¿Qué es el Reglamento general de protección de datos?

El Reglamento general de protección de datos (GDPR) es la ley de privacidad y seguridad más estricta del mundo. Aunque fue redactado y aprobado por la Unión Europea (UE), impone obligaciones a las organizaciones en cualquier lugar, siempre que apunten o recopilen datos relacionados con personas en la UE. El reglamento entró en vigor el 25 de mayo de 2018. El RGPD impondrá duras multas a quienes violen sus estándares de privacidad y seguridad, con sanciones que llegan a decenas de millones de euros.

 

Con el Cumplimiento RGPD, Europa está señalando su postura firme sobre la privacidad y seguridad de los datos en un momento en que más personas confían sus datos personales con servicios en la nube y las infracciones son algo cotidiano. El reglamento en sí es grande, de gran alcance y bastante ligero en detalles, lo que hace que el cumplimiento del RGPD sea una perspectiva desalentadora, especialmente para las pequeñas y medianas empresas (PYME).

 

Historia del GDPR

 

El derecho a la privacidad es parte del Convenio Europeo de Derechos Humanos de 1950 , que establece: «Toda persona tiene derecho al respeto de su vida privada y familiar, su hogar y su correspondencia». Desde esta base, la Unión Europea ha buscado asegurar la protección de este derecho a través de la legislación.

 

A medida que avanzaba la tecnología y se inventaba Internet, la UE reconoció la necesidad de protecciones modernas. Por eso, en 1995 aprobó la Directiva europea de protección de datos, que establece estándares mínimos de privacidad y seguridad de los datos, sobre los cuales cada estado miembro basa su propia ley de implementación. Pero Internet ya se estaba transformando en los datos que Hoover es hoy. En 1994, apareció el primer banner publicitario en línea. En 2000, la mayoría de las instituciones financieras ofrecían banca en línea. En 2006, Facebook se abrió al público. En 2011, un usuario de Google demandó a la empresa por escanear sus correos electrónicos. Dos meses después, la autoridad europea de protección de datos declaró que la UE necesitaba «un enfoque integral sobre la protección de datos personales» y comenzó a trabajar para actualizar la directiva de 1995.

 

El Reglamento General de Protección de Datos entró en vigor en 2016 después de ser aprobado por el Parlamento Europeo y, a partir del 25 de mayo de 2018, todas las organizaciones debían cumplirlo.

 

Alcance, sanciones y definiciones clave

En primer lugar, si procesa los datos personales de ciudadanos o residentes de la UE, u ofrece bienes o servicios a esas personas, entonces  el RGPD se aplica a usted incluso si no se encuentra en la UE . Hablamos más sobre esto en otro artículo .

 

En segundo lugar, las multas por violar el RGPD son muy elevadas . Hay dos niveles de sanciones, que alcanzan un máximo de 20 millones de euros o el 4% de los ingresos globales (lo que sea mayor), además los interesados ​​tienen derecho a reclamar una indemnización por daños. También hablamos más sobre las multas de GDPR .

 

El GDPR define una serie de términos legales en detalle. A continuación se muestran algunos de los más importantes a los que nos referimos en este artículo:

 

Datos personales: los datos personales son cualquier información que se relacione con una persona que pueda ser identificada directa o indirectamente. Los nombres y las direcciones de correo electrónico son obviamente datos personales. La información de ubicación, etnia, género, datos biométricos, creencias religiosas, cookies web y opiniones políticas también pueden ser datos personales. Los datos seudónimos también pueden incluirse en la definición si es relativamente fácil identificar a alguien a partir de ellos.

 

Procesamiento de datos : cualquier acción realizada sobre los datos, ya sea automatizada o manual. Los ejemplos citados en el texto incluyen recopilar, grabar, organizar, estructurar, almacenar, usar, borrar… básicamente cualquier cosa.

 

Sujeto de datos : la persona cuyos datos se procesan. Estos son sus clientes o visitantes del sitio.

 

Controlador de datos : la persona que decide por qué y cómo se procesarán los datos personales. Si es un propietario o empleado de su organización que maneja datos, este es usted.

 

Procesador de datos : un tercero que procesa datos personales en nombre de un controlador de datos. El GDPR tiene reglas especiales para estas personas y organizaciones. Podrían incluir servidores en la nube como Tresorit o proveedores de servicios de correo electrónico como ProtonMail .

 

Para el resto de este artículo, explicaremos brevemente todos los puntos regulatorios clave del GDPR.

 

Principios de protección de datos

 

Si procesa datos, debe hacerlo de acuerdo con siete principios de protección y responsabilidad descritos en el Artículo 5.1-2 :

 

Licitud, equidad y transparencia : el procesamiento debe ser legal, justo y transparente para el interesado.

 

Limitación del propósito : debe procesar los datos para los fines legítimos especificados explícitamente al interesado cuando los recopiló.

 

Minimización de datos : debe recopilar y procesar solo los datos que sean absolutamente necesarios para los fines especificados.

 

Precisión : debe mantener los datos personales precisos y actualizados.

 

Limitación de almacenamiento : solo puede almacenar datos de identificación personal durante el tiempo que sea necesario para el propósito especificado.

 

Integridad y confidencialidad : el procesamiento debe realizarse de tal manera que se garantice la seguridad, integridad y confidencialidad adecuadas (por ejemplo, mediante cifrado).

Responsabilidad : el controlador de datos es responsable de poder demostrar el cumplimiento de GDPR con todos estos principios.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *