La guía definitiva para principiantes sobre el cumplimiento del GDPR en 2019

Ya en un post anterior compartí la visión de Brian Halligan —fundador de HubSpot— sobre el cumplimiento del GDPR. Y es que así estés fuera de la Unión Europea, este tema sigue siendo muy importante este nuevo año. Así que aprovecho un excelente post del equipo de VPNGeeks, para compartir esta «guía definitiva», si al igual que yo te encuentras ajustándote a la normativa Europea.

¿Qué es el GDPR?

A estas alturas, probablemente todos hayan escuchado el término GDPR. Hasta el 25 de mayo de 2018, las pautas sobre información personal, en relación con la privacidad, eran un poco vanas. La Directiva de protección de datos (1995) proporcionó algunas pautas básicas, pero simplemente no fue lo suficientemente buena.

La supervisión y el intercambio de información ahora están cubiertos por el Reglamento General de Protección de Datos (en inglés GDPR). El objetivo es garantizar que la información se maneje de manera responsable, por parte de cualquier compañía que se ocupe de la información personal y la privacidad.

cumplimiento del GDPR
Fuente: VPNGeeks

Según la ICO, hay 7 principios clave que establece GDPR. Estos son:

  • Legalidad, equidad y transparencia
  • Limitación del propósito
  • Minimización de datos
  • Exactitud
  • Limitación del almacenamiento
  • Integridad y confidencialidad (seguridad)
  • Responsabilidad
principios del GDPR
Fuente: VPNGeeks

Los principios descritos no son reglas como tales, sino más bien un resumen de los aspectos fundamentales que deben seguirse al crear buenas prácticas de protección de datos. Si las personas o las empresas no cumplen con los principios, podrían recibir una multa de hasta 20 millones de euros, o el 4% de su facturación anual mundial (la que sea mayor).

¿Qué ocurrió antes del GDPR?

El GDPR se aplica en toda Europa, y cada país tiene su propio control sobre ciertos aspectos del reglamento. El Reino Unido ha implementado la Ley de Protección de Datos (2018) que reemplaza la Ley de Protección de Datos de 1998.

El nuevo reglamento se aprobó a través de la Cámara de los Comunes y la Cámara de los Lores poco antes de que GDPR entrara en vigor.

Impacto para las empresas

empresas y el GDPR
Fuente: VPNGeeks

Ya sea un individuo, una organización o una empresa. Es posible que se le identifique como un «controlador» o «procesador» de datos personales. La Oficina del Comisionado de Información (ICO) describe exactamente cuál es la diferencia entre los controladores y los procesadores.

Las empresas que supervisan u obtienen información personal a gran escala deben contratar a un Oficial de Protección de Datos (DPO). El rol del oficial debe garantizar que la compañía en cuestión cumpla con el GDPR. Cualquier pregunta o consulta relacionada con la protección de datos debe dirigirse a ellos.

El GDPR se aplica a las empresas que procesan datos personales de ciudadanos de la Unión Europea. Este es el caso incluso con empresas que emplean a menos de 250 empleados. Como se mencionó anteriormente, cualquier infracción que pueda afectar los derechos de los interesados ​​debe informarse a la Oficina del Comisionado de Información (ICO).

Si es posible, una infracción debe registrarse e informarse dentro de un período de 24 horas, o 72 horas como máximo. Los detalles de la infracción y cómo se va a contener y resolver deben presentarse a la ICO.

El GDPR dará a los individuos el control sobre cómo las empresas usan sus datos. Esto también se aplica a las empresas que ya tienen sus datos. Por ejemplo, los individuos tendrán el «derecho a ser olvidado». Por lo tanto, si usted es un cliente y ya no quiere que una empresa retenga sus datos personales, tiene el derecho legal de retirar dichos datos.

Lista de verificación útil para pequeñas empresas

Sin duda, el GDPR es confuso y, comprensiblemente, bastante estresante. Pensé que sería pertinente armar una lista de verificación para las pequeñas empresas —estén o no en el Reino Unido— para que sepan qué esperar y qué se espera de ellas.

La lista de verificación del GDPR para tu pequeña empresa debe considerar empleados, proveedores y clientes pasados y presentes. También debe considerar los datos de cualquier persona que esté procesando, recolectando, almacenando o registrando y utilizando por cualquier medio.

1.- Entender los datos

Deberás comprender y demostrar tu comprensión de los tipos de datos personales que tu y / o tu negocio poseen. Por ejemplo, nombres, direcciones, direcciones IP, datos bancarios, etc. Esto también incluye datos confidenciales como opiniones religiosas y detalles de salud. Deberás demostrar que comprendes de dónde provienen y cómo utilizarás dichos datos.

2.- Pensar en el consentimiento

¿Tu negocio requiere consentimiento para procesar datos personales? Algunas técnicas de mercadeo requieren consentimiento, lo que dificulta mucho las cosas bajo el GDPR. El consentimiento debe ser extremadamente claro y específico, por lo tanto, a menos que sepas al 100% lo que estás haciendo, vale la pena evitar la necesidad de confiar en el consentimiento a menos que sea crucial para tu modelo de negocio.

3.- Considerar las medidas de seguridad

Tus medidas de seguridad y políticas vigentes deben actualizarse para que sean compatibles con el GDPR. Lo que es más, si aún no tienes ninguno en su lugar, ¡deberías conseguirlo rápido! Aunque hay demandas más específicas con respecto a la seguridad, como medida general de precaución, podrías utilizar el cifrado.

4.- Derechos de acceso del sujeto

Las personas tienen derecho a acceder a sus datos personales. Deberás asegurarte de que tu empresa esté lista para proporcionar esta información en un plazo breve, si es necesario. Las personas pueden desear obtener sus datos personales para rectificar cualquier problema, simplemente para tenerlos, o pueden desear borrarlos por completo. Todas las solicitudes tienen un plazo de un mes.

5.- Capacitar a los empleados

Los empleados dentro de tu negocio deben ser entrenados en datos personales. Deberán comprender qué constituye información personal, así como los procesos para identificar cualquier violación de datos. Los empleados deben saber quién es su Oficial de Protección de Datos (DPO) y cualquier equipo o individuo relacionado o que responda por el cumplimiento de la protección de datos.

6.- La cadena de suministro

Todos los proveedores y contratistas dentro de tu empresa deben cumplir con el GDPR. Esto es para garantizar que no causen ninguna infracción y le impongan multas. Deberás asegurarte de que los contratos con tus proveedores también estén actualizados, así que asegúrate de obtener una copia de esto.

7.- Procesamiento justo

Como parte del GDPR, ahora debes poder explicar a las personas para qué estás utilizando sus datos personales. Esta no debería ser una tarea difícil o una de las que preocuparse si estás utilizando sus datos de manera justa y correcta.

8.- Oficial de Protección de Datos (DPO)

Es hora de decidir si necesitas emplear un DPO o no. Es probable que las pequeñas empresas estén exentas, pero las grandes empresas no. Vale la pena echarle un vistazo para asegurarte de que no estás infringiendo ninguna de las reglas del GDPR.

Definiendo el consentimiento

consentimiento
Fuente: VPNGeeks

Como persona, seguro estás familiarizado con casillas marcadas previamente, como cuando te registras en cuentas en línea, compras productos, boletines informativos, etc. Estas casillas a menudo estaban marcadas previamente y en cierto modo ocultas, dando a las empresas acceso a tus datos personales. Ahora, se han ido los días de ser bombardeados por correos electrónicos de marketing no deseados y llamadas telefónicas al azar.

El consentimiento se ha redefinido bajo las nuevas reglas del GDPR. Se acabaron los días de letra pequeña y mensajes ocultos en los que las personas «accidentalmente» o involuntariamente se registran para recibir correos electrónicos de marketing, textos, etc. Las políticas deben aclararse ahora y presentarse de tal manera.

Las reglas sobre los datos personales preexistentes son un poco diferentes. Es posible que no necesites el consentimiento para esto, pero debe haber una base legal que cumpla con la Ley de Protección de Datos (DPA). ¡Lo principal aquí es recordar que estas legislaciones se aplican a las empresas y a los consumidores!

Estadísticas del GDPR en 2018

  • Alrededor del 59% de las empresas (del Reino Unido) conocen las implicaciones que el GDPR tendrá sobre ellas.
  • En promedio, el 73% sintió que estaban preparados cuando se trataba de documentos y gestión de impresión.
  • Solo el 6% de las empresas (del Reino Unido) hicieron del GDPR una prioridad. Esto se compara con el 30% en Francia.
  • La CNIL (regulador francés de protección de datos) informó un aumento del 50% en la cantidad de quejas desde que el GDPR entró en vigor el 25 de mayo de 2018.

Derecho de acceso

El derecho de acceso (o sujeto a acceso) le permite a una persona el derecho a obtener sus propios datos personales. El derecho de acceso brinda a las personas la capacidad de comprender cómo se utilizan sus datos y por qué se utilizan de esa manera. Esto garantiza que sus datos se utilicen de manera legal.

Las personas tienen derecho a obtener cierta información de las empresas, que incluye:

  • Una copia de los datos personales del individuo
  • Confirmación de que los datos personales de un individuo están siendo procesados
  • Información complementaria (corresponde principalmente a la información proporcionada en un aviso de privacidad)

Un individuo, como sabemos, tiene derecho a sus propios datos personales. Sin embargo, no tienen derecho a información sobre otras personas. Por otro lado, si la información que están tratando de obtener es tanto de ellos como de otra persona, esto es aceptable.

Como individuo, se recomienda que averigües si la información que solicitas está definida como datos personales o no. Puedes verificar lo que está clasificado como datos personales (para estar seguro) aquí.

¿Soy un controlador de datos o un procesador de datos?

El GDPR se aplica a controladores y procesadores de datos, pero ¿qué significa esto realmente? Los procesadores de datos se refieren a las operaciones realizadas con los datos, por lo que cuando los datos se almacenan, recopilan, registran, comparten, etc. Los controladores de datos también son procesadores de datos, y la diferencia es que deciden cuál es el propósito o el motivo para procesar las actividades de los datos.

Procesadores de datos

Como procesador de datos, hay obligaciones legales que GDPR requiere que haga:

  • Cuidar y mantener actualizados los registros de datos personales. Esto incluye esbozar los detalles de las actividades de procesamiento y las categorías de sujetos de datos. Las categorías se refieren a clientes, empleados, proveedores y los tipos de procesamiento: transferencia, recepción, divulgación, etc.
  • Mantener los detalles de la transferencia a países que están fuera del Espacio Económico Europeo (EEE).
  • Implementar y mantener las medidas de seguridad que sean apropiadas, por ejemplo, el cifrado de datos.

Si un procesador de datos es responsable de una violación de datos, tendrá mucha más responsabilidad legal en comparación con el DPA. Las personas pueden presentar un reclamo directo contra el procesador de datos, por lo que es imperativo que entiendas tus responsabilidades como uno solo.

Controladores de datos

Como controlador de datos, usted también es un procesador de datos. Los mismos requisitos de GDPR por lo tanto se aplican. Sin embargo, las obligaciones de GDPR se imponen a usted y a su empresa para garantizar que los contratos con los procesadores cumplan con los estándares y se cumplan.

Con información de VPNGeeks.