La GDPR, (por sus siglas en inglés General Data Protection Regulation) o Reglamento General de Protección de Datos (2016/679), es una actualización unificadora de la legislación de la Unión Europea que se aplica directamente al procesamiento de todos los datos personales en la U.E. desde el 25 de mayo de 2018. Antes de esa fecha, la ley de privacidad en la U.E. se ha regido por las leyes de los estados miembros aprobadas por la directiva de privacidad de la U.E. (95/46 / CE).

Probablemente, hayas escuchado bastante sobre la GDPR y que las violaciones de dicha ley pueden acarrear enormes multas que pueden afectar incluso a los conglomerados multinacionales, aplicándose el procesamiento de datos incluso cuando no se produce en la unión europea. Aunque las estrictas normas sobre la administración de datos personales no son nuevas en la unión europea, la GDPR incluye diferencias significativas que están impulsando un cambio radical global en las prácticas, productos y acuerdos relacionados con el manejo de datos personales.

A continuación, hablaremos de los puntos más significativos a tener en cuenta.

Sanciones

Uno de los mayores cambios bajo la GDPR es que las organizaciones que infrinjan la GDPR pueden recibir una multa de hasta el 4% de los ingresos anuales o una multa de hasta 20 millones de euros (la que sea mayor). Esta es la multa máxima que puede imponerse para las combinaciones más graves de infracciones, por ejemplo, no tener el consentimiento suficiente del cliente para procesar sus datos, no tener un proceso de privacidad prediseñado o no informar de una violación de datos. Es importante tener en cuenta que estas reglas se aplican tanto a los controladores como a los procesadores, lo que significa que los procesadores «en la nube» no están exentos.

Alcance global

A diferencia de la directiva anterior, cuya aplicabilidad territorial era ambigua y se aplicaba al procesamiento de datos personales «en el contexto de un establecimiento», la GDPR se aplica a todo el procesamiento de datos personales en la unión europea (independientemente de la ciudadanía). Incluso cuando el procesamiento no tiene lugar en la unión europea, la GDPR se aplica a las organizaciones que tienen «establecimientos» en la unión europea, o que ofrecen bienes y servicios a las personas en la unión europea. También se aplica al monitoreo del comportamiento a las empresas que no tienen sede o establecimientos en la unión europea, pero que procesan los datos de la unión europea.

Consentimiento RGPD

El consentimiento para el procesamiento de datos personales se requiere en cualquier momento que la organización no haya decidido y registrado otra base legal para el procesamiento. Cuando se solicita el consentimiento para el procesamiento de datos, las organizaciones no pueden esconderse detrás de palabras con significados legales especiales o complejos. La solicitud de consentimiento debe darse en una forma clara, de fácil acceso, y no puede combinarse con otros asuntos, como enterrados dentro de la «letra pequeña» de otro documento en letra gris pequeña.

También debe ser tan fácil retirar el consentimiento como otorgarlo. Por ejemplo, si una aplicación proporciona una notificación de aceptación para alguna forma de procesamiento, el mecanismo para retirar ese consentimiento no debe ser enterrado en una parte inaccesible de la aplicación.

Notificación de incumplimiento

Derecho de acceso

Los sujetos de datos (las personas sobre las que se relacionan los datos personales) ahora tienen derecho a obtener confirmación del responsable del tratamiento de los datos personales que los conciernen, dónde y con qué finalidad. El controlador también deberá proporcionar una copia de dichos datos personales, sin cargo, en formato electrónico.

Derecho a «ser olvidado»

El derecho al borrado de datos facilita al sujeto de los datos solicitar al controlador para que sus datos personales sean eliminados y posiblemente haga que terceros dejen de procesarlos. El sujeto de los datos puede solicitar el borrado si ha retirado el consentimiento o si los datos ya no son relevantes para los fines para los cuales se recopilaron originalmente. «El interés público en la disponibilidad de los datos» también puede ser considerado por el controlador al evaluar tales solicitudes.

Portabilidad de datos

El interesado tiene derecho a recibir los datos personales en un «formato de uso común y legible por máquina» y puede transferir esos datos a otro controlador de datos. Este derecho solo se aplica cuando el procesamiento se ha basado en el consentimiento de una persona o para la ejecución de un contrato, y cuando el procesamiento es automático, y se limita a los datos personales que el interesado le proporcionó al controlador.

Privacidad por defecto

La privacidad por defecto consiste en ofrecer las máximas garantías de privacidad por defecto en programas o aplicaciones y en general productos o servicios que vayan a tratar datos personales, es decir, en el caso de disponer de varias configuraciones de privacidad, deberán venir marcadas por defecto aquellas que ofrezcan mayores garantías de privacidad al interesado.

La privacidad por defecto implica además:

•  La minimización de datos, es decir, se recogerán los mínimos datos posibles para que el producto o servicio sea posible y pueda cumplir su finalidad.

•  El control de accesos. Solo el personal que realmente necesite acceder a los datos para el desarrollo de sus labores profesionales tendrá acceso a dicho datos y por supuesto no se cederán a terceros si esta cesión no es necesaria, no es obligatoria o no está explícitamente informada y consentida por el interesado. Para ello se pueden aplicar técnicas de seudoanonimización.

•  Los plazos de conservación de los datos, deberán estar informados, se ceñirán a lo estrictamente necesario (extensión del tratamiento) y solo se conservarán más allá, para atender posibles responsabilidades nacidas del tratamiento en base a los plazos legales de conservación.

Conclusión

Es probable que el cumplimiento del GDPR requiera cambios en todas las organizaciones en España y la UE para que muchas empresas se aseguren de que los datos personales se procesen de acuerdo con los requisitos de GDPR. Dichos cambios pueden incluir el rediseño de sistemas que procesan datos personales, la compra de sistemas nuevos y / o la renegociación de contratos con procesadores de datos de terceros.

Por lo tanto, las empresas deben comprender que estos cambios pueden requerir una gran cantidad de tiempo para planificar e implementar. De lo contrario, podría significar que las empresas se quedan con nuevos requisitos para implementar, sin el tiempo o los recursos suficientes para hacerlo.