27 mar. 2018

RGPD: protección de datos personales. Lo que necesitas saber... ya llega el 25 de mayo

Por Jimma Elliott-Stevens (Inform) y Hanna Guijarro (ITGovernance)

Reglamento General de Protección de Datos (RGPD): imprescindibles

El Reglamento Europeo de Protección de Datos (el General Data Protection Regulation - RGPD) ya está aquí. Aunque entró en vigor en mayo de 2016, se empezará a aplicar en toda la Unión Europea el 25 de mayo de 2018. ¿Están las empresas preparadas para el cambio? ¿qué cosas hay que tener en cuenta y cuál es más importante? ¿por dónde se debe empezar?

¿Qué significa realmente el RGPD?

El Reglamento General de Protección de Datos supone el cambio de legislación de privacidad de la información personal, a nivel europeo y mundial, de los últimos 20 años. Su objetivo es claro: salvaguardar los datos personales de los residentes europeos.

Multas y sanciones

Aunque las autoridades de control de los Estados tienen que definir cómo imponer las sanciones, ignorar el RGPD o no cumplirlo totalmente supondrá multas de hasta 20 M€ o un 4% del total del ejercicio anterior de la empresa, lo que sea mayor.

Ámbito territorial

El Reglamento afecta a los datos personales de residentes en la UE. Por tanto, es obligatorio para todas las empresas con sede en la Unión Europea, así como para aquellas cuya sede está fuera de la Unión, pero con algún tipo de actividad dentro.

Tratamiento de datos

Para adaptar el RGPD conviene realizar una Evaluación de Impacto de Protección de Datos. Saber qué datos existen en la compañía es clave para tratarlos. Los implicados en su recogida y almacenamiento tienen que conocer sus responsabilidades.

Delegado de Protección de Datos

El DPD o DPO por sus siglas en inglés es una de las principales incorporaciones del Reglamento. Será el garante de la protección de datos personales de la organización y el encargado de informar y asesorar al responsable de datos.

Consentimiento

El RGPD no considera válidas las casillas premarcadas o la inacción. El consentimiento debe ser inequívoco y, si se trata de datos sensibles, se requiere el consentimiento explícito. El consentimiento de menores también conlleva cambios.

La privacidad de datos

La privacidad de los datos se convertirá en una cuestión de suma importancia en mayo de 2018 cuando el Reglamento General de Protección de Datos (RGPD) entre en vigor en la Unión Europea. Esta nueva medida introduce los cambios más significativos en la normativa de privacidad digital de la UE desde la implementación en 1995 de la actual Directiva de protección de datos. En el RGPD se incluyen sanciones por incumplimiento de hasta el 4% de los ingresos brutos globales o 20 millones de Euros, lo que sea mayor. Naturalmente, unas cifras de tal magnitud captan la atención. Los representantes de la UE afirman que su intención no es recaudar las multas draconianas que permite la medida, pero muchos ejecutivos desconfían de ello.

Si bien el RGPD está dirigido principalmente a las compañías cuyas sedes operativas se encuentren en la UE, afecta a todas las empresas que proporcionen bienes o servicios a cualquier residente de la Unión. Esta nueva norma no solo impone nuevas obligaciones a organizaciones de todos los tamaños, sino que también establece estándares más estrictos para obtener el consentimiento de los individuos para recopilar o procesar datos personales. Además, crea responsabilidades específicas para las empresas que controlan datos y aquellas que los procesan.

Hacer de la protección de los datos una prioridad Afortunadamente, en Infor ya estamos muy avanzados en el proceso de migrar nuestro porfolio de software empresarial a la nube y este es el momento perfecto para fijar nuevas prioridades de diseño tecnológico con el fin de hacer frente a nuevas exigencias como el RGPD. Hemos hecho de la protección y la seguridad de los datos uno de los principales asuntos de interés de nuestro mapa de ruta tecnológico. Como resultado, muchas de nuestras soluciones basadas en la nube satisfacen los requisitos más esenciales del RGPD y, a medida que nuestros productos evolucionan, contamos con planes concretos para que todos y cada uno de nuestros productos más importantes basados en la nube, cumplan con las exigencias del RGPD, como acceso, rectificación, devolución de datos y el derecho al olvido. También estamos mejorando nuestras medidas técnicas y organizativas para adherir a los estándares de cumplimiento del RGPD.

