes. Son estas acciones las que muestran a la DPA que el negocio se está tomando el cumplimiento y la protección de datos seriamente.

Revisar y repetir

El último paso consiste en revisar el resultado de los pasos anteriores y remediar cualquier posible eliminación, modificación y actualización cuando sea necesario. Una vez que esto se haya completado, las empresas deben determinar sus próximas prioridades y repetir el proceso desde el cuarto paso.

¡Esperamos que os haya resultado útil este contenido!

Conclusiones

La nueva normativa es de obligado cumplimiento y debes ponerte a ello cuanto antes.
Únete a nuestro Blog de Marketing, Ventas y Publicidad

Únete a nuestro Blog de Marketing, Ventas y Publicidad

Hablamos de marketing, ventas y publicidad.

¡Todo ha ido perfecto!