El Reglamento General de Protección de Datos (RGPD) es el reglamento europeo relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos. Entró en vigor el 24 de mayo de 2016 y fue de aplicación el 25 de mayo de 2018, dos años durante los cuales las empresas, las organizaciones, los organismos y las instituciones se fueron adaptando para su cumplimiento. Es una normativa a nivel de la Unión Europea, por lo que cualquier empresa de la unión, o aquellas empresas que tengan negocios en la Unión Europea, que manejen información personal de cualquier tipo, deberán acogerse a ella. Las multas por el no cumplimiento del RGPD pueden llegar a los 20 millones de euros.
En España, el RGPD dejó obsoleta la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) de 1999, siendo sustituida el 6 de diciembre de 2018 por la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales, acorde con el RGPD.
El nuevo régimen de protección de datos de la UE amplía el alcance de la ley de protección de datos de la UE a todas las compañías extranjeras que tratan datos de residentes de la UE. Para cumplir con estas regulaciones, sin embargo, esto implica el coste de un estricto régimen de cumplimiento de protección de datos con penalizaciones severas de hasta el 4% de la facturación mundial ".
El RGPD también ofrece un nuevo conjunto de "derechos digitales" para los ciudadanos de la UE en una época en la que el valor económico de los datos personales está aumentando en la economía digital.
El Reglamento General de Protección de Datos contiene los siguientes requisitos clave:
La regulación se aplica si el controlador de datos (una organización que recolecta datos de residentes de la UE) o el procesador (una organización que trata datos en nombre del controlador de datos, por ejemplo, proveedores de servicios en la nube) o el interesado (persona) tiene su sede en la UE. Además, la regulación también se aplica a las organizaciones con sede fuera de la Unión Europea si recopilan o tratan datos personales de los residentes de la UE. Según la Comisión Europea, "los datos personales son cualquier información relacionada con un individuo, ya sea que se refiera a su vida privada, profesional o pública. Puede ser cualquier cosa desde un nombre, domicilio, foto, dirección de correo electrónico, detalles bancarios, publicaciones en sitios web de redes sociales, información médica o la dirección IP de una computadora ".
El reglamento no pretende aplicarse al tratamiento de datos personales para actividades de seguridad nacional o aplicación de la ley en la Unión Europea; sin embargo, grupos industriales preocupados por enfrentar un posible conflicto de leyes han cuestionado si el artículo 48 de la RGPD podría invocarse para evitar que un controlador de datos sujeto a las leyes de un tercer país cumpla con un orden legal de la aplicación de la ley de ese país, judicial, o las autoridades de seguridad nacional divulguen a dichas autoridades los datos personales de una persona de la UE, independientemente de si los datos residen dentro o fuera de la UE.
El artículo 48 establece que cualquier juicio de un tribunal o tribunal y cualquier decisión de una autoridad administrativa de un tercer país que requiera que un controlador o procesador transfiera o divulgue datos personales solo podrá ser reconocido o exigible de cualquier manera si se basa en un acuerdo internacional, tal como un tratado de asistencia jurídica mutua vigente entre el tercer país (no UE) solicitante y la Unión o un Estado miembro, el paquete de reforma de protección de datos también incluye una Directiva de protección de datos separada para el sector policial y de justicia penal que proporciona normas sobre personal intercambios de datos a nivel nacional, europeo e internacional.
Un único conjunto de reglas se aplicará a todos los estados miembros de la UE. Cada estado miembro establecerá una Autoridad de Supervisión (SA) independiente para escuchar e investigar denuncias, sancionar infracciones administrativas, etc. Las SA de cada Estado miembro cooperarán con otras SA, proporcionando asistencia mutua y organizando operaciones conjuntas. Cuando una empresa tenga múltiples establecimientos en la UE, tendrá una sola SA como su "autoridad principal", según la ubicación de su "establecimiento principal" (es decir, el lugar donde se llevan a cabo las principales actividades de tratamiento). La autoridad principal actuará como "ventanilla única" para supervisar todas las actividades de tratamiento de esa empresa en toda la UE. (Artículos 46–55 de la RGPD). La Junta Europea de Protección de Datos (EDPB) coordinará las SA. EDPB reemplazará al Artículo 29 Grupo de Trabajo.
Existen excepciones para los datos tratados en un contexto de empleo y los datos tratados para fines de seguridad nacional que aún podrían estar sujetos a las reglamentaciones de cada país (artículos 2 (2) (a) y 82 de la RGPD).
