Blog

Tecnous / TECNOUS  / 

Que es GDPR y porque debemos tenerlo en cuenta

GDPR (General Data Protection Regulation) “es el cambio más importante en regulación de privacidad de datos en 20 años – estamos aquí para asegurarnos que estés preparado” [1]

¿Preparados para qué? ¿Cómo y cuándo?

La GDPR, es una regulación (EU – 2016/679) mediante la cual instituciones de la Unión Europea (UE), tienen la intención de fortalecer y unificar la protección de datos para todas las personas dentro de la UE.

También se ocupa de la exportación de datos personales fuera de la UE. Los principales objetivos del GDPR son dar control a los ciudadanos y residentes sobre sus datos personales y simplificar el marco regulatorio de los negocios internacionales mediante la unificación de la normativa dentro de la UE. Cuando el GDPR se haga efectivo, sustituirá a la Directiva sobre protección de datos vigente desde 1995.
El Reglamento fue adoptado el 27 de abril de 2016 y se aplicará a partir del 25 de mayo de 2018 y, a diferencia de una directiva, no exige que los gobiernos nacionales aprueben una legislación habilitante.

¿A qué organizaciones alcanza la GDPR?

La GDPR no solo aplica a organizaciones ubicadas dentro de la UE sino también a aquellas que estén fuera de la UE, si éstas ofrecen bienes o servicios a personas afectadas a la UE. Aplica a todas las compañías que procesen y retengan datos personales de personas residentes en la Unión Europea, independientemente de la locación física y jurídica de la compañía.

¿Cuáles son las penalidades por incumplimiento?

Las organizaciones que no se ajusten a la normativa, pueden ser penalizadas con multas de hasta el 4% de la facturación global anual, o € 20 millones. Los motivos de multa pueden ser por ejemplo: no tener suficiente consentimiento del cliente para procesar datos, violar los conceptos básicos de privacidad, no tener sus registros en orden, no notificar a la autoridad supervisora y al interesado acerca de una infracción o no llevar a cabo una evaluación de impacto, entre otras. Es importante señalar que estas reglas se aplican tanto a los controladores como a los procesadores – lo que significa que las “nubes” no estarán exentas de la aplicación de GDPR.

¿Que se consideran datos personales? ¿Aplica a los datos y procesos actuales?

Datos personales se considera a cualquier información relacionada a una persona física, que pueda ser utilizada directa o indirectamente para identificar a dicha persona. Pueden ser datos como: nombre, foto, dirección de e-mail, detalles bancarios, publicaciones en redes sociales, información médica y hasta la dirección IP.

Aunque una gran parte de la legislación de GDPR se refiere a cómo recopila y usa la información, también hay una parte que describe lo que debe hacer si tiene una violación de datos. Las organizaciones que no puedan encontrar las respuestas a “quién”, “qué”, “dónde”, “cuándo”, dentro de las 72 horas de haber tomado conocimiento que ha tenido un problema de seguridad y omitan notificación a las autoridades pertinentes, estará en serios problemas[2]. Los procesos actuales deben ser reevaluados y modificados para cumplimentar la regulación GDPR. Las organizaciones deberán ser capaces de proteger y mostrar los procesos que permitan entender lo que ocurrió durante una violación de datos y cumplir con los requisitos para los datos nuevos y existentes. Conclusión Como conclusión podemos imaginar un ejemplo cotidiano.

Un ciudadano de la UE se encuentra de viaje en algún país no perteneciente a la UE. Por alguna razón, decide tomar su teléfono móvil, acceder a un portal de compras online y realizar una transacción con su tarjeta de crédito. Podemos notar, que al menos las siguientes compañías, de diferentes rubros, están involucradas en la operación:

• Telefonía móvil
• Tarjeta de Crédito
• Banco
• Portal de compras

Dichas organizaciones participan de la operación y utilizan (procesan y almacenan) datos personales. Por esto, deberán revisar y/o adaptar sus procedimientos actuales para cumplimentar con la GDPR. La cuenta regresiva ya comenzó.
Contáctenos a info@tecnous.com para recibir más información y asesoramiento.

Ing. Horacio G. Arrigo Product Manager TECNOUS S.A.
Referencias
[1] www.eugdpr.org
[2] http://blog.viavisolutions.com/2017/05/25/dispelling-three-myths-about-gdpr

Post Tags:

No Comments

Comentar