Qué es el GDPR y cómo afecta a las empresas

Gracias al poder de la tecnología de la información, cualquier empresa que venda productos o brinde servicios a través de Internet es técnicamente un negocio global. Independientemente de si su organización es una empresa unipersonal que vende camisetas de moda o una empresa Fortune 100 que brinda soluciones sofisticadas de computación en la nube, es probable que tenga clientes en otros países. En general, esto se considera algo positivo.

Sin embargo, con esa presencia global también vienen ciertas responsabilidades, algunas de las cuales están codificadas en leyes y regulaciones con consecuencias específicas y potencialmente costosas. Por ejemplo, la Unión Europea (UE) está aplicando un nuevo conjunto de regulaciones diseñadas para proteger la seguridad de los datos y la privacidad de sus ciudadanos. La aplicación del Reglamento General de Protección de Datos (GDPR) comenzó el 25 de mayo de 2018 y se aplica a todos los ciudadanos de la UE y a cualquier entidad comercial que realice transacciones con ellos, independientemente de la ubicación de la empresa.

En pocas palabras, si tienes un cliente de un país de la UE y recopilas datos de ese cliente como resultado de una transacción comercial, estás sujeto a las normas y regulaciones del GDPR. No hay excepciones en cuanto al tamaño o alcance de la empresa, lo que significa que cualquier negocio con presencia en Internet está potencialmente sujeto a esta ley.

Esta hoja de referencia explica qué es el GDPR y cómo afecta a las empresas y su infraestructura de TI. (Nota: Este artículo sobre el GDPR está disponible como descarga gratuita en PDF).

Índice de Contenido
  1. Resumen ejecutivo
  2. ¿Qué es el GDPR?
  3. ¿Por qué es importante el GDPR?
  4. ¿A quién afecta el GDPR?
  5. ¿Cuándo entró en vigencia el GDPR?
  6. ¿Cuáles son las disposiciones clave del GDPR?
    1. Solicitud de consentimiento
    2. Notificación de violaciones
    3. Derecho de acceso
    4. Derecho de ser olvidado
    5. Portabilidad de datos
    6. Privacidad por diseño
    7. Oficiales de protección de datos
    8. Sanciones por incumplimiento del GDPR
  7. ¿Cómo puedo obtener más información sobre el GDPR?

Resumen ejecutivo

  • ¿Qué es el GDPR? El GDPR codifica y unifica las leyes de privacidad de datos en todos los países miembros de la Unión Europea.
  • ¿Por qué es importante el GDPR? Las sanciones por incumplimiento de las disposiciones del GDPR con respecto a la recopilación y el uso de datos personales pueden ser potencialmente devastadoras.
  • ¿A quién afecta el GDPR? El GDPR se aplica a cualquier empresa que recopile datos personales de un ciudadano de la UE.
  • ¿Cuáles son las disposiciones clave del GDPR? Los datos personales se definen como cualquier información relacionada con una persona natural que pueda usarse para identificarla directa o indirectamente.
  • ¿Cuándo entró en vigencia el GDPR? La aplicación del GDPR comenzó el 25 de mayo de 2018.
  • ¿Cómo puedo obtener más información sobre el GDPR? Las disposiciones del GDPR son accesibles al público desde la UE.

¿Qué es el GDPR?

El GDPR de la UE reemplaza la Directiva de Protección de Datos 95/46/CE. El GDPR codifica y unifica las leyes de privacidad de datos en todos los países miembros de la UE y se aplica a cualquier ciudadano de la Unión Europea y, lo que es más importante, a cualquier empresa que haga negocios con un ciudadano de la UE. Específicamente, la jurisdicción extendida del GDPR establece claramente que se aplica a todas las empresas que procesan los datos personales de sujetos que residen en la Unión, independientemente de la ubicación de la empresa.

Las disposiciones del GDPR para mantener seguros los datos personales de los clientes y en cuanto a la recopilación legal y el uso de esos datos por parte de las empresas son sencillas y sentido común, pero las sanciones establecidas por violaciones son significativas. Las empresas que se encuentren en violación de las disposiciones del GDPR pueden ser multadas con hasta el 4% de los ingresos globales anuales o 20 millones de euros, lo que sea mayor.

