GDPR, llega la nueva regulación en datos personales

Fernando Román

Fernando Román

Socio de Cybersecurity /Privacy
Fernando Román

Compartir:

Las sociedades están adquiriendo más consciencia sobre la importancia de sus datos personales, por ejemplo, a qué tipo empresas se los dan, cómo los procesan, con qué fines y si están bien protegidos ante un incidente de seguridad, como una filtración o un ciberataque.

La digitalización de los negocios implica mayores retos para las compañías multinacionales que manejan grandes volúmenes de información. La cuestión clave para aumentar la seguridad está en la instrumentación de políticas de protección de datos para dar cumplimiento con las leyes locales e internacionales.

La Unión Europea (UE) preparó durante cuatro años la Regulación General de Datos Personales (GDPR, por sus siglas en inglés), la cual fue aprobada por el Parlamento Europeo el 14 de abril de 2016 y entrará en vigor el 25 de mayo de este año.

Esta legislación es la más importante en materia de privacidad de datos que se ha hecho en los últimos 20 años en la Unión Europea, pues tendrá repercusiones más allá de sus fronteras, ya que aplicará a todas las empresas que recolecten y almacenen información de personas y empresas de esta comunidad.

 

Sanciones importantes

Una vez que GDPR entre en vigor, el nuevo marco regulatorio impondrá sanciones de un impacto considerable, si las organizaciones no cumplen con el reglamento. Una compañía puede hacerse acreedora a una multa de hasta 20 millones de euros o el 4% de sus ingresos globales (el monto que sea más alto). Si una empresa infringe una regla y requiere de una sanción, los estados miembro tienen la facultad de prohibir temporal o definitivamente a una empresa el procesamiento de datos y el envío de los mismos a un país fuera de la UE.

Si tenemos en cuenta que el costo promedio de un incidente de seguridad de información es de 2 millones de dólares, de acuerdo con el Global State of Information Security Survey (GSISS) 2018* de PwC, no cumplir con la nueva regulación resultará más caro.

Además del impacto financiero y regulatorio, se deben considerar las consecuencias en la reputación que puede traer no cumplir con la nueva regulación.

 

Los principales cambios

GDPR contempla que las empresas designen a un oficial de protección de datos (DPO) y realicen evaluaciones de impactos en la protección de datos, además de la implementación de mecanismos de monitoreo.

Estos son los principales cambios que introduce GDPR:

  1. Designación del DPO, que establezca y revise los controles necesarios para mantener actualizado el ciclo de vida o inventario de datos personales de ciudadanos de la Unión Europea.
  2. Implementación de medidas de seguridad internas y externas para garantizar la protección de los datos, considerando técnicas como cifrado, anonimización y/o pseudonimización de datos.
  3. Definición de mecanismos para la atención derechos ARCOP, con la finalidad de responder a titulares que deseen acceder, borrar, corregir, oponerse al procesamiento de sus datos o solicitar la portabilidad de los mismos.
  4. Definición e implementación de mecanismos de monitoreo y atención a brechas de privacidad, así como la comunicación oportuna de las mismas.
  5. Revisiones contractuales con terceras partes y evaluaciones de impactos considerando la protección de los datos, mencionados en el reglamento como Privacy Impact Assessment (PIA) y Data Protection Impact Assessment (DPIA).
  6. Revisión y tratamiento de datos personales de niños menores, considerando que el consentimiento de las actividades relacionados con dichos datos es otorgado por el tutor del menor.

Además, las empresas deben obtener el consentimiento expreso de los usuarios para recolectar, almacenar y manejar sus datos personales. Esto significa que sus políticas de términos y condiciones deberán presentarse de una forma más accesible, en un lenguaje claro y sencillo y con un menor uso de jergas legales. Además, retirar el consentimiento deberá ser tan fácil como darlo.

GDPR garantiza el derecho de los usuarios a saber cómo se están procesando sus datos, en dónde y con qué fin. También contempla el “derecho al olvido”, que obliga a las empresas a borrar los datos personales de quien lo solicite e impida que terceros los sigan procesando.

En el siguiente artículo comentaremos cómo las empresas en México se verán impactadas por GDPR y lo que deben tomar en cuenta para su cumplimiento.

Agregar un comentario: