¿Qué es la GDPR?
Conozca sobre la nueva ley de Protección de Datos de la Unión Europea
Conozca todo lo que necesita saber sobre la nueva ley de protección de datos de la Unión Europea, que entra en vigencia el 25 de mayo de 2018.
¿Qué es la GDPR?
Muy probablemente, si lee noticas en Internet, ha leído acerca de la GDPR.
La Regulación General de Protección de Datos (GDPR por sus siglas en inglés General Data Protection Rule) es es el nuevo marco legal en la Unión Europea que remplazará a la actual Directiva de Protección de Datos. La diferencia más importante entre ambas es la diferencia entre una “regulación” y una “directiva”. La General Data Protection Regulation (GDPR) es un Reglamento (2016/679) que busca garantizar la privacidad de los ciudadanos europeos en Internet. Pone el foco en la protección de los datos personales de los sujetos, para lo que refuerza su capacidad de decisión sobre sus propios datos, obliga a aportar transparencia sobre la recopilación y uso de los mismos, y garantiza el cumplimiento por parte de las empresas de las normas establecidas a través de severas multas. Sustituye a la Directiva de Protección de Datos de 1995 (95/46).
A diferencia de las directivas son recomendaciones a tener en cuenta y no son legalmente vinculantes, las regulaciones sí son leyes y responsabilizan legalmente a las empresas. Esto significa que la GDPR es una ley y como tal, debe ser cumplida por todos los estados europeos miembros, mientras que la anterior Directiva de Protección de Datos no lo era.
Una regulación no deja lugar a interpretación, más bien es un grupo de normas que deben ser cumplidas.
¿Qué está pasando?
La Regulación General de Protección de Datos (GDPR) entrará en vigencia en la Unión Europea.
Seguramente a estas alturas ya ha escuchado sobre la GDPR, pero puede que no sepa acerca de los detalles. Lo más importante que necesita saber es que las penalidades de la GDPR pueden ser de hasta 10 millones de euros. Esto significa que las empresas necesitan comenzar pronto a evaluar cómo se verán afectadas por la regulación, y estar preparadas.
¿A quién afecta el GDPR?
El Reglamento protege a los ciudadanos europeos cuando interactúen con empresas localizadas en la Unión Europea, pero también cuando sus datos sean exportados a terceros países. Es decir: si un europeo compra en una tienda digital localizada en Estados Unidos, el comercio deberá cumplir con la normativa europea aunque esté operando desde fuera de la UE. El foco está puesto en el usuario.
¿Cómo le afecta el GDPR como usuario?
Como usuario deberá dar un permiso explícito a las empresas con las que interactúe. En cualquier momento se podrá revocar cualquier permiso que se haya otorgado e incluso el usuario tendrá ‘derecho al olvido‘ (llamado ‘derecho al borrado‘), pudiendo solicitar, a través de los procedimientos adecuados, que se valore la eliminación de determinada información que le afecte en Internet.
Adicionalmente el usuario podrá solicitar a las empresas una copia de todos los datos que tengan de él, y deberán entregarlo en un formato exportable para que el usuario pueda reconocerlo fácilmente. Dicha información deberá explicar los detalles del procesamiento de los datos, con quién se comparten y cómo se han recopilado.
¿Cómo le afecta el GDPR como empresa?
Las empresas necesitarán un consentimiento explícito de sus clientes o usuarios para recabar, tratar y utilizar sus datos personales, y deberá tener un control sobre todo el ciclo de los mismos, sabiendo en todo momento dónde están y por dónde pasan.
Si los usuarios son menores de 16 años, se necesitará un permiso explícito de los padres o guardianes legales para recopilar sus datos.
Cuando el volumen de datos que recopila la empresa alcance un determinado umbral, se deberá nombrar a un responsable (Data Protection Officer -DPO-) para que responda ante tus clientes en menos de 72 horas en caso de problemas relacionados, como fugas de datos.
¿Cómo cumplir con el GDPR?
El cumplir con esta regulación no es nada fácil. Muchas empresas, y sobre todo las PYMEs, desconocen lo que hay detrás de su sitio web, ya que casi siempre ha sido subcontratada a empresas de diseño web y eso le impide saber exactamente cuál información está recopilando su sitio web, si está utilizando cookies o guardando de alguna forma información de sus visitantes. Se recomienda realizar una Evaluación de Impacto de Privacidad (PIA) y una Evaluación de Impacto de la Protección de Datos (DPIA) que permita conocer qué está haciendo actualmente la empresa respecto a los datos de sus clientes y usuarios.
¿A quiénes aplica esta regulación GDPR?
Si su empresa hace negocios con países de la Unión Europea, necesita cumplir con la regulación.
La GDPR aplica a:
- Organizaciones con presencia física en al menos algún país miembro de la Unión Europea.
- Organizaciones que procesan o almacenan datos sobre individuos que residen en la Unión Europea.
- Organizaciones que utilizan servicios de terceros que procesan o almacenan información sobre individuos que residen en la Unión Europea.
Por lo tanto, si usted reside en la Unión Europea o trabaja con una organización que posee empleados o clientes en la Unión Europea, es muy probable que se vea alcanzado por la GDPR.
¿Cuáles derechos establece el GDPR?
- Derecho a estar informado: Proporciona transparencia sobre cómo son utilizados sus datos personales.
- Derecho al acceso: Provee acceso a sus datos, a cómo son utilizados, y a cualquier información suplementaria que pueda ser utilizada juntos con sus datos.
- Derecho a la rectificación: Otorga el derecho a que sus datos personales sean rectificados en caso de ser incorrectos o incompletos.
- Derecho a ser borrado (o derecho a ser olvidado o derecho de supresión): Es el derecho a que los datos personales sean removidos de cualquier lugar si no existe una razón convincente para que estén almacenados.
- Derecho a limitación del procesamiento: Permite que los datos sean almacenados, pero no procesados. Por ejemplo, puede recurrir a este derecho si siente que datos erróneos acerca de usted son almacenados a la espera de ser rectificados.
- Derecho a la portabilidad de datos: Puede solicitar copias de la información almacenada sobre usted, para utilizar en cualquier otro lugar. Tal es el caso de si aplicara para productos financieros entre distintas entidades.
- Derecho a oposición: Otorga el derecho a objetar acerca del procesamiento de sus datos. Un ejemplo podría ser la objeción de que sus datos sean utilizados por organizaciones de marketing directo.
- Derecho sobre la toma de decisiones y creación de perfiles automáticos: Permite objetar sobre la toma de decisiones automáticas que se hagan sobre sus datos personales. “Automáticas” se refiere a sin intervención humana. Por ejemplo, la definición de determinados hábitos de compra online, en función a comportamientos previos.
¿Qué sigue ahora?
Ahora que ya conoce los conceptos básicos detrás de la GDPR, puede comenzar a evaluar los pasos que su organización debe tomar para cumplir con la regulación.
Información adicional
Enlaces con información importante sobre la regulación (algunos están en inglés):