Cómo instalar certificados de autoridad de certificación (CA) en Ubuntu Server 18.04

Según el GDPR, antes de procesar cualquier dato personal, una empresa debe solicitar permiso explícito al sujeto. La solicitud debe utilizar un lenguaje claro. Las disposiciones del reglamento prohíben específicamente el uso de documentos largos llenos de tecnicismos legales, por lo que ocultar permisos dentro de un tomo llamado Términos y condiciones o Política de privacidad no es suficiente. El consentimiento debe darse con un propósito específico y debe solicitarse por separado de otros documentos y declaraciones de políticas.

¿Por qué es importante el GDPR?

Cualquier empresa que recopile datos de clientes está potencialmente sujeta a las disposiciones del GDPR y, por lo tanto, también está sujeta a las sanciones asociadas con el incumplimiento. Las sanciones por incumplimiento pueden ser graves, por lo que todas las empresas deben conocer e incorporar estrictamente el cumplimiento del GDPR en sus prácticas y procedimientos comerciales antes de que entre en vigencia su aplicación.

A partir de mayo de 2019, casi un año desde que comenzó la aplicación del GDPR, las autoridades europeas de protección de datos confirman que se han recibido casi 90,000 notificaciones separadas de violaciones de datos. Tenga en cuenta que estas son solo las notificaciones recibidas de organizaciones que intentan cumplir con el GDPR. Esas mismas autoridades de protección de datos informan que durante el mismo período se han registrado casi 145,000 quejas e investigaciones realizadas por ciudadanos preocupados.

En el primer año de aplicación del GDPR, alrededor de 100 organizaciones han pagado multas por no cumplir plenamente con la regulación. Destaca especialmente el caso de Google, que fue multado con 50 millones de euros por las autoridades francesas en enero de 2019 por recopilar datos personales de usuarios sin proporcionar un nivel adecuado de transparencia sobre cómo se utilizarían esos datos para personalizar anuncios en la plataforma.

¿A quién afecta el GDPR?

Recopilar y aceptar información personal de cualquier ciudadano de la UE invocará el GDPR, independientemente del país de origen de la empresa. En términos generales, si tu empresa tiene presencia en Internet en forma de un sitio web y si tu empresa recopila datos personales de los clientes, independientemente de dónde se encuentren esos clientes, está sujeta a las disposiciones del GDPR. Como medida de protección contra la responsabilidad, esto significa esencialmente que el GDPR se aplica a todas las empresas de cara al público.

Las multas impuestas por las autoridades europeas de protección de datos durante el primer año de aplicación del GDPR exponen dos hechos innegables: el GDPR se aplica a todas las empresas que recopilan, almacenan y procesan datos personales sensibles, y las autoridades europeas están dispuestas y pueden aplicar sus disposiciones con multas y sanciones.

Apple vs Android: Cuál protege mejor tu privacidad

¿Cuándo entró en vigencia el GDPR?

La aplicación del GDPR comenzó el 25 de mayo de 2018.

¿Cuáles son las disposiciones clave del GDPR?

El GDPR define los datos personales como cualquier información relacionada con una persona natural (sujeto de datos) que pueda usarse para identificar directa o indirectamente a esa persona. Puede ser cualquier cosa, desde un nombre, una foto, una dirección de correo electrónico, datos bancarios, publicaciones en redes sociales, información médica o incluso una dirección IP de computadora.

Bajo esta amplia definición, las empresas deben tomar medidas documentadas para limitar el acceso a todos los datos personales solo a empleados autorizados y acreditados con roles laborales que requieran específicamente acceso a esos datos. Las brechas de seguridad debido a la falta de cumplimiento de los protocolos de seguridad se enfrentarán a fuertes multas y sanciones financieras según el GDPR.

El GDPR también establece derechos específicos con respecto a los sujetos de datos. Para cumplir con el GDPR, estas derechos codificados deben ser reconocidos e implementados por todas las empresas que recopilen datos personales de ciudadanos de la UE.

Solicitud de consentimiento

El GDPR prohíbe específicamente el uso de declaraciones largas y complicadas, especialmente aquellas que contienen tecnicismos legales. Cualquier solicitud de consentimiento, declaración de términos o declaración de privacidad debe presentarse de manera clara y concisa, y sin ambigüedad de significado. Además, debe ser tan fácil retirar el consentimiento como darlo.

El GDPR también deja en claro que las empresas y organizaciones que manejan datos privados o sensibles deben solicitar consentimiento y permiso cada vez que acceden a los datos. Según las regulaciones, las empresas no pueden solicitar permiso para acceder a datos privados una vez y luego considerar que ese acceso cubre todas las transacciones futuras. Bajo el GDPR, no existe tal cosa como un consentimiento continuo; cada vez que se utiliza los datos para un nuevo propósito, se requiere una nueva solicitud de consentimiento.

