fbpx

Que es la GDPR y como me afecta

GDPR_compliance_0.jpg

En las ultimas semanas te habrás dado cuenta que te han llegado correos electrónicos por parte de Google u otros proveedores de servicios que colectan tus datos (Dropbox, Facebook, twitter, instagram, etc..) informandote que han ajustado sus politicas de uso para cumplir con la GDPR, pero, ¿que es la GDPR?.

La General Data Protection Regulation (GDPR por sus siglas en inglés) es la nueva ley de privacidad de la unión europea (UE) aprobada en 2016 en conjunto con el parlamento europeo, el concejo de la unión europea y la comisión europea.

La GDPR va a remplazar la European Data Protection Directive que data de 1995 y que tendrá efecto hasta Mayo 25 de 2018, despues de esta fecha la GDPR tomará lugar.

la GDPR tiene como objetivo proteger a todos los miembros de la unión europea al refozar una sola ley de protección de datos. la GDPR pone lineamientos y regulaciones sobre como deben ser procesados los datos, usados, almacenados o intercambiados.

¿Me deberia preocupar?

la GDPR aplica a organizaciones que están registradas en la Unión Europea o qu etienen un establecimiento o subsidiario en la UE, pero tambien aplica a cualquier organización que vende bienes o servicios a ciudadanos en la UE y procesa o monitorea datos personales de residentes de la UE.

Entonces, aplica para empresas que:

  1. Tienen presencia en cualquier país de la EU.
  2. No tienen presencia en la UE pero procesa datos de ciudadanos de la UE.
  3. Tienen mas de 250 empleados
  4. Tienen menos de 250 empleados pero las prácticas de la organización tiene un impacto en los derechos y libertades de ciudadanos de la UE o incluye algunos datos de la información personal de estos ciudadanos.

¿Cual es la diferencia con la ley anterior?

La GDPR armoniza como los datos personales son procesados, usados, almacenados e intercambiados de forma segura entre los miembros de la UE.

Las organizaciones que caen en el radar de la UE deben demostrar la seguridad con la que procesan los datos. Tambien tendrán que implementar medidas tecnicas y organizacionales para demostrar su cumplimiento con la GDPR de forma constante.

La GDPR tiene instrucciones especificas para los tipos de seguridad que serán requeridos:

  1. El cifrado y pseudonimización de datos personales
  2. Las organizaciones deben efectuar pruebas regulares, y evaluaciones para probar la efectividad de sus politicas técnicas en la organizacion para asegurar la segurida de los datos.
  3. Provisiones para confidencialidad, integridad, disponibilidad y resilencia de sistemas de procesamiento y servicios.
  4. En el caso de un incidente fisico o técnico, las organizaciones estan a cargo de restaurar la disponibilidad y acceso de los datos personales en tiempo.

Datos personales

  1. Información de identidad básicos como nombre, correo electrónico, dirección y numeros de identificación.
  2. Datos web como ubicación, dirección IP, data en Cookies, tags RFID.
  3. Datos de salud, Geneticos y biométricos.
  4. Datos etnicos o raciales
  5. Opiniones políticas
  6. Orientación sexual

Multas o consecuencias

La GDPR podrán imponer multas hasta por 20 millones de Euros o 4% del ingreso anual mundial, lo que sea mas algo si hay un rompimiento de estos terminos.

Cuales son los derechos de los Sujetos de datos?

Notificación de fallo de seguridad

En caso de que haya una falla de seguridad  y que resulte en uso no autorizado y distribución de datos, los controladores de datos deberán notificar a los sujetos de datos acerca de este fallo en las siguientes 72 horas a partir de que se dieron cuenta.

De forma similar, los procesadores de datos deberan informar a los controladores de datos acerca de cualquier fallo que tengan en este tiempo.

Derecho de acceso

GDPR trae el acceso a los Sujetos de datos para obtener información sobre como, donde y con que propósito sus datos personales están siendo procesados.

Derecho al olvido

Tambien conocido como “Data Erasure”, el derecho de ser olvidado le permite al Sujeto de datos a solicitar que sus datos personales sean borrados de las bitácoras de los controladores de datos. EL derecho al olvido tambien le permite suspender o cesar la distribución y uso de datos por terceras partes.

Portabilidad de datos

GDPR introduce la portabilidad de datos – El derecho al Sujeto de datos de recibir sus datos personales que le conciernen, que él ha provisto previamente en un formato comunmente usado y que sea legible, y tener el derecho de transmitir estos datos a otro controlador.

Esto escencialmente significa que si quieres cambiar de proveedor, el primero te podrá dar todos tus datos en formato legible por maquina y que se puedan integrar en el nuevo proveedor.

Privacidad por diseño.

La privacidad por diseño se introduce formalmente en la GDPR para facilitar el diseño efectivo que se reforzara con las mejores ptrácticas de protección de datos. El controladore deberá implementar las medidas tecnicas y organizaciones apropiadas para cumplir con los requisitos de este derecho y proteger los derechos de los sujetos de datos.

Los controladores deberán mantener y procesar solo los datos absolutamente necesarios para completar sus tareas, tambien limitar el acceso a los datos personales a los procesadores de datos.

Oficiales de protección de datos (DPO)

Data Proteccion Officers (DPO) deberñan ser llamados para facilitar el funcionamiento de protección de datos en ciertas organizaciones.

Estas organizaciones incluyen a Controladores y Procesadores quienes su actividad principal consiste en procesaro operaciones que requieren de un monitoreo regular y sistemático de sujetos de datos, a gran escala o en categorias especiales de datos relacionados con criminales y ofenzas.

Mi negocio necesita un DPO ?

Un DPO deberá ser llamado en caso de

  1. Autoridades publicas
  2. Organizaciones que realicen monitoreo a gran escala y sistemático
  3. Organizaciones que procesen datos personales a gran escala.

Si tu organizacion no cae en estas tres categorias, no necesitas un DPO.

¿Como afectará esto a mi practicas de almacenamiento en la nube?

Si usas una nube publica, provada o hibrida hay implicaciones en la GDPR. Estas implicaciones son:

  1. En almacenamiento privado tienes control completo sobre los datos y puedes aplicar las medidas necesarias para protegerlos.
  2. Si usas una nube publica o hibrida tu proveedor de servicios deberá adecuar las medidas de seguridad en terminos de politicas y procedimientos. Asegurar que las medidas obligatorias impuestas a proveedores cumplen con el requerimiento.

gdpr-hotels-guide-1.jpg

DGPR es una nueva reforma de leyes de protección de datos bastante viejas y conciernes a residetes de la Union Europea. Puede parecer intimidante al principio, pero es en beneficio de los usuarios y no es tan complicada de cumplir.