En Diciembre del 2015, la comisión Europea llegó a un acuerdo muy importante sobre la reforma del Reglamento General de Protección de Datos (RGPD, conocido también por sus siglas en inglés GDPR). Está nueva ley entró oficialmente en vigor a partir del 25 de Mayo del 2018 y ahora aplica a nivel global a toda organización e individuo que gestiona datos personales de los ciudadanos de la Unión Europea (UE).
¿De qué se trata el RGPD?
En esencia, esta nueva ley fue diseñada para dar a los ciudadanos de la UE más control sobre sus datos personales. El objetivo es simplificar el entorno normativo para las empresas. De tal manera, tanto los ciudadanos como las empresas de la UE pueden beneficiarse plenamente de la economía digital. No es un misterio que gracias a la velocidad con la que está evolucionando esta era digital, la mayoría de nuestros datos personales son cada vez más almacenados por las plataformas de las redes sociales, bancos, gobiernos y otras organizaciones; por ende, el tema de privacidad en línea ha traído consigo preocupaciones para los ciudadanos las cuales son cada vez más desafiantes de abordar.
Más sin embargo, la UE decidió tomar medidas más estrictas sobre dicho asunto como respuesta a los recientes escándalos relacionados con robos de datos y a los dos tercios de europeos que están preocupados por la forma en que se manejan sus datos personales, sintiendo que no tienen control sobre la información que someten en línea. Como consecuencia, la Unión Europea implementó un conjunto de reglas y obligaciones relacionadas con la privacidad, datos personales y el derecho de sus ciudadanos de dar su consentimiento a terceros para hacer uso de dichos datos. Basado en la declaración de Andrus Ansip, vicepresidente de Mercado Único Digital, la UE tiene una visión muy definida sobre las bases de ésta nueva ley: “Las reglas estrictas de protección de datos son la base para el funcionamiento de un mercado digital unificado y para que la economía en línea prospere”.
¿Qué rige el RGPD?
Las infracciones de datos son inevitables. En muchas ocasiones, la información se pierde, se la roban o cae en manos del usuario equivocado- quien desafortunadamente puede que no tenga las mejores intenciones al tener acceso a dicha información. Bajo los términos de GDPR, no solo las organizaciones tendrán que garantizar que los datos personales sean recolectados legalmente y en condiciones estrictas, sino que también quienes los recolecten y administren estarán obligados a protegerlos del uso indebido y la explotación, así como también respetar los derechos de los propietarios de dichos datos- o de lo contrario enfrentar sanciones que estarán clasificadas en diferentes criterios según la gravedad del incumplimiento.
¿A quién aplica el RGPD?
El RGPD se aplica a cualquier organización que opere dentro de la UE, así como a cualquier organización fuera de la UE que ofrezca bienes o servicios a clientes o empresas de la UE. Esto significa que todas las corporaciones a las que les aplica dicha normativa ya deben estar adecuadas para poner en práctica su estrategia de cumplimiento de RGPD.
Hay dos tipos diferentes de responsabilidades en cuanto al tratamiento de los datos a los que aplica esta legislación: los procesadores y los controladores. Las definiciones de cada uno se establecen en el artículo 4 del Reglamento General de Protección de Datos.
La oficina de comisionados de información del Reino Unido- responsable de registrar los controladores de datos y de tomar medidas sobre protección de datos, inquietudes y mal manejo de los mismos- resalta que si estas en la posición de procesador y eres responsable de una infracción, tendrás una responsabilidad legal significativamente mayor.
En última instancia, RGPD impone obligaciones legales a un procesador para mantener registros de los datos personales y la forma en que se procesa, proporcionando un nivel mucho más alto de responsabilidad legal en caso de que se viole la organización.
A su vez, los controladores también se verán obligados a garantizar que todos los contratos con los procesadores cumplan con la ley de RGPD.
¿Qué significa el RGPD para las empresas?
RGPD establece una ley en todo el continente y un único conjunto de reglas que se aplica a las empresas que realizan negocios dentro de la Unión Europea. Esto significa que el alcance de la legislación se extiende más allá de las fronteras de Europa, puesto que las organizaciones internacionales con sede fuera de la región, pero con actividades en suelo Europeo, también tendrán que cumplir.
