Reglamento general de Protección de Datos (GDPR)

¿Cómo la GDPR impactará en su política de protección de datos?

TAKE THE COMPLIANCE CHECK DESCARGUE LA GUÍA GRATUITA

¿Cumple con la normativa GDPR?

Este sitio fue pensado para brindarle la mayor información y ayudarlo a comprender los requerimientos y reglas de la nueva normativa que comenzará a regir a partir del mes de mayo del 2018. La misma afectará a las organizaciones de Europa que manipulan datos personales de cualquier tipo.

https://encryption.eset.com/latam/wp-content/themes/twentysixteen/img/images/calendar.png

Descargue gratis la guía de GDPR

Le brindamos la siguiente guía detallada dónde encontrara información sobre cómo lo afectará la nueva regulación de la Unión Europea.

https://encryption.eset.com/latam/wp-content/uploads/sites/47/2016/08/GDPR-guia.png

Online compliance check

¿Su organización cumple con la normativa?

¿Cómo cumplir el reglamento GDPR?

Los requisitos de la GDPR son complejas, por lo que hemos dividido el proceso de cumplimiento en tres grupos de medidas que debería considerar, que a su vez se encuentran subdivididas en varias áreas con una explicación detallada.

+En resumen

Algunos de los principios que se establecen en la GDPR son una continuación de los establecidos en la Directiva de protección de datos existente, concretamente: justicia, legalidad y transparencia; limitación de la finalidad; minimización de la información; calidad de la información; seguridad, integridad y confidencialidad.

La GDPR establece un nuevo principio de responsabilidad creando controladores de la información responsables de demostrar el cumplimiento de estos principios. Asímismo, la GDPR añade nuevos aspectos a los principios de protección de la información ya existentes, concretamente:

Legalidad, justicia y transparencia – La información personal debe ser procesada ahora de forma transparente en función del tipo de información.

Limitación de propósitos – Con algunas salvedades, el almacenamiento de la información personal de interés público no se considerará incompatible con los propósitos de procesamiento originales.

Almacenamiento – La información personal debe estar guardada en una forma que permita la identificación de los sujetos de la información durante el tiempo necesario para los propósitos para los que se procesa la información personal.

Responsabilidad – El controlador de la información se convierte en el responsable, y debe ser capaz de demostrar el cumplimiento de los principios.

+Requisitos de la estructura organizativa

Bajo la GDPR, debe implementar un amplio rango de medidas para reducir el riesgo de incumplimiento de la GDPR y para demostrar también que la gestión de la información le importa seriamente. Entre las medidas de responsabilidad necesarias se encuentran: Evaluaciones del impacto de la privacidad, auditorías, revisiones de las políticas, registros de la actividad, y si es necesario, nombrar a un responsable de protección de la información (DPO).

La GDPR introduce la obligación de que ciertas organizaciones designen un Responsable de protección de la información (DPO). Estas organizaciones deben designar a un empleado o consultor externo como su DPO.

Si usted es comerciante con una gran base de datos de clientes, probablemente necesitará designar un DPO; se espera que las autoridades nacionales de protección de datos proporcionen consejo sobre quién cumple los requisitos.

Su DPO será responsable de monitorear el cumplimiento de la GDPR, informándole de sus obligaciones y sobre cuándo y cómo debería llevarse a cabo una evaluación del impacto de la privacidad, y ser el punto de contacto para las solicitudes de las autoridades nacionales de protección de datos y particulares.

El concepto de punto centralizado permite a una empresa establecida en varios países de la Unión Europea tratar solo con una autoridad nacional de protección de datos DPA ,aunque las reglas para determinar cuál debería adoptar este papel, y cómo deberían gestionar las quejas, son complejas en algunos casos.

+Procesos, procedimientos y políticas

La GDPR redefine una violación de datos como “una violación de la seguridad que lleva a la destrucción, pérdida, alteración, revelación no autorizada de, o el acceso a, información personal transmitida, almacenada o procesada ya sea de forma accidental o ilegal”.

Esta es una definición más amplia que la anterior y no toma en consideración si la violación crea algún daño al individuo. Si sufre una violación de la seguridad de la información, debe informar a la autoridad nacional de protección de datos como máximo 72 horas después de descubrir la violación de datos.

Sin embargo, estás exento de notificar a las personas si has tomado medidas técnicas y organizativas apropiadas para proteger la información personal, tales como el cifrado.

Una parte importante del cumplimiento de la GDPR es la privacidad por diseño, esto es diseñar cada nuevo proceso o producto con los requisitos de privacidad como aspecto central. Este enfoque, que anteriormente consistía en una buena práctica, es ahora un requisito explícito.

La evaluación del impacto de protección de datos, también conocida como evaluación del impacto de la privacidad (PIA), está pensada para identificar y minimizar los riesgos de incumplimiento.

La GDPR convierte los PIAs en un requisito formal; específicamente los controladores deben garantizar que se ha ejecutado un PIA, antes del inicio de cualquier actividad de procesamiento de “alto riesgo”.

