Fecha límite de cumplimiento de GDPR: cómo cumplir en inglés simple

Publicado: 2018-05-15
roshni jeque
Colaborador invitado

Solo piense en lo que hizo que compañías como Google, LinkedIn, Twitter y similares cambiaran sus términos y políticas de privacidad uno tras otro. Ya debes haber notado las notificaciones.

Sí, Facebook ya está en el centro de atención por las discrepancias en los datos de los usuarios. Pero mira lo que está pasando con todas las políticas de cookies. Las empresas están actualizando sus términos rápidamente.

¿Qué está desencadenando este frenesí? Por supuesto, esto está sucediendo debido a una ley que ha logrado agitar el mundo de los negocios: GDPR.

La ley GDPR de la Unión Europea entra en vigencia a partir del 25 de mayo de 2018. Esto ha estado en las noticias desde su inicio y adopción por el Parlamento de la UE en abril de 2016.

La Ley afectará a las empresas que gestionen una gran cantidad de datos. Esto se aplica a todos los datos de los ciudadanos de la UE, independientemente de su ubicación.

¿Qué es el RGPD y por qué se implementa?

En términos simples, como alguien que reside en la UE, mis datos están protegidos por GDPR.

GDPR significa Reglamento General de Protección de Datos. Sustituye a la antigua y obsoleta Directiva de Protección de Datos de 1995. GDPR es más relevante hoy en día, ya que muchas cosas han cambiado en un período de dos décadas.

Los rápidos avances tecnológicos y el procesamiento/uso de datos por parte de las empresas han llevado a darse cuenta de la necesidad de una ley como GDPR.

Este nuevo reglamento entra en vigor para devolver el control de los datos personales a los ciudadanos de la UE. Se pone en marcha para controlar la capacidad de una empresa para explotar los datos personales del público. GDPR se implementa para otorgar a los ciudadanos sus derechos digitales .

Esta ley no requiere que los gobiernos nacionales aprueben ninguna legislación sancionadora. Esto significa que es naturalmente aplicable a cualquier persona, organización o empresa que trate con datos de ciudadanos de la UE.

Esta ley se aplica a su negocio independientemente de si su empresa opera a nivel de empresa a empresa o de empresa a consumidor.

¿Cómo afectará el RGPD a su negocio?

Sobre el efecto que ha tenido la ola de GDPR, hay buenas y malas noticias. Veamos por qué.

Algunos propietarios de pequeñas empresas están entrando en pánico y se quejan de la repentina sobrecarga de trabajo. Russel Xiam, propietario de una empresa de soporte de productos, dice que hay mucho por hacer para migrar a plataformas de software compatibles con GDPR.

Planificar para GDPR es equivalente a revisar sus opciones comerciales. –Russel Xiam

Esto implica que las pequeñas empresas son las más afectadas.

John Higham, propietario de Azybao, una empresa de gestión de proyectos, dijo que las personas se niegan a hacer negocios con empresas europeas porque temen quedar atrapadas en el aprieto.

Isabelle Trijt, responsable de recursos humanos de Alemania, dice:

Tuve que modificar/cambiar/eliminar las políticas de incorporación de empleados y nuevas contrataciones para permanecer dentro del círculo que cumple con el RGPD. También tuve que asumir la responsabilidad de eliminar todos los registros antiguos que contenían datos de los entrevistados anteriores.

Para agregar a esto, el propietario de un negocio en Bruselas migró a MailChimp desde Convertkit porque Convertkit no ofrecía una opción de casilla de verificación que permitiera al usuario "elegir" los datos. Esto implica que los empresarios están abandonando proveedores de servicios de correo electrónico que no dan más control al usuario, aunque Convertkit actualizó su funcionamiento a partir de hoy.

Esto tiene sentido porque usted, como empresa, no debe correr peligro debido a las reglas que no siguió su proveedor de servicios de correo electrónico. Después de todo, el respondedor de correo electrónico puede tener políticas que no se hacen responsables de las pérdidas causadas a su negocio, ¿verdad?

Aunque es raro que surja tal escenario, aún será responsable por no cumplir con las leyes, ya que es sulista de correo.

Por otro lado, Sidney Burks, CTO y cofundador de Ivizone de Francia dice:

Las nuevas políticas no han tenido un gran efecto en nuestro negocio. Esto podría deberse en gran parte al hecho de que la ley francesa ya tenía requisitos bastante estrictos en cuanto a la protección de datos y la privacidad. El RGPD nos obligó a tomar la privacidad de los datos como parte central de nuestros productos y a pensar en ella desde cero; sin embargo, a medida que desarrollamos una nueva versión de nuestro producto, pudimos hacerlo de manera limpia y eficiente.

