Los avances tecnológicos tienen una desventaja: la privacidad. Cada vez que estamos en línea para revisar una cuenta, responder una encuesta, descargar un recurso, o para cualquier otra cosa, las empresas recaban nuestra información. Con más frecuencia de la que quisiéramos, estos datos llegan a otras empresas, como publicistas, grupos de analíticos de datos, etc. Quizá como usuarios de Internet no nos guste que las empresas recaben nuestra información, pero para evitarlo habría que mantenerse completamente lejos de la red (lo cual es casi imposible). ¡Es la realidad del mundo digital!
Sin embargo, el 25 de mayo de 2018 cuando entre en vigor el Reglamento General de Protección de Datos (GDPR) en la Unión Europea, el mundo dará un enorme paso para lograr la aplicación de leyes de protección de datos y de privacidad más estrictas. Esta legislación será punta de lanza para lograr que las prácticas de protección de datos tengan prioridad en la agenda de las empresas a nivel mundial, y para el establecimiento de reglas comunes de protección de datos en la Unión Europea. Aunque la ley tendrá impacto en los negocios con operaciones dentro de la Unión Europea, ninguna empresa que opere a nivel global o que recabe datos de ciudadanos europeos quedará fuera de su alcance. Su cumplimiento será obligatorio y las penas serán severas. Por ello, tarde o temprano será muy importante que las compañías empiecen a dar los pasos necesarios para prepararse para la llegada del GDPR.
El primer paso hacia el cumplimiento de la ley radica en comprenderla. Entonces, comencemos por hablar de sus puntos más importantes, porque pronto estará aquí.
El GDPR remplaza la Directiva de Protección de Datos actual
Tomó a la Unión Europea cuatro años de debate y deliberaciones intensas remplazar una legislación en vigor por dos décadas, la Directiva de Protección de Datos 95/46/EC. La legislación todavía en vigor ha abierto la puerta a la interpretación de cada país individual dentro de la UE. Por ello, cada estado miembro operando al amparo de la normativa de protección de datos y privacidad de 1995 tenía sus propias leyes de protección de datos, y el GDPR pondrá fin a eso. El Reglamento ha sido diseñado para proteger los datos personales y la privacidad de los ciudadanos de la UE para transacciones dentro de los 28 estados miembros, y normará la exportación de datos personales fuera de la UE. Estas acciones implican que todas las organizaciones que operan fuera de la UE, pero que comercializan sus productos a ciudadanos europeos, o monitorean el comportamiento de personas en la UE, estén listas para cumplir con el GDPR para finales de mayo de 2018. En otras palabras, si usted recaba o planea recabar datos de personas en Europa (independientemente de la ubicación de su empresa), deberá “implementar las medidas organizacionales y técnicas adecuadas” de cumplimiento a más tardar el 25 de mayo.
Los principales elementos del GDPR
El GDPR incluye 11 capítulos y 99 artículos en total. Especifica los principios relacionados con el procesamiento de datos personales, la legitimidad del procesamiento de los datos personales, y las condiciones de consentimiento para el procesamiento de datos personales (incluyendo el consentimiento de los niños). Asimismo, establece las condiciones para el procesamiento de categorías especiales de datos personales (datos sensibles, datos genéticos y biométricos), y el procesamiento de datos personales relativos a condenas y delitos penales. Si quiere conocer detalles sobre los temas cubiertos en cada capítulo, visite el sitio oficial del GDPR. Sin embargo, a manera de resumen útil, incluimos algunos elementos importantes de esta ley que hemos obtenido del PDF oficial del Reglamento General de Protección de Datos:
Consentimiento: El GDPR considera el consentimiento algo más cercano al consentimiento genuino. Debe darse “libremente”, y las organizaciones deberán mostrar claramente cómo y cuándo obtuvieron ese consentimiento.
Derecho a ser informado: Cuando una organización solicite datos a una persona, deberá proporcionarle claramente, y sin cargo, información sobre su identidad, detalles de contacto, propósito de la recolección de datos, cómo se usará la información, por cuánto tiempo se almacenará, y si esa información se transferirá internacionalmente.