Si opera a nivel internacional, sus reglas y procesos para la transferencia de datos personales a jurisdicciones externas a la UE tendrán una consideración relevante, puesto que las penas por la no adecuación o la transferencia de datos a jurisdicciones no reconocidas (por la Comisión europea) por tener un reglamento de protección de datos adecuada, pasarán a ser mucho más rigurosas después de la entrada en vigor de la GDPR.

+Conocimiento de la seguridad de la información

Ahora es el momento de empezar a explicar la necesidad del cumplimiento de la GDPR a sus propios colaboradores. Tal vez necesite empezar a planificar procedimientos revisados para afrontar las nuevas cláusulas sobre los derechos individuales y de transparencia de la GDPR. Esto podría tener consecuencias importantes a nivel financiero, técnico y de formación.

+Responsabilidad - Medidas técnicas

La GDPR hace que los controladores sean responsables de demostrar el cumplimiento con sus principios de protección de datos, por lo que necesitará asegurarse de que tengan las políticas claras para demostrar que cumple con los estándares necesarios desde el principio, monitoreando, revisando y evaluando con regularidad sus procedimientos de procesamiento de datos y garantizando que sus colaboradores están capacitados. Debe ser capaz de demostrar esto en todo momento, cuando lo solicite la autoridad nacional de protección de datos (DPA).

+Violación de la información - medidas técnicas

Debe prepararse para una eventual violación de información (definidas como “una violación de la seguridad que lleva a la destrucción, pérdida, alteración, revelación no autorizada de, o el acceso a, información personal transmitida, almacenada o procesada ya sea de forma accidental o ilegal”) implementando políticas claras y procedimientos demostrados con el fin de garantizar que puede reaccionar y notificar cualquier violación de información cuando sea necesario.

La no notificación de una violación de información cuando es necesaria podría traer como consecuencias una multa, además de la multa por la violación de información en sí misma.

+Garantizar los derechos del sujeto de la información - técnicamente

La GDPR refuerza los derechos de los sujetos de la información , por ejemplo añadiendo el derecho a solicitar información sobre los datos que están siendo procesados de sí mismos, el acceso a los datos en ciertas circunstancias, y la rectificación de la información errónea.

Uno de los objetivos principales de la GDPR es reforzar los derechos de los individuos. Como consecuencia, las reglas para tratar las peticiones de acceso de los sujetos cambiarán, y necesitará actualizar sus procedimientos para reflejar esto.

En la mayoría de casos no podrá cobrar por atender una solicitud y normalmente tendrá un máximo de 40 días para resolverla.

El derecho al olvido (“borrado” en la terminología de la GDPR) permite a los individuos solicitar a sus controladores de datos borrar sus datos personales sin demora injustificada en ciertas situaciones, por ejemplo donde exista un problema con la legalidad subyacente del procesamiento, o donde retiren el consentimiento.

Las terceras partes con las que comparte los datos de los individuos también están cubiertas por estas reglas.

La GDPR define la evaluación de perfiles como “cualquier forma de procesamiento automático de información personal que consiste en el uso de datos personales para evaluar ciertos aspectos personales relacionados con una persona física, en particular para analizar o predecir ciertos aspectos relativos al comportamiento de esa persona física en el trabajo, situaciones económicas, salud, preferencias personales, intereses, fiabilidad, comportamiento, ubicación o movimiento”; sin embargo, existe ambigüedad acerca de cómo se aplicará el derecho de los sujetos de la información al no estar sujetos a decisiones basadas en la evaluación de perfiles.

La GDPR introduce un nuevo derecho a la portabilidad de los datos, que va más allá del derecho de los individuos a solicitar que proporcione sus datos en un soporte electrónico común y requiere que el controlador proporcione la información de forma estructurada, en un formato usado comúnmente y que sea legible por ordenadores.

Existen algunos límites a esta regla, por ejemplo solo se aplica a datos personales procesados por medios automáticos.

Como parte del objetivo de reforzar los derechos de los individuos, la Comisión Europea también está otorgando un derecho a restringir cierto procesamiento y un derecho a objetar que los datos personales sean analizados y procesados para fines de marketing directo.

Cuando un individuo objeta, sus datos no deben ser procesados para marketing directo nunca más y la información de contacto del individuo debería añadirse a un archivo de supresión interno.

Las organizaciones deben informar a las personas de su derecho a objetar el procesamiento de sus datos de forma explícita y separada de cualquier otra información que puedan proporcionarles.

+Comunicar la información de privacidad (consentimiento, avisos de procesamiento justo)

Tal vez necesite revisar cómo busca, obtiene y guarda el consentimiento; el consentimiento de un sujeto de la información a procesar su información personal debe ser tan fácil de retirar como de otorgar, y debe ser también una indicación positiva de que la conformidad a que la información personal sea procesada no puede ser inferida mediante silencio, casillas premarcadas o inactividad.

La GDPR concede especial protección cuando se trata de la gestión de información personal de niños, especialmente en relación a servicios de Internet como redes sociales.

En Internet, se requiere el consentimiento previo de los padres para el uso de los datos personales de cualquier persona menor de 13 años. Los Estados Miembros pueden establecer sus propias reglas para aquellos con edades comprendidas entre 13 y 15 años. Si eligen no hacerlo, se requiere consentimiento de los padres para los menores de 16 años.