Sidney también agrega que GDPR ha obligado a las empresas a poner en orden sus casas de datos. Ahora agregaron políticas adicionales para eliminar datos obsoletos e innecesarios y reforzaron sus políticas internas de seguridad en torno al almacenamiento y acceso a datos. Esto significa que proporcionan un mayor nivel de seguridad de datos a sus clientes.

Por lo tanto, si su empresa u organización maneja y procesa datos de usuario, debe preocuparse por la seguridad de sus datos de usuario. Estás obligado a cumplir con el RGPD en este caso. Si su negocio no cumple con la ley GDPR, puede enfrentar fuertes sanciones.

La sanción más alta por la desviación más grave le costará el 4 % de su facturación global o 20 millones de euros, lo que sea mayor (más información sobre las sanciones en secciones posteriores).

¿La Ley GDPR se aplica a ____?

Hay una gran confusión sobre a quién se aplica la ley. Hay pocas fuentes que hablan de ciudadanos de la UE y hay otras que hablan de residentes de la UE.

La confusión surge cuando las personas con derechos de GDPR se denominan "sujetos de datos". Pero, ¿quiénes son estos sujetos de datos?

Titulares de los datos, ¿quiénes son?

¿Se aplica el RGPD a todos los datos de los ciudadanos de la UE?

¿O solo se aplica a las personas que residen en la UE?

El sujeto de los datos se define como una persona física cuyos datos personales son procesados ​​por un controlador o procesador. El controlador o procesador podría ser una empresa o una entidad empleada por la empresa que especifica el embudo de procesamiento de datos.

El término "sujetos de datos" no tiene una definición específica. De hecho, es una connotación. GDPR requiere que las empresas protejan la privacidad y la información personal de los ciudadanos de la UE en cualquier transacción que ocurra dentro de los estados miembros de la UE. Según Cyber ​​Counsel, cualquier persona presente en los estados miembros de la UE en un momento dado se convierte en un sujeto de datos.

¿Cuáles son los tipos de datos que están sujetos a escrutinio?

El RGPD considera que todos y cada uno de los datos personales relativos a una persona física pertenecen a esa persona. El tipo de datos puede incluir:

  • Información digital
  • Información biométrica
  • Datos genéticos
  • Datos encriptados
  • Información personal

Los derechos de un interesado:

1. De acuerdo con el RGPD de la UE, puede optar por ser un interesado o no. Lo que significa es que puede negarse a que se procesen sus datos y, al hacerlo, estará ejerciendo su derecho a no ser un interesado.
2. Si elige ser un interesado, tiene derecho a ser informado sobre sus datos. Usted tiene los derechos de buscar todo el procesamiento de información que involucre su información personal.

3. También se le otorga pleno poder y autoridad para cambiar sus datos personales o retirar sus datos en cualquier momento. Esta es la razón principal por la que las empresas deben proporcionar opciones de casillas de verificación (discutidas en la sección anterior) para dar al usuario más libertad y poder para obtener su consentimiento.

4. Un interesado también puede oponerse al procesamiento de cualquiera o todos sus datos si cree que los datos que se procesan son inexactos o incorrectos.

5. Un interesado también puede oponerse o resistirse a la transferencia de sus datos de un proveedor de servicios a otro. Además de esto, como titular de los datos, también puede solicitar la eliminación de sus datos de los registros. Sin embargo, el interesado no puede obtener este derecho si los datos que se procesan tienen fines legales, de salud pública, de investigación, etc.

En resumen, se aplica a todos los residentes de la UE, independientemente de la ubicación de la empresa, la organización o su ciudadanía. Y, violar los derechos de los interesados ​​atrae fuertes sanciones.

¿Cuáles son los factores que determinan una sanción?

