¿Dónde se aplica el RGPD? ¿Debe cumplirlo mi organización?
El Reglamento General de Protección de Datos (RGPD) reemplazará a la actual Directiva (Directiva de Protección de Datos 95/46/EC). No entrará en vigencia hasta el 25 de mayo del 2018, pero requiere que las compañías empiecen a prepararse desde ahora, tomando en cuenta algunas obligaciones que pueden ser costosas y llevan tiempo para implementar.
¿Qué son datos personales?
Sobre la base de las definiciones contenidas en el Artículo 2 de la Directiva 95/46/EC, datos personales se definen como cualquier información que se refiere a una persona física identificada o identificable (“el interesado”); una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular al referenciarlo a un número de identificación o con uno o más factores específicos de su identidad física, fisiológica, mental, económica, cultural o social.
¿Qué es el Reglamento General de Protección de Datos UE (RGPD UE)?
Desde 1995, la legislación europea no ha actualizado la antigua directiva (Directiva de Protección de Datos 95/46/EC) – la directiva fue recibida por los países miembros, quienes la aplicaron de acuerdo a su propio criterio, resultando en reglas diferentes entre cada uno de los países de la Unión Europea.
Este nuevo reglamento (RGPD UE) fue aprobado el 14 de abril de 2016, por el Parlamento Europeo y el Consejo de Europa. Será aplicado directamente en cada país, permitiendo consistencia en las reglas de las naciones sobre los derechos de privacidad de los ciudadanos.
Algunos de los aspectos más relevantes son los siguientes:
- Tanto la naturaleza como el propósito del uso de datos deben ser tomados en cuenta para determinar el propósito y medios para el procesamiento de datos personales (Responsables de tratamiento), y aquellos que la gestionan (Encargados de tratamiento), quienes deben cumplir con el RGPD UE, y deben implementar medidas y técnicas organizacionales para alcanzar un nivel apropiado de seguridad de datos en términos de confidencialidad, integridad, disponibilidad, y resiliencia de los sistemas de apoyo, así como una validación periódica de la efectividad de esas medidas.
- Más allá de las compañías de la UE, el RGPD UE alcanza a compañías fuera de la UE que ofrezcan bienes o servicios a Interesados de la UE (“una persona identificada o identificable a quien se refieren los datos personales”), aún si son gratuitos, o si monitorean el comportamiento del Interesado dentro de la UE.
- De acuerdo a la nueva regulación, las organizaciones deben minimizar la recolección y retención de datos y obtener el consentimiento de los consumidores al tratar los datos – en otras palabras, minimizar la recolección de datos del consumidor, minimizar con quién se comparte, y minimizar por cuánto tiempo se almacenará. El objetivo es que las organizaciones sólo recolecten o almacenen la información que requieran para un propósito definido, particularmente en relación con los datos personales.
- El RGPD UE ha fortalecido la directiva anterior, permitiendo el derecho a ser olvidado por parte de los propietarios de los datos personales y el solicitar el borrado de sus datos por las organizaciones, incluyendo los datos publicados en la web. El RGPD UE establece que “el (…) responsable debe tener la obligación de borrar datos personales sin demoras indebidas, especialmente cuando se refiere a datos personales que fueron recolectados cuando el interesado era un niño, y el interesado debe tener el derecho de obtener del responsable el borrado de los datos personales correspondientes sin demoras indebidas”.
- En caso de violación de datos personales, la compañía deberá notificar a la organización responsable de ese propósito, la Autoridad para Protección de Datos (APD) (“autoridad nacional de control, actuando con completa independencia, responsable por el monitoreo de la aplicación de las reglas de protección de datos a nivel nacional”), antes de las 72 horas de haber detectado la violación. La notificación obligatoria dependerá de la posibilidad del acceso no autorizado a la información. La notificación no debe hacerse a la APD si la violación sea improbable de poner en riesgo los derechos y libertades individuales.
- Si la organización maneja categorías especiales de datos personales en gran escala, necesita nombrar a un Delegado de Protección de Datos (DPD) como parte de su directorio.
- Si estas medidas no son cumplidas, las multas son altas – hasta 20 millones de Euros o, en caso de las compañías, hasta el 4% de sus ingresos anuales, con el monto que sea más elevado.
¿Mi organización necesita cumplir con el RGPD UE?
Existen dos tipos de responsabilidades relacionadas con la protección de datos personales: “responsables” del tratamiento y “encargados” del tratamiento.
También se debe resaltar que los datos personales de los empleados están incluidos en el alcance de esta regulación.
Por lo tanto, las organizaciones que necesitan cumplir con el RGPD UE son:
- Compañías (responsables y encargados) establecidas en la UE, sin importar si el tratamiento se hace dentro o fuera de la UE.
- Compañías (responsables y encargados) no establecidas en la UE, ofreciendo bienes o servicios dentro de la UE o a individuos de la UE.
¿Cómo pueden prepararse las organizaciones?
El impacto del RGPD UE es que la protección de datos personales se ha convertido en una materia de vital importancia para la alta dirección de las organizaciones. Es fundamental que la preparación de políticas se fundamente sobre un marco de trabajo de responsabilidad y en reglas transparentes para asegurar una respuesta rápida ante incidentes de seguridad y la consecuencia de fuga de datos personales.
La adopción de normas tales como ISO / IEC 27001 Seguridad de la Información será la base para alcanzar rápidamente el cumplimiento del RGPD UE.
Para conocer más acerca de cómo ISO 27001 puede ayudarle en la protección de datos personales, por favor lea nuestro informe gratuito Privacy, cyber security, and ISO 27001 – How are they related?