10 cosas que debe saber sobre el Reglamento general de protección de datos de la UE


En alg√ļn momento durante mayo de 2017, los sistemas de seguridad de la agencia estadounidense de monitoreo de cr√©dito Equifax se vieron comprometidos.

10 cosas que debes saber sobre el GDPR de la UE

Durante el ataque, casi la mitad de la poblaci√≥n estadounidense accedi√≥ a los nombres, las direcciones, los n√ļmeros de la Seguridad Social y, en algunos casos, los detalles de la tarjeta de cr√©dito de aproximadamente 143 millones de estadounidenses. Los informes de las noticias revelar√≠an m√°s tarde que los autores del ataque lograron obtener acceso a los sistemas Equifaxs explotando una vulnerabilidad que de hecho se hab√≠a identificado en marzo, una falla que Equifax podr√≠a haber asegurado f√°cilmente.

El verdadero alcance del da√Īo a√ļn no se ha determinado por completo a partir de este escrito, y seg√ļn el experto en monitoreo de cr√©dito y ex empleado de Equifax, John Ulzheimer, puede que nunca haya una forma de saberlo.

En este punto, no est√° claro si Equifax enfrentar√° alguna consecuencia significativa por su fracaso total para proteger las identidades digitales de la mitad de la poblaci√≥n estadounidense. (Para agregar insulto a la lesi√≥n, parece que Equifax no solo esper√≥ seis semanas informar el incumplimiento, pero que retras√≥ a√ļn m√°s la informaci√≥n al p√ļblico hasta que adquiri√≥ con √©xito una firma de protecci√≥n de identidad para que luego pudiera beneficiarse del incumplimiento).

Si esta situación se desarrollara en Europa, las cosas probablemente serían muy diferentes.

Los europeos (y la Unión Europea en particular) se preocupan mucho por la privacidad en línea y la protección de datos. Desde leyes controvertidas que protegen el derecho de los europeos a ser olvidados hasta actitudes culturales más amplias sobre la protección del consumidor, es mucho más fácil y seguro ser un consumidor en Europa que en los Estados Unidos. Sin embargo, para las empresas estadounidenses que comercializan a los consumidores europeos, la vida pronto podría convertirse en un mucho más difícil gracias al Reglamento general de protección de datos de los sindicatos europeos, o GDPR (PDF de texto completo)

En esta publicaci√≥n, analicemos en profundidad el RGPD y c√≥mo podr√≠a afectar a su negocio. Bien, responda preguntas comunes acerca de esta legislaci√≥n √ļnica, as√≠ como identifique posibles dificultades para evitar y acciones urgentes que debe considerar tomar antes de que las reglas entren en vigencia.

En aras de la simplicidad, la mayoría de los puntos a continuación se enmarcan en el contexto de lo que significarán los cambios para las empresas estadounidenses, canadienses y británicas (ya que allí es donde está la gran mayoría de nuestros lectores), pero El Reglamento general de protección de datos se aplicará por igual a todas las empresas que comercializan o hacen negocios con los Estados miembros de la Unión Europea, independientemente de en qué parte del mundo se encuentre la empresa..

1. ¬ŅQu√© es el Reglamento general de protecci√≥n de datos?

El GDPR es un paquete de nuevas normas legislativas que está introduciendo la Unión Europea para facilitar a los residentes de los países de la UE proteger sus datos personales en línea. El reglamento se aprobó oficialmente el 27 de abril de 2016 y entrará en vigor formalmente en toda la UE el 25 de mayo de 2018.

A diferencia de las directivas de la UE, que requieren una acción adicional en nombre de los gobiernos de las naciones miembros para promulgar, el GDPR es (como su nombre lo indica) una regulación, lo que significa que las reglas serán legalmente vinculantes de inmediato el 25 de mayo de 2018, sin ninguna otra acción o medidas requeridas de los estados miembros de la UE.

2. ¬ŅQu√© datos est√°n cubiertos por el Reglamento general de protecci√≥n de datos?