Los requisitos de notificación permanecen y se expanden. Deben incluir el tiempo de retención para los datos personales y la información de contacto para el controlador de datos y se debe proporcionar un delegado de protección de datos.
La toma de decisiones individual automatizada, incluida la elaboración de perfiles (artículo 22) es discutible, de forma similar a la Directiva de protección de datos (artículo 15). Los ciudadanos tienen el derecho de cuestionar y luchar contra las decisiones importantes que les afecten y que se hayan realizado sobre la base exclusiva de algoritmo ic. Muchos medios de comunicación han comentado la introducción de un "derecho a la explicación" de decisiones algorítmicas, pero desde entonces los académicos legales han argumentado que la existencia de tal derecho no está muy clara sin una prueba judicial y, en el mejor de los casos, es limitada.
Para poder demostrar el cumplimiento con el RGPD, el controlador de datos debe implementar medidas que cumplan con los principios de protección de datos por diseño y protección de datos por defecto. Privacidad por diseño y por defecto (Artículo 25) requieren que las medidas de protección de datos estén diseñadas para el desarrollo de procesos comerciales para productos y servicios. Tales medidas incluyen datos personales Seudonimizamiento, por parte del controlador, tan pronto como sea posible (considerando 78).
Es responsabilidad del controlador de datos implementar medidas efectivas y ser capaz de demostrar el cumplimiento de las actividades de tratamiento, incluso si el tratamiento se lleva a cabo por un procesador de datos en nombre del controlador. (Considerando 74).
Las evaluaciones de impacto de protección de datos (artículo 35) deben llevarse a cabo cuando se producen riesgos específicos a los derechos y libertades de los interesados. Se requiere la evaluación y mitigación de riesgos y se requiere la aprobación previa de las Autoridades de Protección de Datos (DPA) para los riesgos más altos. Los delegados de protección de datos (artículos 37-39) deben garantizar el cumplimiento dentro de las organizaciones.
Deben ser designados:
Los datos solo se pueden tratar si existe al menos una base legal para hacerlo. Las bases legales para tratar datos son:
Cuando el consentimiento se utiliza como la base legal para el tratamiento, el consentimiento debe ser explícito para los datos recopilados y los fines para los que se utilizan los datos (Artículo 7, definido en el Artículo 4). Consentimiento para niños debe ser otorgado por el padre o tutor del niño, y verificable (Artículo 8). Los controladores de datos deben poder probar el "consentimiento" (opt-in) y el consentimiento puede ser retirado.
La cuestión del consentimiento de RGPD tiene una serie de implicaciones para las empresas que graban llamadas en la práctica. Los típicos avisos del tipo "esta llamada está siendo grabada por motivos de seguridad" ya no serán suficientes para obtener el consentimiento asumido para grabar llamadas. Además, cuando la grabación haya comenzado, si la persona que es grabada retira su consentimiento, entonces el agente que recibe la llamada debe ser capaz de detener una grabación previamente iniciada y asegurarse de que la grabación no se guarde.
Cuando el tratamiento lo lleve a cabo una autoridad pública, a excepción de los tribunales o autoridades judiciales independientes cuando actúan en su capacidad judicial, o cuando, en el sector privado, el tratamiento lo lleva a cabo un controlador cuyas actividades centrales consisten en operaciones de tratamiento que requieren regular y la supervisión sistemática de los interesados, una persona con conocimiento experto de la legislación y prácticas de protección de datos debería ayudar al controlador o procesador a supervisar el cumplimiento interno de este Reglamento.
El DPO es similar pero no es lo mismo que un Oficial de Cumplimiento, ya que también se espera que sea competente en la gestión de procesos de TI, seguridad de datos (incluido el tratamiento de ciberataques) y otros problemas críticos de continuidad empresarial en la retención y tratamiento de datos personales y confidenciales datos. El conjunto de habilidades requeridas se extiende más allá de comprender el cumplimiento legal con las leyes y regulaciones de protección de datos.
El nombramiento de un DPO dentro de una gran organización será un desafío para la Junta, así como para el individuo en cuestión. Hay una miríada de problemas de gobernanza y factores humanos que las organizaciones y compañías deberán abordar dado el alcance y la naturaleza de la designación. Además, el titular del puesto tendrá que crear su propio equipo de soporte y también será responsable de su propio desarrollo profesional continuo, ya que deben ser independientes de la organización que los emplea, efectivamente como un "mini-regulador".