Derecho al acceso: Da a los individuos o a los sujetos de datos la capacidad de solicitar y acceder a información de una organización en lo relativo a cómo se procesa su información. En caso de solicitud de detalles, la organización deberá ser capaz de proporcionar una copia de la información sin cargo dentro de un plazo de un mes. No obstante, la organización podrá cobrar una ‘tarifa razonable’ en caso de que la solicitud resulte infundada, excesiva o repetitiva.
Derecho a la rectificación: Si una persona solicita a una organización la corrección de información imprecisa recabada por esta última, su solicitud deberá atenderse sin demora.
Derecho a ser borrado: Si una persona retira su consentimiento, podrá pedir a la empresa que deje de usar sus datos personales y que cierre sus cuentas. Esto es una extensión al “derecho a ser olvidado” que ya existía. Si los datos no se requieren para los fines por los que fueron recabados, la empresa deberá borrarlos. Existen requisitos extra cuando la solicitud de borrado se refiera a datos personales de niños. La ley enumera condiciones con base en las que algunas organizaciones podrán conservar datos por periodos mayores. Además, el GDPR incluye excepciones para instancias en que los datos se procesen para servir al interés público.
Derecho a restringir el procesamiento: Las personas tendrán el derecho a ‘bloquear’ o suprimir el procesamiento de datos personales si consideran que son imprecisos o si se han obtenido ilícitamente. La organización está obligada a verificar la corrección de los datos o restringir su uso, según se requiera. Asimismo, la organización deberá informar a la persona una vez que se haya solventado la restricción de procesamiento.
Derecho de portabilidad de datos: Permite a una persona obtener y reutilizar sus datos personales para sus propios fines en distintos servicios. También le permite mover, copiar o transferir sus datos personales fácilmente de un ambiente de TI a otro de manera segura, sin límite de utilización.
Derecho a objetar: Si una persona solicita saber si sus datos se han procesado en beneficio del interés público o para otros intereses “legítimos”, la organización deberá demostrar motivos legítimos para el procesamiento en nombre de esos intereses. Esta sección también ofrece a las personas el derecho a restringir el procesamiento de sus datos para mercadeo directo.
Controlador y procesador: El GDPR define sus roles y responsabilidades detalladamente. Considera al controlador como el principal responsable de obtener el consentimiento para recabar y almacenar los datos de alguna persona, gestionar la revocación del consentimiento, permitir el derecho de acceso, etc. Por otra parte, el procesador podrá ser una persona física o moral, autoridad pública, dependencia u organismo que procese datos personales en nombre del controlador. Tanto el controlador como el procesador deberán llevar registros detallados de sus datos, y deberán ofrecerlos a la “autoridad de supervisión” a solicitud. El GDPR también establece las bases para las relaciones contractuales entre controladores y procesadores con el fin de garantizar el cumplimiento.
Funcionario de Protección de Datos (DPO): Es posible que en algunos casos la organización deba designar a un funcionario de Protección de Datos para asesorar al controlador o procesador, y a los empleados a cargo del procesamiento de datos sobre los requisitos del GDPR; para capacitar al personal sobre prácticas de privacidad; para vigilar el cumplimiento en las operaciones de procesamiento, y más.
Notificación de violación de datos: Las organizaciones deberán informar sobre filtraciones/violaciones de datos “que den como resultado la destrucción ilegal o accidental, pérdida, alteración, revelación no autorizada, o acceso a datos personales transmitidos, almacenados o procesados de alguna otra forma”. En caso de violación de datos personales, la empresa deberá notificar a la autoridad adecuada de vigilancia dentro de un plazo de 72 horas posteriores a que se dé cuenta de la situación.
Multas y sanciones: El GDPR ofrece a las personas mejor control sobre sus datos personales. Asimismo, impone sanciones severas a empresas que violen la normativa de privacidad de datos. De hecho, uno de los elementos más importantes y comentados del GDPR son las sanciones involucradas con incumplimientos e infracciones. Hablaremos de ellos a más detalle.