Según la Comisión Europea, las reglas de protección de datos ahora están incorporadas en los productos y servicios desde su etapa más temprana de desarrollo, proporcionando “protección de datos a cada diseño” para nuevos productos y tecnologías.
Esta ley promueve entre las empresas la adopción de técnicas como la “seudonimización” para que puedan beneficiarse de la recopilación y el análisis de datos personales, mientras que la privacidad de sus clientes está protegida al mismo tiempo.
¿Qué significa el RGPD para el usuario?
Debido a la gran cantidad de violaciones de datos y ataques que se han producido a lo largo de los años, la desafortunada realidad para muchos es que algunos de sus datos (ya sea una dirección de correo electrónico, contraseña, número de seguro social o registros de salud confidenciales) han sido expuestos en Internet.
Uno de los principales cambios que aportará RGPD es proporcionar a los consumidores el derecho a saber cuándo se han pirateado sus datos. Las organizaciones deberán notificar a los organismos nacionales apropiados lo antes posible para garantizar que los ciudadanos de la UE puedan tomar las medidas adecuadas con el fin de evitar que se abuse de sus datos.
Aunque muchas empresas aún tienen que mejorar sus métodos de recolección de información para asegurar su debido cumplimiento con RGPD, muchas otras organizaciones tomaron acciones proactivas sobre el asunto enviando correos electrónicos a sus usuarios para obtener el consentimiento de los mismos sobre querer o no ser parte de la base de datos de estas empresas. Así pues, el cliente tiene una opción fácil y conveniente de optar si desea que su información personal sea parte de una lista de correo.
Entre sus reglas, RGPD también exige el “derecho al olvido” el cual brinda derechos y libertades adicionales a las personas que ya no quieren que sus datos personales sean procesados para que estos se eliminen siempre y cuando no haya motivos para retenerlos.
Los reguladores de RGPD no están jugando, ¡Las multas se avecinan!
Según uno de los más recientes reportajes de Reuters , el Supervisor de Protección de Datos Europeos, Giovanni Buttarelli (también conocido como “Sr. RGPD”), declaró que la primera ronda de sanciones esta prevista para tomar lugar a finales de este año 2018. En este sentido, “los reguladores tienen el poder de imponer multas de hasta el 4% de las ganancias globales o 20 mm de Euros, cualquiera que sea el valor más alto, por violaciones [a la normativa del RGPD].” Buttarelli agregó que “no solo espera que se impongan multas a los controladores de datos personales sino también amonestaciones, prohibiciones preliminares, temporales o hasta ultimátums.”
Entonces…¿quiénes están en la mira en esta primera ronda?
Una vez más, dichas multas serán aplicadas a cualquier entidad que colecte información bajo la categoría de datos personales de los ciudadanos de la Unión Europea identificada por el RGPD, ¡sin importar donde este basada la sede de estas empresas! Muchos países serán sancionados en esta primera ronda de multas, pero Buttarelli se negó a dar detalles porque las investigaciones aún siguen en curso. Más sin embargo, se ha reportado que hasta la fecha, las quejas y consultas sobre violaciones relacionadas con la protección de datos “han aumentado a un 53% en solo Francia e Italia comparado con el año pasado.”
¿RGPD solo afecta la Unión Europea o también a nivel global?
RGPD se debe entender como una normativa que protege a los ciudadanos de la Unión Europea; por ende, la privacidad en línea de los mismos también se regula bajo esta ley. En este sentido, si los ciudadanos de la Unión Europea tienen acceso a tu página web, tienda en línea, motores de búsqueda, canales de redes sociales, aplicaciones móviles, entre otros, entonces es crucial que empieces a tomar acciones que estén en línea con el debido cumplimiento de RGPD.
A pesar de que la normativa RGPD entró en vigor como la mayor reorganización de leyes de privacidad de datos en más de dos décadas – generando conmoción tanto dentro de pequeñas como grandes empresas por igual a nivel global, principalmente en las de los países miembros de la Unión Europea- esta ley juega el papel de una actualización necesaria para tratar de controlar estar al nivel de agilidad y velocidad con que la información viaja en esta era digital.
¡No te detengas aquí! Te puede interesar leer
La seguridad cibernética aplicada a tu Startup