El 13 de diciembre de 2016 (revisado el 5 de abril de 2017) se proporcionaron más detalles sobre la función y la función del delegado de protección de datos con un documento de orientación.
La seudonimización es un procedimiento de gestión de datos y desidentificación de datos mediante el cual los campos de información personalmente identificables dentro de un registro de datos se sustituyen por uno o más identificadores artificiales. Un único seudónimo para cada campo sustituido o conjunto de campos sustituidos hace que el registro de datos sea menos identificable, pero sigue siendo adecuado para el análisis de datos y el procesamiento de datos.
Los datos seudonimizados encarnan el estado de la técnica en materia de Protección de Datos por Diseño y por defecto, ya que requiere la protección de los identificadores directos e indirectos (no sólo los directos). Los principios de la protección de datos por diseño y por defecto del RGPD, tal y como se plasman en la seudonimización, exigen la protección de los identificadores directos e indirectos, de modo que los datos personales no puedan ser objeto de referencias cruzadas (o re-identificación) a través del "efecto mosaico" sin acceder a la "información adicional" que el responsable del tratamiento conserva por separado. Dado que el acceso a la "información adicional" conservada por separado es necesario para la re-identificación, el responsable del tratamiento puede limitar la atribución de los datos a un sujeto de datos específico para apoyar únicamente los fines legales.
La seudonimización (o pseudonimización, la grafía según las directrices europeas) es una forma de cumplir con las exigencias del nuevo Reglamento General de Protección de Datos (RGPD) de la Unión Europea para el almacenamiento seguro de la información personal. Los datos seudonimizados pueden ser restaurados a su estado original con la adición de información que permita volver a identificar a los individuos, mientras que los datos anonimizados nunca pueden ser restaurados a su estado original.
El RGPD de la Unión Europea se refiere al cifrado, o encriptación, de los datos como la fórmula más segura para su protección. De hecho, señala en sus artículos 33 y 34 que, si se tiene cifrada la información, aunque se produzca una fuga no es necesaria la notificación a los afectados, ni a la autoridad administrativa correspondiente, en el caso de España la Agencia Española de Protección de Datos..
También señala la seudonimización como algo demandado para cualquier almacenaje de datos personales sobre personas dentro del UE como alternativa a la otra opción de anonimización de datos.
Para aplicar los principios de protección de datos, los encargados y los responsables del tratamiento de datos personales deben establecer medidas técnicas y medidas organizativas. Y los procesos empresariales que manejan datos personales , deben estar diseñados y construidos teniendo en cuenta los principios y proporcionando salvaguardias para proteger los datos (ejemplo, utilizando la seudonimización o la anonimización completa cuando sea necesario). Los responsables del tratamiento diseñan los sistemas de información teniendo en cuenta la privacidad. Por ejemplo, utilizando una configuración de privacidad lo más alta posible por defecto, de modo que los conjuntos de datos no estén disponibles públicamente y no puedan utilizarse para identificar a un sujeto. No se puede tratar ningún dato personal a menos que este tratamiento se realice en virtud de una de las seis bases legales especificadas por el reglamento (consentimiento, contrato, función pública, interés vital, interés legítimo o requisito legal). Cuando el tratamiento se basa en el consentimiento, el interesado tiene derecho a revocarlo en cualquier momento.
Bajo el RGPD, el Controlador de Datos estará bajo la obligación legal de notificar a la Autoridad de Supervisión sin demora indebida. La notificación de una filtración de datos no está sujeta a ninguna norma de minimis y debe notificarse a la Autoridad de Supervisión dentro de las 72 horas posteriores a haber tenido conocimiento de la violación de datos (Artículo 33). Las personas deben ser notificadas si se determina un impacto adverso (Artículo 34). Además, el procesador de datos deberá notificar al controlador sin demora después de conocer una violación de datos personales (Artículo 33).
Sin embargo, la notificación a los interesados no es necesaria si el responsable del tratamiento ha implementado medidas de protección técnicas y organizativas apropiadas que hacen que los datos personales sean ininteligibles para cualquier persona que no esté autorizada para acceder, como el cifrado (Artículo 34).
Las siguientes sanciones pueden ser impuestas:
La propuesta para RGPD se lanzó el 25 de enero de 2012.
La estrategia de mercado único digital de la UE tiene como objetivo abrir oportunidades digitales para las personas y las empresas y mejorar la posición de Europa como líder mundial en la economía digital.