Sanciones y multas del GDPR
Son mayores que las sanciones aplicadas al día de hoy. De conformidad con el GRDP, la organización que no procese los datos personales de un individuo en forma correcta se hará acreedora a una multa. Si la empresa necesita un funcionario para Protección de Datos y no lo tiene, también se le multará. Es posible aplicar una multa en caso de violación de información. Sin embargo, los reguladores han expresado que serán más indulgentes con las empresas conscientes del GDPR, que hayan tratado de implementarlo, en comparación con aquellas que no hayan hecho esfuerzo alguno.
Cuando se establezca que una empresa ha incumplido o que esté en violación de sus prácticas de registro, seguridad, notificación de violación, y obligaciones de evaluación de impacto de privacidad se hará acreedora a una multa de €10 millones o al 2% de su facturación bruta, lo que sea mayor.
A una empresa que viole sus obligaciones con respecto a la justificación legal del procesamiento, falta de consentimiento, derechos del titular de los datos o transferencia transfronteriza de datos, se le aplicará el doble, es decir €20 millones o el 4% de su facturación bruta.
¡En otras palabras, los días en que se ignoraban las leyes locales de privacidad y se reducían al mínimo las multas han quedado atrás! Será fundamental que las empresas tomen las medidas organizacionales y técnicas necesarias para detectar, gestionar y reportar las violaciones.
¿Cómo preparar a su empresa para el GDPR?
En WSI hemos preparado una sencilla lista de verificación con doce pasos a tomar para que su organización esté lista para cumplir con el GDPR. Esta lista se ha preparado a partir de la guía de la ICO (Oficina del Comisionado de Información) llamada Cómo prepararse para el reglamento general de protección de datos.
Esta lista contribuye a dar los pasos iniciales para que la gente clave dentro de su empresa esté consciente de la nueva ley, sus características y del impacto que tendrá. Asimismo, recomendamos otros pasos que su empresa deberá considerar en lo referente a documentación adecuada de datos, revisión y actualización del procedimiento actual de recolección de datos, además de la revisión de la forma en que busca, registra y gestiona el consentimiento.
Después de la puesta en práctica, el GDPR tendrá impacto diferente en las distintas empresas y organizaciones. Es posible que algunas empresas (aunque no todas) requieran de los servicios del funcionario de Protección de Datos (DPO), cuyo papel será fundamental para las actividades continuas de protección de datos de su empresa. El DPO influirá en el proceso de toma de decisiones de la alta gerencia para ponerse en contacto con los reguladores; se encargará de la concientización adecuada sobre la privacidad dentro de la organización; vigilará el cumplimiento con GDPR y contribuirá a la mejora de la protección de datos y la privacidad.
Las empresas deberán contratar a un DPO si:
- Tienen más de 250 empleados
- Procesan o almacenan grandes cantidades de datos personales de ciudadanos de la UE
- Procesan o almacenan datos personales especiales
- Vigilan regularmente a los sujetos de datos
- Son una autoridad pública
El GDPR afectará a las organizaciones de muchas maneras, más allá de la seguridad y las políticas de datos. Las empresas a la que impacte el GDPR deberán buscar la asesoría y ayuda legales necesarias. Cuando menos deberán contar con un plan de acción claro que incluya capacitación sobre GDPR, revisión de sus flujos de datos y mecanismos de procesamiento, previsualización de sus prácticas y políticas de privacidad, de la forma en que usan los datos de terceros y más. Para comenzar a prepararse para el GDPR le invitamos a hacer clic y descargar la “Lista de verificación de 12 puntos para ayudar a su organización a prepararse para GDPR”.
Descargo de responsabilidad: Por favor considere que en este blog le damos información básica sobre el GDPR. WSI no es autoridad legal para GDPR y simplemente podemos ofrecer asesoría sobre las mejores prácticas para llevar iniciativas de marketing digital. Sin embargo, para asesoría sobre la interpretación de esta ley para su empresa póngase en contacto con el funcionario legal o de protección de datos.