Pr√°cticamente todos los datos pertenecientes a personas que residen en la Uni√≥n Europea estar√°n protegidos por el GDPR. Esto incluye no solo informaci√≥n de identificaci√≥n √ļnica, como documentos de identidad oficiales similares a los n√ļmeros de Seguro Social en los EE. UU. Y N√ļmeros de Seguro Social en Canad√°, sino tambi√©n informaci√≥n solicitada habitualmente por sitios web, incluidas las direcciones IP y de correo electr√≥nico, la informaci√≥n del dispositivo f√≠sico, como la direcci√≥n MAC de una computadora, las direcciones particulares de los individuos, las fechas de nacimiento y la informaci√≥n financiera en l√≠nea, incluidos los historiales de transacciones en l√≠nea.

10 cosas que debes saber sobre la descripción general del GDPR de la UE

Imagen vía Consejo de la Unión Europea

Sin embargo, eso no es todo el GDPR est√° destinado a salvaguardar. La legislaci√≥n tambi√©n protege los datos generados por los usuarios, como las publicaciones en las redes sociales (incluidos los tweets individuales y las actualizaciones de Facebook), as√≠ como las im√°genes personales cargadas en cualquier sitio web, incluidas las que no muestran la imagen de la persona que carg√≥ la imagen. El RGPD tambi√©n cubre registros m√©dicos y otra informaci√≥n personal √ļnica que se transmite en l√≠nea.

Esencialmente, el RGPD protege todos y cada uno de los datos personales de los usuarios en prácticamente todas las plataformas en línea concebibles.

3. ¬ŅPor qu√© es necesario el Reglamento general de protecci√≥n de datos?

Muchos países europeos ya tienen sus propias leyes robustas de recopilación y almacenamiento de datos, pero el objetivo de GDPR es hacer que la protección de los datos de los usuarios sea más fuerte, más fácil y más uniforme en toda la Unión Europea, unificando las regulaciones de protección de datos existentes en sus 28 estados miembros.

10 cosas que debe saber sobre las leyes de privacidad GDPR de la UE en los EE. UU. Frente a la UE

Imagen vía UR

Esto facilita que los consumidores europeos tengan un papel m√°s proactivo en la forma en que las empresas privadas comparten y retienen los datos sobre s√≠ mismos, y tambi√©n ofrece a las empresas en el extranjero un marco regulatorio √ļnico al que deben adherirse, en lugar del mosaico de varias leyes y protecciones actualmente en derecho en toda la UE. Esto podr√≠a ser un beneficio considerable para las empresas que comercializan a varios estados miembros de la UE, como El RGPD sustituir√° a todas y cada una de las leyes de privacidad y protecci√≥n de datos existentes que los Estados miembros de la UE mantienen actualmente.

4. ¬ŅQu√© significa el RGPD para las empresas en el extranjero?

El RGPD significa que las empresas de todo el mundo, independientemente de dónde se encuentren, deberán cumplir con las leyes de legislación sobre cómo se procesan, recopilan y almacenan los datos de los usuarios sobre los ciudadanos de la UE.

El cumplimiento con el GDPR significa que las empresas esencialmente tienen que cambiar de un enfoque de exclusión voluntaria a un enfoque de inclusión voluntaria; en lugar de obligar a los usuarios a optar por que no se recopilen y almacenen sus datos personales, los usuarios deben otorgar a las empresas su permiso expreso con respecto a prácticamente todos los aspectos de la seguridad de los datos individuales. Esto se aplica a todo, desde algo tan aparentemente inocuo como suscribir automáticamente a los usuarios a un boletín de correo electrónico a esfuerzos más amplios, como la seudonimización de los datos de los usuarios.

Uno de los elementos m√°s pol√©micos del GDPR es una secci√≥n del paquete legislativo conocido como Art√≠culo 22, que se refiere a algoritmos y perfiles automatizados de usuarios. Seg√ļn el GDPR, los usuarios europeos tienen el derecho legal de cuestionar o apelar c√≥mo se presenta su informaci√≥n personal mediante algoritmos como los utilizados por Google en su negocio de b√ļsqueda. Esta es una extensi√≥n de las leyes del derecho al olvido que llegaron a los titulares cuando las medidas se introdujeron por primera vez en la UE y Argentina en 2006.