No obstante, el cumplimiento con el RGPD implica mucho más que solo trabajar con tecnología que esté en regla. El reglamento establece requisitos específicos sobre los procesos de negocio de una organización, especialmente sobre la capacidad para responder con prontitud y precisión a las preferencias de los individuos acerca del manejo de sus datos personales. La capacidad de respuesta y la flexibilidad son objetivos centrales del diseño de nuestro software. Tal nivel de agilidad otorga importantes beneficios a nuestros clientes, algo que empezó mucho tiempo antes del cumplimiento con el RGPD y que se extenderá mucho más allá de la necesidad de respetar las normas. En un mercado y un panorama tecnológico que avanzan a un ritmo sin precedentes, las empresas necesitan software que les ayude a mantener su competitividad, especialmente en este marco legislativo en constante evolución sobre la protección global de datos. Eso es exactamente lo que nos proponemos ayudar a nuestros clientes a lograr.

La flexibilidad es aún más importante con respecto al cumplimiento del RGPD dado que los requisitos de la norma todavía están en desarrollo y sujetos a diferentes interpretaciones, debido a la complejidad de los temas que pretende abordar. Es muy probable que la incertidumbre acerca de la interpretación de los requisitos del RGPD, se prolongue un poco más, hasta que se alcance un equilibrio justo entre privacidad, practicidad y coste. Estamos listos para ayudar a nuestros clientes a salir airosos de este período de incertidumbre normativa.

Nos ponemos en el lugar de nuestros clientes

Como empresa estadounidense con operaciones en Europa desde hace mucho tiempo, tenemos el incentivo extra de dominar el cumplimiento con el RGPD ya que debemos atenernos a sus normas nosotros también. Como muchos de nuestros clientes, entramos en dos categorías diferentes del reglamento, procesador de datos y controlador de datos, y a cada cual le corresponden responsabilidades distintas. Eso suma nuevos desafíos a la gestión de la relación con los clientes, tanto B2B como B2C, especialmente si las operaciones involucran a procesadores y socios externos. Por lo tanto, compartir una posición que es similar a la de la mayoría de nuestros clientes nos permite comprender a la perfección sus necesidades.

En el texto del RGPD se utiliza textualmente la frase “protección de datos desde el diseño y por defecto” para describir la importancia fundamental y el valor de manejar los datos personales adecuadamente. En los mapas de ruta de tecnología de Infor ponemos un especial énfasis en la protección de los datos en nuestros productos, ya sea en la nube o en local. Estamos trabajando para mejorar las capacidades de protección de datos de nuestros productos a fin de cumplir con los requisitos del RGPD y las demandas de nuestros clientes.

Reglamento General de Protección de Datos (RGPD) - Artículo 25

El Reglamento General de Protección de Datos (RGPD) está al tanto de la cantidad de tiempo que los millones de usuarios del mundo pasamos cada día en internet y de cómo ha cambiado nuestro comportamiento en los últimos años.

Como consecuencia, el RGPD ha decidido aumentar la protección de nuestros datos desde la fase inicial del desarrollo del cualquier proyecto tecnológico que implique la recogida de nuestra información personal.

Y es que, hace solo una década hablábamos de algo denominado “transformación digital”. Algunos nos aventurábamos en el mercado laboral sin saber muy bien qué era, pero había algo que teníamos claro: el mundo apuntaba hacia lo digital y era ahí donde teníamos que estar.

Hoy en día, sin embargo, no cabe duda que el mundo es online, y que la irrupción de la tecnología marcó un antes o después en nuestras vidas personales y profesionales. Actualmente, esto solo va en aumento.

La RGPD ha introducido en su artículo 25 el derecho de protección de datos desde el diseño y por defecto. Este derecho implicará que los controladores de protección de datos deberán trabajar mucho más de la mano con desarrolladores y diseñadores desde el primer paso de cualquier proyecto tecnológico que implique tratamiento de datos.