1. Infracciones pasadas : si tiene un historial de infracciones, ya sea desde el punto de vista del RGPD o de la Directiva de protección de datos previamente activa, este será un factor que determinará el monto de la multa.
2. Causa – La violación puede ser intencional y con fines lucrativos. O habría sido el resultado de un paso insignificante. En cualquier caso, el órgano decisorio fija la cuantía de la sanción en función de la causa.
3. Tipo de información - Depende de la clasificación de la información utilizada. Por ejemplo, una empresa podría haber utilizado datos genéticos o biométricos de una persona para fines comerciales. Esto puede atraer una sanción más alta que la información como los detalles del empleo. Nuevamente, la sanción se establece completamente dentro de la discreción y los límites de las leyes de la UE.
4. Soluciones y medidas : si ha tomado medidas para mitigar el daño causado a una persona o grupo de personas directamente afectadas por su negocio, esto también se convertirá en un factor decisivo.
5. Medidas preventivas : la UE ha tenido un período de transición de 2 años antes de entrar en vigencia y la aplicación total en mayo de 2018. Si su empresa ha tomado medidas para cumplir con las leyes de GDPR y, sin embargo, ha ocurrido una infracción, esto será un punto a destacar antes de que se fije la sanción.
6. Intención : si el daño a los datos fue intencional, esto podría desencadenar una sanción.
7. Cooperación y Relaciones – Si la empresa ha estado obligada a cooperar con la autoridad de control para reparar el daño y posiblemente revertir la violación, esto actúa como un positivo que puede reducir la sanción.
8. Informes – Si la infracción fue denunciada proactivamente por el propio organismo infractor o fue puesta en conocimiento por una fuente secundaria.

Tenga en cuenta que ninguno de los factores anteriores garantiza una sanción específica porque la determinación de la multa queda completamente a discreción de las leyes de la UE.

Para obtener más información, consulte los principios básicos que conducen a la aplicación de la Ley GDPR aquí .

Designación de un Delegado de Protección de Datos (DPO)

Es posible que los datos que se procesan en su empresa deban someterse a un seguimiento. Si necesita ayuda para organizar su negocio para cumplir con GDPR, el organismo de la UE recomienda buscar la consulta de expertos.

Cada uno de los Estados miembros de la UE puede designar una o más autoridades públicas independientes para ayudar a monitorear el cumplimiento de las leyes de datos.

Según el RGPD, se deben designar delegados de protección de datos si su empresa opera en los siguientes niveles:

1. Organismos que actúan como poderes públicos

2. Empresas que se ocupan de la agregación y el seguimiento de datos a gran escala

3. Empresas que se ocupan del procesamiento a gran escala de información personal crucial

5 mitos sobre el RGPD

1. Las empresas estadounidenses se ven gravemente afectadas: todas las empresas (no solo las empresas estadounidenses) con clientes de la UE deben cumplir la ley.

2. Los propietarios de pequeñas empresas no deben preocuparse por el RGPD: una empresa pequeña o grande: si maneja datos de usuarios, debe cumplir con el RGPD.

3. El consentimiento del usuario no es obligatorio si el usuario elige ingresar su información personal durante la suscripción: el consentimiento explícito del usuario en forma de casilla de verificación es obligatorio a partir del 25 de mayo de 2018.

4. Si no está haciendo negocios dentro de la UE, no debe preocuparse: si es una empresa que trata con datos de ciudadanos de la UE, independientemente de la ubicación de los ciudadanos, se aplica el RGPD.

5. Los datos del usuario son solo los datos proporcionados por los usuarios: cualquier dato recopilado, generado, modificado, transformado o adquirido en forma de cookies, el comportamiento del usuario sigue siendo información del usuario.

Conclusión

Si es una empresa con un sitio web que recopila información personal de los interesados, ahora está obligado a implementar formas que cumplan con la ley para adquirir la información del usuario. Por ejemplo, si tiene una ventana emergente o un formulario de suscripción en su sitio web, la única forma de asegurarse de obtener el consentimiento del usuario es:

  • Implementar el método de suscripción doble que agrupa solo a los miembros interesados ​​con consentimiento.
  • Dar al usuario opciones a elegir para regular sus datos.
  • Dando al usuario la opción de darse de baja.
  • Asegurarse de que todos los servicios de terceros que utiliza cumplan con el RGPD.
  • Mantener sus procedimientos de adquisición de datos bajo control.
  • Comunicar sus políticas de privacidad de manera transparente.
  • Designar un Delegado de Protección de Datos o educar y capacitar a su empresa para evitar la filtración de datos.
  • Garantizar auditorías periódicas de datos y accesibilidad.
  • Minimizar los datos que tiene y procesa.

Descargo de responsabilidad: La información anterior es únicamente para fines informativos y de referencia. No se presenta como un consejo legal. Por favor busque asesoría legal para cualquier consejo adicional.