La legislación del Reglamento general de protección de datos (RGPD) se actualizó para unificar las leyes de protección de datos y privacidad en toda la Unión Europea (UE). Reemplazó la Directiva de Protección de Datos de la UE de 1995.
El Parlamento Europeo aprobó la ley de protección de datos el 14 de abril de 2016, pero entró en vigor el 25 de mayo de 2018. De ahí que muchos se refieran al RGPD como la ley de protección de datos de 2018. Combinó las leyes de privacidad de datos de los 28 miembros de la UE y proporcionó un conjunto consistente de 99 artículos para obtener mayores derechos y protección a las personas. Esto se produjo cuando los consumidores de la UE comenzaron a preocuparse cada vez por la privacidad de sus datos.
Un informe de privacidad y seguridad de datos de RSA reveló que el 41 % de los consumidores envían información personal incorrecta a las empresas debido a la poca confianza que tienen en la privacidad de los datos y al miedo al marketing intrusivo. Otro 90 % de los consumidores encuestados de todo el mundo expresaron su preocupación por perder, manipular y robar sus datos personales.
Muchos describen el RGPD como medida de protección de datos y revolución de la privacidad en lugar de una revisión de los derechos. La nueva directiva se centra en mantener la transparencia de las empresas y amplía los derechos de privacidad de los consumidores (temas de datos). Por ejemplo, una vez que una empresa detecta una brecha de seguridad grave, debe notificar a la autoridad supervisora y a todas las personas afectadas dentro de las 72 horas.
Los mandatos del RGPD se aplican a todos los datos que producen los ciudadanos de la UE, independientemente de si la organización que recopila los datos está basada en la UE. También afecta a todas las personas cuya información se almacena en la UE, incluidos los ciudadanos no pertenecientes a la UE. Además, incluye multas importantes a las empresas que incumplan las normas.
RGPD son las siglas en inglés del Reglamento General de Protección de Datos. Se trata de una ley de protección de datos con disposiciones que obligan a las empresas y organizaciones a proteger los datos y la privacidad de los ciudadanos de la UE en las transacciones que se realizan en los estados miembro. También regula el modo en que las empresas exportan los datos personales fuera de la UE. Muchos lo consideran el estándar de protección de datos más fuerte del mundo, ya que mejora la forma en que las personas pueden acceder a su información y los límites que las organizaciones deben cumplir al tratar los datos personales.
El RGPD exige a las empresas y organizaciones que realizan un tratamiento de datos a gran escala y un seguimiento de los interesados que cuenten con un responsable de la protección de datos (DPO). El DPO se convierte en una figura responsable de la gobernanza de los datos de la empresa y del cumplimiento.
Las empresas que no cumplen con las normas del RGDP se enfrentan a consecuencias legales, como una multa de 20 millones de euros (o alrededor de 22,07 millones de dólares) o del 4 % de sus ingresos globales anuales, lo que resulte mayor. Además, el DPO garantiza la aplicación de los principios adecuados de protección de datos para mantener seguros los datos personales.
El RGPD existe debido a la preocupación pública por la privacidad. Sustituyó a la Directiva de Protección de Datos de la UE de 1995, promulgada mucho antes de que Internet se convirtiera en un moderno centro de negocios en línea. Por lo tanto, era necesario para reemplazar la anticuada directiva que no abordaba la forma en que las empresas recogían, transferían y almacenaban los datos.
En la actualidad, el RGPD protege a la población de la UE y sus datos para garantizar que las organizaciones que recopilan y almacenan datos lo hacen de forma responsable. En el reglamento se ordena el mantenimiento seguro de los datos personales y se requiere que las organizaciones los protejan contra el procesamiento no autorizado o ilegal, daños, destrucción y pérdida accidental. Esto incluye muchas actividades relacionadas con el ransomware y el malware.
También identifica los motivos para recopilar datos personales y especifica que deben ser para un propósito particular y legítimo, y las organizaciones no pueden usarlos más allá de esa intención. La regulación se dirige a poner límites en cuanto a cuántos datos pueden recopilar las organizaciones y las empresas. Se estipula que la recopilación de datos se limita a lo necesario para los fines para los que una organización procesa y utiliza los datos.
Además, el RGPD establece que las organizaciones que recogen datos deben garantizar su exactitud y actualizarlos cuando sea necesario.