Como resultado, debería empezar a pensar cómo implementar sistemas robustos para comprobar la edad de los individuos y para recopilar el consentimiento de los padres o tutores para procesar esa información.

El consentimiento debe ser verificable, y cuando se recopila la información de los menores el aviso de privacidad debe estar redactado en un lenguaje que ellos puedan entender.

La GDPR incrementará probablemente el rango de aspectos que debe contar a los sujetos de la información , por ejemplo u base legal para procesar sus datos, sus periodos de retención de sus datos y su derecho a emitir una queja a su autoridad nacional de protección de datos si creen que existe algún problema con la forma en la que se están tratando sus datos; ten en cuenta que la GDPR requiere que esta información sea proporcionada en un lenguaje claro y conciso.

+Seguridad de los datos (integridad y confidencialidad)

La GDPR establece principios de seguridad de los datos parecidos a aquéllos de la directiva actual, entre ellos: justicia, legalidad y transparencia; limitación de la finalidad; minimización de la información; calidad de la información; seguridad, integridad y confidencialidad.

Debe garantizar que los datos personales sean procesados de forma que garantice su seguridad, incluyendo la protección contra el procesamiento no autorizado o ilegal, y contra su pérdida accidental, destrucción o daño: “La organización y cualquier proveedor de servicios subcontratados implementará las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde al riesgo”.

El reglamento sugiere un número de medidas de seguridad que pueden ser utilizadas para lograr la protección de datos, que incluyen: pseudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resilencia continua de sistemas y servicios para procesar datos personales; la capacidad de restaurar la disponibilidad de y el acceso a datos personales en un tiempo razonable en caso de incidencia física o técnica; y un proceso para probar, calificar y evaluar regularmente la efectividad de las medidas técnicas y organizativas para garantizar la seguridad del procesamiento de los datos personales.

La GDPR especifica el cifrado como una medida que puede contribuir a garantizar el cumplimiento de algunas de estas obligaciones. Citando textualmente el reglamento:

Artículo 32 – Seguridad del procesamiento

1.   Teniendo en cuenta el estado actual, los costes de implementación y la naturaleza, alcance, contexto y propósitos del procesamiento así como el riesgo de probabilidad variable y la severidad de los derechos y libertades de las personas físicas, el controlador y el procesador

implementarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad acorde al riesgo, incluyendo entre otros como apropiados: (a) la seudonimización y el cifrado de datos personales […]”

Artículo 34 – Comunicación de una violación de datos al sujeto de la información

“3. La comunicación al sujeto de la información a la que se hace referencia en el párrafo 1 no será necesaria si se cumple alguna de las siguientes condiciones: (a) controlador ha implementado las medidas técnicas y organizativas de protección apropiadas, y esas medidas fueron aplicadas a los datos personales afectados por la violación de datos personales, especialmente aquellos que dejan los datos personales ininteligibles a cualquier persona no autorizada a acceder a ellos, como el cifrado […]”

+Documentación de los datos, base legal y auditoría

Debería documentar qué datos personales guarda, de dónde provienen y con quién los comparte.
Si tiene datos personales incorrectos y los ha compartido con otras organizaciones, la GDPR requiere que informe a la otra organización de la incorrección para que puedan corregir sus propios registros. Para ello esto puede requerir una auditoría de información en toda su organización o en zonas particulares dentro de ella. Esto también lo ayudará a cumplir con el principio de responsabilidad de la GDPR.

Bajo la GDPR, debería examinar cómo procesa datos personales e identificar la base legal que lleva a cabo y cómo documenta estos procesos.
Esto es necesario porque algunos derechos de los individuos serán modificados por la GDPR dependiendo de su base legal para procesar sus datos personales. Un ejemplo es que los individuos tendrán un derecho más fuerte a eliminar sus datos donde utilice consentimiento como su base legal para procesarlos. Sin embargo, el consentimiento es solo una de las diferentes formas de legitimar la actividad de procesamiento y puede que no sea la mejor (como puede deducirse).

La información presentada en esta página web no constituye ninguna opinión legal, y los usuarios no deberían confiar en su precisión a la hora de tomar decisiones financieras o empresariales. ESET no será responsable de los resultados que pudieran producirse de tales acciones. Busca siempre asesoramiento legal independiente.

Regístrese a nuestro webinario sobre GDPR

A través de un seminario online y gratuito, nuestros expertos lo ayudarán a comprender cómo la nueva normativa podría afectar a su negocio.

Cerca del 80% de las compañías no están preparadas para la GDPR

Una nueva encuesta realizada por la consultora independiente IDC descubrió que la mayoría de las PYMEs europeas no están preparadas para el GDPR. IDC encuestó a profesionales de TI en más de 700 empresas. Encontró que la comprensión de la nueva regulación sigue siendo baja.

.

Comprenden el impacto de la GDPR

25% nada | 52% limitado | 22% en su totalidad

We use cookies to ensure you get the best experience on our website. More info.

OK