Sin embargo, establecer medidas de protección de datos y considerar la privacidad de los mismos en la fase inicial del diseño no es una novedad, sino que se agrava con el nuevo Reglamento, al ser algo obligatorio a partir de su entrada en vigor.

El artículo 25 del RGPD no establece ninguna directriz específica para llevar a cabo este proceso, pero sí señala "necesario implementar las medidas técnicas y organizativas apropiadas". Los seudónimos también están protegidos bajo el derecho desde el diseño.

Por otro lado, el derecho por defecto garantiza el máximo grado de privacidad, ya que “solo se podrán recoger los datos personales específicos para un proyecto determinado”. Incluso ha de tenerse en cuenta que, si un servicio permite compartir datos con terceros, esta opción ha de ser activada por el usuario.

Para finalizar, resumir que este derecho del RGPD hace referencia a:
  • La cantidad de datos personales recogidos
  • De aplicación directa en todas las fases del proyecto
  • El tiempo que los datos personales pueden ser almacenados
  • La accesibilidad a los datos personales

Protección De Datos Desde El Diseño Y La Seguridad Por defecto

"Protección de datos desde el diseño y la seguridad por defecto" también definido por Privacy by Design and by Default. Este es uno de los principios consagrados en el GDPR 2018.
Hay muchas novedades introducidas por el texto, como el principio de "responsabilidad proactiva", que será central para las empresas y las administraciones públicas, y el "derecho al olvido", que implica la supresión de datos personales, especialmente en la web, por el responsable del tratamiento si utilizan una variedad de condiciones.

Así pues, el artículo 25 del GDPR 2018 prevé el principio de Protección de datos desde el diseño y la seguridad por defecto. Esta es una obligación general y prescribe: "Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas, el responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados".

En la Protección de datos desde el diseño y la seguridad por defecto, por lo tanto, el responsable del tratamiento aplicará Teniendo en cuenta el estado de la técnica, el coste de la aplicación y la naturaleza, ámbito, contexto y fines del tratamiento, así como los riesgos de diversa probabilidad y gravedad que entraña el tratamiento para los derechos y libertades de las personas físicas. El responsable del tratamiento aplicará, tanto en el momento de determinar los medios de tratamiento como en el momento del propio tratamiento, medidas técnicas y organizativas apropiadas, como la seudonimización, concebidas para aplicar de forma efectiva los principios de protección de datos, como la minimización de datos, e integrar las garantías necesarias en el tratamiento, a fin de cumplir los requisitos del presente Reglamento y proteger los derechos de los interesados. En este contexto, el texto también prevé un mecanismo de certificación que puede utilizarse como elemento para demostrar el cumplimiento de los requisitos antes mencionados.

En general, el responsable del tratamiento, acerca del concepto de protección de datos desde el diseño y la seguridad por defecto, aplicará aplicará las medidas técnicas y organizativas apropiadas con miras a garantizar que, por defecto, solo sean objeto de tratamiento los datos personales que sean necesarios para cada uno de los fines específicos del tratamiento. Esta obligación se aplicará a la cantidad de datos personales recogidos, a la extensión de su tratamiento, a su plazo de conservación y a su accesibilidad. Tales medidas garantizarán en particular que, por defecto, los datos personales no sean accesibles, sin la intervención de la persona, a un número indeterminado de personas físicas.

    RGPD: tres cosas obligatorias muy fáciles de olvidar

    A día de hoy, la mayoría de los ciudadanos han escuchado hablar del Reglamento General de Protección de Datos (RGPD). Hay quienes ya han empezado a adaptar su empresa a la nueva normativa europea, quienes son conscientes de que tienen que hacerlo pronto y quienes saben que la legislación de protección de datos cambia, pero no si les afecta. Precisamente ésta es la primera cuestión que no se puede escapar: ¿tengo que cumplir con el Reglamento? Si tratas cualquier tipo de dato personal, la respuesta es sí.

    "No sabía que tenía que cumplir con el RGPD"

    Seguramente, a partir del 25 de mayo de 2018 escucharemos más de una vez esta frase. La mayor trampa en la que se puede caer con el RGPD es pensar que solo afecta a grandes corporaciones. Todas las empresas que recojan traten o almacenen datos personales -independientemente de su industria y tamaño- tienen que ajustar sus políticas internas al Reglamento europeo.