Como parte de esta estrategia, el RGPD y la Directiva sobre seguridad de redes y sistemas de información (Directiva NIS) es aplicable desde el 25 de mayo de 2018. El "[propuesto]" Reglamento de privacidad también es aplicable a partir del 25 de mayo de 2018. El el Reglamento eIDAS también es parte de la estrategia.
Bajo el RGPD, se alienta a las organizaciones a devolver el control de los datos personales al individuo o ciudadano. Haciéndoles más fácil el acceso a las organizaciones de datos que tienen y para que puedan cambiar los permisos que otorgan para que se utilicen (ver Bases legales para el tratamiento) o compartido.
Gestión de información personal ayuda a las organizaciones a devolver este control, y hay una serie de herramientas y soluciones para ayudar con esto.
Según un estudio dirigido por Deloitte en 2018, el 92% de las compañías creen que pueden cumplir con la RGPD en sus prácticas a largo plazo.
Compañías que operan fuera de la UE han invertido mucho para orientar sus prácticas de empresa con la RGPD. El rango de consentimiento de la RGPD tiene un número de implicaciones para negocios que registraban llamadas como una cuestión de práctica. El típico aviso legal no es considerado suficiente para obtener el consentimiento para grabar llamadas. Además, cuando la grabación ha comenzado, la persona que llama debería retirar su consentimiento, después, el agente quien recibe la llamada debería poder parar una grabación previamente empezada y garantizar que la grabación no se va a almacenar.
Los profesionales de informática esperan que el cumplimiento de la RGPD va a requerir una inversión adicional en general: más del 80 por ciento de los encuestados esperaban que los gastos relacionados con el RGPD fueran al menos de 100.000 dólares estadounidenses. Las preocupaciones se repitieron en un informe de los encargados del bufete de abogados Baker & McKenzie, que encontraron que sobre "un 70 por ciento de los encuestados creen que las organizaciones necesitarán una inversión adicional en presupuesto/esfuerzo para cumplir con el consentimiento, mapeo de datos y requerimientos bajo la RGPD de transferencia de datos transfronteriza". El coste total de las compañías de la UE es estimado en 200 mil millones de euros mientras que las compañías estadounidenses se espera de un coste de 41,7 mil millones de dólares. Esto ha sido discutido que pequeños negocios y empresas emergentes pueden no tener los recursos financieros para cumplir adecuadamente con la RGPD, diferente a las internacionales y grandes compañías tecnológicas(como Facebook y Google) que aparentemente está destinada esta regulación. Una falta de conocimiento y un malentendido de las regulaciones también ha sido motivo de preocupación en el periodo previo a su adaptación. El contraargumento a esto ha sido que las compañías se hicieron conscientes de estos cambios dos años antes de que entrasen en vigor y, por eso, deberían tener tiempo suficiente para prepararse.
Las regulaciones, incluida si una empresa debe tener un delegado de protección de datos, han sido criticadas por posibles cargas administrativas y requisitos de cumplimiento poco claros. Además, la minimización de datos es un requisito, que la seudonimización es un de los posibles medios, la regulación no proviene una guía de cómo y qué constituye un esquema efectivo de desidentificación de datos, con un área gris sobre que podría considerarse como seudonimización inadecuada sujeta a acciones de ejecución de la Sección 5. También existe preocupación con respecto a la implementación de la RGPD en sistemas blockchain, como el registro transparente y registro de las transacciones blockchain que contradice con la naturaleza de la RGPD. Muchos medios de comunicación han comentado sobre la introducción de un “derecho a la explicación” de las decisiones algorítmicas, pero licenciados en derecho han argumentado que la existencia de ese derecho es muy poco clara sin tests judiciales y limitada en el mejor de los casos.
La RGPD ha ido ganando apoyos de negocios quienes ven esto como una oportunidad para mejorar su gestión de los datos. Mark Zuckerberg también lo ha llamado como “algo muy positivo para el Internet”, y ha pedido que se adopten leyes del estilo RGPD en los EE. UU.. Grupos de derechos del consumidor como la Organización Europea del Consumidor se encuentran entre los defensores más activos de la legislación. Otros simpatizantes han atribuido su paso al denunciante Edward Snowden. El defensor del software libre, Richard Stallman, ha elogiado algunos aspectos de la RGPD pero pidió salvaguardias adicionales para prevenir que las empresas de tecnología “autoricen su manufacturación”.
Escribe un comentario o lo que quieras sobre GDPR (directo, no tienes que registrarte)
Comentarios
(de más nuevos a más antiguos)