GDPR cambiará la forma en que las organizaciones tratan los datos personales, te explicamos todo lo que debes saber al respecto

¿Qué es GDPR?

El 25 de mayo de 2018 entrará en vigor el Nuevo Reglamento General de Protección de Datos de la Unión Europea (GDPR, por sus siglas en inglés).

GDPR viene a sustituir la actual Directiva de Protección de Datos (DPA) de la Unión Europea. El espíritu de esta nueva ley se basa en otorgarle mayor control a los individuos sobre sus datos personales. También lo que las organizaciones pueden hacer con ellos.

¿Por qué se originó GDPR?

GDPR surge básicamente por dos motivos, el primero de ellos se refiere a que la Unión Europea considera que las personas deben tener mayor control sobre sus datos personales, ya que grandes organizaciones como Google y Facebook intercambian cierta información sobre sus usuarios, sin que éstos lleguen a enterarse.

El segundo motivo que da origen a este nuevo Reglamento de Protección de Datos radica en la necesidad de que las empresas operen bajo un marco legal bien definido, en donde los datos personales de los individuos sean tratados de manera correcta.

¿A quién aplicará GDPR?

Toda organización que cumpla con las siguientes características entrará bajo la legislación de GDPR:

  • Organizaciones cuya presencia física esté establecida en algún país de la Unión Europea.
  • Las organizaciones que, sin estar físicamente establecidas en la Unión Europea, procesen datos de individuos residentes en la Unión Europea.
  • Organizaciones que basan sus operaciones en terceros, quienes a su vez, almacenan información sobre individuos residentes en la Unión Europea.

Todo “Controlador” y “Procesador” de datos de individuos residentes en la Unión Europea deberá cumplir con lo establecido en GDPR.

¿Qué es un Controlador de Datos?

Es el término con el cual se conoce al ente que indica cómo y por qué se procesan los datos. Puede ser cualquier organización pública o privada, benéfica o de gobierno.

¿Qué es un Procesador de Datos?

Se refiere al ente que procesa los datos personales de los individuos. Pudiera tratarse de una empresa de TI encargada de procesar los datos.

Como hemos visto, no es necesario que los “controladores” y/o los “procesadores” se encuentren establecidos en la Unión Europea para cumplir con GDPR, basta con que los datos que ellos manejen sean de personas residentes en la Unión Europea para verse obligados a cumplir con la ley.

Los “controladores” serán responsables de que los datos personales sean procesados de manera transparente, así como también de que se utilicen única y exclusivamente para el propósito para el cual fueron recopilados. De igual manera, los datos que ya no sean necesarios, deberán ser eliminados según lo establece GDPR.

¿Quién autoriza que se puedan procesar los datos de un individuo?

GDPR se refiere al individuo propietario de los datos como “Sujeto de datos”, y éste será el encargado de otorgar el consentimiento explícito de que sus datos sean almacenados y procesados por las organizaciones. Las empresas deberán mantener un registro que almacene el consentimiento otorgado por el sujeto de datos, quien tendrá la potestad de solicitar la eliminación o modificación de sus datos personales cuando así lo considere necesario. Además, para el caso de los menores de 16 años, se requerirá el consentimiento parental.

¿Qué se define como datos personales?

Para esta nueva regulación; los datos personales se definen como todos aquellos datos que revelen la identidad del sujeto de datos. Más allá de los datos clásicos que hacen referencia a la identidad del sujeto de datos como; el nombre, el apellido, el número de identificación personal. Ahora también otros datos como la dirección IP de origen, por ejemplo, entrarán en esta categoría.

¿Qué pasa si un sujeto de datos desea que sus datos sean eliminados o modificados de una organización?

Los individuos pueden solicitar la eliminación total o la corrección de sus datos personales. La organización está obligada a responder a dicha solicitud en un lapso menor a un mes. Inclusive un sujeto de datos puede solicitar que se le otorgue acceso a cualquier información que la organización posea; siempre y cuando sea sobre ellos y cómo están siendo procesados estos datos.

Los datos personales deberán ser portables

Toda organización deberá permitir que los datos personales de los individuos sean descargados en un formato comúnmente legible. Por ejemplo, un fichero .csv, de manera que la información pueda ser movida de una organización a otra; de forma rápida y simple, y adicionalmente, sin coste alguno para el sujeto de datos.

¿Qué pasa si una organización incumple con GDPR?

GDPR estipula fuertes sanciones económicas que pueden llegar hasta el 4% de las ventas globales de la organización o 20 millones de Euros (lo que sea más alto), por lo cual las empresas deben tomarse muy en serio el cumplimiento de esta ley.

¿Cómo deben preparase las organizaciones para cumplir con la GDPR?

Las organizaciones deben aceptar que GDPR ya es una realidad y como tal deben asumirla, se debe involucrar a toda la empresa en una campaña cultural que se esfuerce por entender que los individuos serán los dueños de sus datos y los mismos ya no serán propiedad corporativa, de igual manera, se debe contar con un plan a nivel técnico y una infraestructura adecuada para atender las potenciales solicitudes que los individuos realicen sobre sus datos, los cuales deberán ser almacenados y procesados de forma transparente.

En Clase10 podemos ofrecerte la asesoría necesaria para que tu organización esté lista para el cambio que representará la entrada en vigencia de la GDPR, ponte en contacto con nosotros y te apoyaremos con todo lo necesario.