    Tampoco será excusa que la organización tenga su sede fuera de la Unión Europea. Siempre y cuando se procese un dato personal de un residente europeo, habrá que cumplir la nueva legislación. Solo habrá dos excepciones:
    • Las actividades personales y domésticas recogidas en el considerando 18 del RGPD que como indica la Agencia Española de Protección de Datos (AEDP)"podrían incluir la correspondencia y la llevanza de un repertorio de direcciones, o la actividad en redes sociales y en línea realizada en el contexto de dichas actividades".
    • Los requisitos del Reglamento General serán más flexibles para empresas con menos de 250 empleados.

    "No siempre se necesita el consentimiento"

    El consentimiento es uno de los seis motivos legales para procesar datos personales. Sin embargo, es uno de los puntos más controvertidos del RGPD para las empresas debido a la dificultad de conseguirlo.

    La dificultad radica en que el consentimiento tiene que ser libre y explícito mediante una clara acción positiva, por tanto, las casillas premarcadas ya no se consideran válidas. Si el consentimiento se recoge para diferentes finalidades, éstas tienen que estar detalladas y explicadas de forma clara y concisa.

    Es obligatorio registrar lo que el interesado ha consentido, de qué forma lo ha hecho y contar con los mecanismos de actuación adecuados por si el usuario decide retirar el consentimiento.

    El RGPD diferencia entre el consentimiento general y el consentimiento explícito. Este último será necesario cuando las organizaciones tengan que legitimar el uso de datos sensibles, en la toma de decisiones automatizada, en los usos relacionados con marketing directo y en transferencias internacionales.

    "¿Actúo como controlador o procesador de datos?"

    En primer lugar, deben establecerse las diferencias entre estas figuras, así como sus responsabilidades. Un controlador de datos es datos es aquella persona, autoridad pública, agencia u organismo que determina el propósito del tratamiento de datos personales. El procesador es una entidad que procesa los datos personales en nombre del controlador.

    Generalmente, la organización actúa como controlador y el proveedor como procesador. Sin embargo, en ocasiones la empresa también puede ser el procesador de datos. En cualquier caso, el controlador debe determinar el propósito por el que se recogen los datos personales y establecer cómo hacerlo mientras que el procesador tiene que llevarlo a cabo.

    Seis razones legales para procesar datos

    1. La primera de ellas es el consentimiento. Hay que obtener el consentimiento del interesado para conservar sus datos, de lo que contrario no deberían ser almacenados.
    2. Cuando exista un contrato con el individuo que permita al proveedor suministrar bienes y servicios, o bien para cumplir una obligación en virtud de un contrato de trabajo.
    3. Si para llevar a cabo un propósito particular el procesamiento de datos es un requisito legal.
    4. Con los intereses vitales, por ejemplo, cuando el procesamiento de datos proteja la integridad física o la vida de una persona (ya sea la del sujeto de datos o la de otro sujeto).
    5. Una tarea pública como completar funciones oficiales o tareas de interés público. Por lo general, esto incumbirá a departamentos gubernamentales, hospitales, policía y escuelas e instituciones educativas.
    6. Intereses legítimos: cuando una organización del sector privado tenga un motivo legítimo (incluido un beneficio comercial) para procesar datos personales sin consentimiento, siempre que no se vean compensados ​​por los efectos negativos sobre los derechos y libertades del individuo.
    Si te ha interesado este artículo y quieres conocer más novedades sobre el nuevo Reglamento General de Datos, IT Governance pone a tu disposición este libro verde gratuito para familiarizarte con la nueva normativa europea.

    Asimismo, si quieres obtener una visión detallada del RGPD, no dudes en comprar esta guía de bolsillo [PDF], escrita por Alan Calder, fundador y CEO de IT Governance Ltd, experto internacional en seguridad cibernética y galardonado en 2016 con el premio al CEO europeo del año por Corporate Vision Magazine.

    Fuente: Inform | ITGovernance

    0 comentarios:

    Publicar un comentario

    Gracias por dejar un comentario en Segu-Info
    Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

    Gracias por comentar!