Las empresas no pueden procesar legalmente la información de identificación personal de una persona si no cumplen con las siguientes condiciones establecidas:
El objetivo de imponer el RGPD es utilizar una ley uniforme de seguridad de datos de la UE en los estados miembro para que los miembros individuales no tengan que escribir y hacer cumplir diferentes leyes de protección de datos. Además, aunque procede de la UE, se aplica a las empresas mundiales de fuera de la región.
Por ejemplo, se aplica a una empresa con sede en EE. UU. que hace negocios en la UE y recoge y trata los datos de residentes y ciudadanos de la UE. Una encuesta de PWC demostró que el 92 % de las empresas con sede en EE. UU. considera que la protección de datos del RGPD es una prioridad.
Otros criterios de cumplimiento específicos para las organizaciones incluyen:
El RGDP se centra mucho en la protección de datos personales. Los datos personales son información que identifica a una persona viva directa o indirectamente. Puede ser algo obvio como un nombre, datos de localización o un nombre de usuario claro en línea, o algo menos aparente como identificadores de cookies o direcciones IP.
También otorga una mayor protección a algunas categorías de datos personales sensibles, como la información sobre:
La definición crucial de datos personales es cualquier aspecto que permita la identificación de una persona. Significa que los datos seudonimizados siguen estando bajo datos personales en este contexto amplio. Los datos personales son fundamentales porque la ley cubre a personas, empresas y organizaciones que los procesan o controlan.
El RGPD define los tres siguientes roles:
Los controladores son quienes toman las decisiones y ejercen el control sobre el tratamiento de los datos personales, así como sus fines y usos. A veces, hay controladores conjuntos de los datos personales, cuando dos o más entidades determinan cómo tratar los datos recogidos. Por otro lado, los procesadores actúan en nombre de los controladores correspondientes bajo sus instrucciones. Por lo tanto, los controladores tienen regulaciones más estrictas que los procesadores.
Los usuarios deben dar su consentimiento a las organizaciones y empresas que deseen recopilar y utilizar sus datos personales. En este caso, los datos personales se refieren a la información sobre una persona física viva, identificada o identificable, a menudo llamada un titular de datos.
Como se ha indicado anteriormente, los datos personales pueden incluir lo siguiente:
Exige a las empresas y organizaciones que notifiquen a los visitantes de sus sitios en línea los datos que recogen, como las cookies. También deben dar su consentimiento para dar información haciendo clic en el botón aceptar. Por ejemplo, muchos sitios tienen avisos emergentes que notifican a los visitantes que el sitio recopila cookies, pequeños archivos que contienen información personal como las preferencias o la configuración del sitio.
Los sitios web también deben notificar a los visitantes y usuarios antes de una infracción de los datos personales que tiene la empresa o el sitio. Estos requisitos de protección de datos de la UE suelen ser más estrictos que los de otras jurisdicciones.
Otras obligaciones son la evaluación de la seguridad de los datos del sitio web y la inclusión de un responsable de la protección de datos que desempeñe estas y otras funciones. Además, la empresa debe proporcionar la información de contacto del DPO y de otros empleados relevantes para garantizar la facilidad de acceso para ejercer sus derechos del GDPR. Estos incluyen el derecho a que se borren sus datos personales del sitio, entre otras medidas.
Protege aún más a los consumidores garantizando que las organizaciones y otros recopiladores hagan que los datos personales recopilados sean anónimos o seudónimos para reemplazar la identidad por un seudónimo. Estas medidas permiten a las organizaciones realizar análisis de datos más exhaustivos, como evaluar los índices de deuda promedio de sus clientes, que van más allá de los requisitos para evaluar la solvencia de un préstamo.
Vale la pena mencionar que el GDPR afecta a otros datos además de los recogidos de los clientes. Por ejemplo, la regulación se aplica a los registros de recursos humanos de los empleados.
El RGPD de la UE tiene 11 capítulos y 91 artículos. A continuación, se presentan algunos de los artículos clave que afectan a las operaciones de seguridad de las organizaciones:
Hay siete principios fundamentales en el artículo 5 de la legislación. Estos principios guían cómo las organizaciones manejan los datos de las personas. No se trata de normas complejas de seguir, sino de un marco de gran alcance cuyo diseño establece los objetivos del RGPD.