Autónomo vs. automatizado: Significado y relevancia de cada uno

Notificación de violaciones

Cumplir con el GDPR requiere que las empresas notifiquen a todos los sujetos de datos que se ha producido una violación de seguridad dentro de las 72 horas posteriores a su descubrimiento inicial. El método de esta notificación incluirá tantas formas como se considere necesario para difundir la información de manera oportuna, incluyendo correo electrónico, mensaje telefónico y anuncio público.

Derecho de acceso

El GDPR requiere que las empresas proporcionen, a solicitud del sujeto de datos, confirmación de si se están procesando datos personales relacionados con ellos, dónde se están procesando y con qué propósito. Las empresas también deben poder proporcionar, de forma gratuita, una copia de los datos personales que se están procesando en un formato electrónico.

Derecho de ser olvidado

Según el GDPR, las empresas eliminarán todos los datos personales cuando así lo solicite el sujeto de datos. En ese momento, la empresa cesará la difusión adicional de los datos y detendrá todo el procesamiento. Las condiciones válidas para el borrado incluyen situaciones en las que los datos ya no sean relevantes, el propósito original se haya cumplido o simplemente la posterior retirada del consentimiento por parte del sujeto de datos.

Portabilidad de datos

El GDPR requiere que las empresas proporcionen mecanismos para que un sujeto de datos reciba cualquier dato personal previamente proporcionado en un formato de uso común y legible por máquina. Bajo esta disposición, el sujeto de datos también tiene derecho a solicitar que la empresa transmita los datos a otro responsable del procesamiento sin cargo alguno.

Privacidad por diseño

Las empresas que cumplen con el GDPR deben seguir los principios de privacidad por diseño e implementar medidas técnicas y organizativas adecuadas de manera efectiva para cumplir con los requisitos del GDPR y proteger los derechos de los sujetos de datos. En términos prácticos, esto significa que las empresas solo procesarán los datos absolutamente necesarios para completar su negocio y limitarán el acceso a los datos personales solo a aquellos empleados que necesiten la información para completar el proceso consentido por el sujeto de datos.

Oficiales de protección de datos

Las grandes empresas que deseen cumplir con el GDPR mantendrán registros exhaustivos y completos relacionados con la recopilación, el procesamiento y el almacenamiento de datos personales. Además, estas empresas designarán a un Oficial de Protección de Datos (DPO) para supervisar la aplicación del GDPR y proteger los datos personales del uso indebido, el acceso no autorizado y otras violaciones de seguridad. Si una empresa cumple con los criterios, designar a un DPO es un requisito, no una opción.

5 razones por las que necesitas usar un administrador de contraseñas

Desafortunadamente para las empresas de todo el mundo, los criterios específicos para determinar cuándo una empresa está obligada a designar a un DPO aún están en desarrollo. Una regla general, basada en los escritos de la Comisión de la UE sobre el tema, es que se requiere un DPO para cualquier empresa con más de 250 empleados o para cualquier empresa que procese datos personales de más de 5,000 sujetos de datos en cualquier período de 12 meses.

Sanciones por incumplimiento del GDPR

Las sanciones por no cumplir con las disposiciones del GDPR pueden ser graves y conllevan un riesgo significativo de responsabilidad para cualquier empresa. La multa máxima por incumplir el GDPR es del 4% de los ingresos globales anuales generados por la empresa. Se impondrá la multa máxima a las organizaciones que no hayan obtenido un consentimiento suficiente de los clientes para procesar datos o por violar el concepto de Privacidad por Diseño.

Otras violaciones se evalúan en función de diferentes niveles según la infracción. Por ejemplo, una empresa puede ser multada con un 2% por no tener sus registros en orden, por no notificar a la autoridad de supervisión y al sujeto de datos sobre una violación de seguridad de manera oportuna o por no llevar a cabo una evaluación de impacto requerida por una violación de seguridad.

¿Cómo puedo obtener más información sobre el GDPR?

Existe una versión completa del Reglamento General de Protección de Datos de la UE, con formato para facilitar su lectura, y todas las empresas que recopilan datos personales de los clientes deben familiarizarse con sus disposiciones.

Cómo protegerse del ataque Magecart y evitar el robo de información personal

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Qué es el GDPR y cómo afecta a las empresas , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.