Muchos principios son similares a los de las anteriores leyes de protección de datos. Los siete principios son los siguientes:
Los principios anteriores del RGPD subyacen a los derechos específicos del interesado en virtud de la ley de protección de datos. Entre ellas, se incluyen las siguientes:
Durante una brecha de seguridad que afecte a los datos personales, los responsables del tratamiento tienen 72 horas para notificarlo a la autoridad de control (autoridad pública que el país miembro de la UE designa para supervisar el cumplimiento). Los requisitos adicionales de notificación de infracciones incluyen:
El RGPD tiene un enfoque escalonado para multar a los infractores de su regulación. Tiene dos niveles de multas según el alcance y el tipo de infracción:
El mayor problema que la mayoría de las empresas se centraron en seguir la implementación del RGPD en 2016 fue la capacidad de los reguladores de imponer multas financieras rígidas por incumplimiento. Los reguladores podrían multar a las empresas por cualquier infracción, incluida la de no procesar correctamente los datos personales, no tener un responsable de la protección de datos si es necesario, o las infracciones de seguridad.
Hay varias normas relativas a los datos personales de terceros, como datos de partes distintas de los titulares de datos de la UE, y al intercambio de datos personales fuera de la región. La Ley de Protección de Datos de 2018 estipula que:
Después de que el Reino Unido se retirara de la UE, actualizó sus leyes de protección de datos y ahora utiliza la ley de protección de datos de 2018. Se estipula que las empresas del Reino Unido que hacen negocios con clientes y organizaciones de la UE deben cumplir con el RGPD.
Cabe señalar que el RGPD impone la misma responsabilidad a los encargados del tratamiento y a los responsables del mismo. Significa que un procesador tercero que no cumple con las normas afecta al estado de cumplimiento de una organización. La ley también tiene requisitos estrictos para informar de las infracciones en la cadena.
Por lo tanto, los contratos existentes de un controlador con procesadores como los proveedores de SaaS, los proveedores de servicios de nómina o los proveedores de la nube y los clientes deben detallar las responsabilidades. El acuerdo también debe tener procesos consistentes para administrar, recopilar, proteger, almacenar datos e informar violaciones.
¿Cómo garantiza una empresa el cumplimiento? Las regulaciones describen los resultados esperados de la administración de datos responsable, pero no especifican medidas técnicas para lograr ese objetivo. A continuación, se presentan algunas de las prácticas recomendadas para garantizar el cumplimiento:
La transformación digital ha redefinido las normas de regulación que rigen a las empresas a nivel mundial. Las empresas estadounidenses ahora están sujetas a varias normas de cumplimiento de ciberseguridad debido a la naturaleza de su negocio, como el RGPD y la Ley de Privacidad del Consumidor de California (CCPA, California Consumer Privacy Act). (Consulte la CPRA para ver las actualizaciones de la CCPA)
Muchas plataformas de comunicación y entornos operativos en línea han hecho que la administración del cumplimiento sea exigente y costosa. Por lo tanto, las empresas buscan formas eficaces y asequibles de seguir cumpliendo con las normativas, a la vez que impulsan la productividad y expanden las operaciones.
La cartera integrada de capacidades de cumplimiento de datos de Veritas sintetiza la inteligencia en diferentes fuentes de datos para racionalizar el acceso, garantizar el cumplimiento normativo, brindar información estratégica, dar soporte al análisis y minimizar los riesgos organizacionales.
El enfoque integrado de Veritas para el cumplimiento y la administración de datos empresariales convierte Big Data en información procesable. Además, las funciones de presentación de informes y visualización de nuestra integración con Data Insight permiten a los usuarios clasificar los datos de riesgo, involucrar a los propietarios de los datos y rescindir el acceso a los datos personales sensibles para mejorar el cumplimiento de los datos y la toma de decisiones.
Además, el motor de clasificación integrado de Veritas elimina los desafíos relacionados con la seguridad y el cumplimiento de los datos. Como líder del Cuadrante Mágico de Gartner, estamos al frente del mercado de archivado de información empresarial. Los usuarios pueden archivar y recuperar sus datos desde y hacia cualquier lugar.
Veritas ofrece una cartera de productos integrada sin comparación en el mercado. Un ecosistema tecnológico completo y robusto lo respalda, sin que ningún otro proveedor se acerque a la escala y versatilidad que ofrece Veritas Enterprise Data Services.