Varios expertos legales y acad√©micos han tomado la excepci√≥n de la redacci√≥n actual y la base legal del Art√≠culo 22, pero incluso si el lenguaje actual se revisa para que sea menos ambiguo legalmente, podemos esperar de manera realista que haya alg√ļn elemento de supervisi√≥n legislativa cuando se trata algor√≠tmicamente datos generados

¬ŅQu√© efecto tendr√° Brexit en el cumplimiento de GDPR?

La pr√≥xima salida de Gran Breta√Īa de la Uni√≥n Europea no tendr√° absolutamente ning√ļn impacto en las expectativas de la UE para el cumplimiento del RGPD. Ir√≥nicamente, si Gran Breta√Īa hubiera decidido permanecer en la UE, los consumidores brit√°nicos tambi√©n podr√≠an haber esperado disfrutar de los tipos de protecciones robustas que ofrece el GDPR junto con sus contrapartes en el Continente, en lugar de tratar con lo que podr√≠a describirse con precisi√≥n como uno de los m√°s Programas de vigilancia dom√©stica orwelliana en el mundo.

Independientemente de lo que Gran Breta√Īa decida hacer con sus propias leyes de privacidad y protecci√≥n de datos (como son), Las compa√Ī√≠as brit√°nicas tendr√°n que cumplir exactamente las mismas reglas y regulaciones que las compa√Ī√≠as ubicadas en cualquier parte del mundo. Dado el caos total que ha definido en gran medida la "estrategia" brit√°nica sobre el Brexit, que algunos podr√≠an decir que es un t√©rmino extraordinariamente generoso para lo que realmente est√° sucediendo, es poco probable que las cl√°usulas de cumplimiento del RGPD se negocien como parte de t√©rminos de salida m√°s amplios.

Sin embargo, una cosa que est√° pr√°cticamente garantizada es que las empresas brit√°nicas no pueden (o no deben) esperar un tratamiento especial cuando se trata del GDPR, y como tal deben prepararse en consecuencia.

5. ¬ŅNecesito contratar a un oficial de protecci√≥n de datos para cumplir con el GDPR?

Es posible que tenga la obligación legal de contratar a un Oficial de Protección de Datos (DPO) para garantizar el cumplimiento del GDPR. Sin embargo, hay excepciones. Solo tiene que contratar un DPO si:

  • Su organizaci√≥n es una autoridad p√ļblica (es decir, una empresa que ejerce control sobre el mantenimiento de la infraestructura p√ļblica o tiene amplios poderes para regular la propiedad p√ļblica)
  • Su organizaci√≥n se dedica a la supervisi√≥n sistem√°tica a gran escala de los datos del usuario.
  • Su organizaci√≥n procesa grandes vol√ļmenes de datos personales del usuario.

Desafortunadamente, el texto oficial del GDPR tal como está hoy no está claro con respecto a la definición del procesamiento de datos a gran escala. Sin embargo, hay algunos orientación, aunque algo limitada en su alcance.

Muchas de las disposiciones del paquete legislativo GDPR no se pudieron acordar de inmediato. Algunas de estas cláusulas fueron diferidas a los considerandos GDPR, que son textos legales que establecen el razonamiento detrás de ciertos actos dentro de un elemento de la legislación. Uno de esos considerandos considera que el procesamiento de datos personales no debe considerarse a gran escala si el procesamiento se refiere a datos personales de pacientes o clientes por un médico individual, otro profesional de la salud o un abogado.

Entonces, ¬Ņqu√© podemos inferir del enloquecedor ambiguo considerando 91? B√°sicamente, si el procesamiento de datos que realiza su empresa como parte de sus operaciones diarias est√° m√°s all√° de la carga de trabajo manejable de manera realista de dos profesionales, se podr√≠a argumentar que este procesamiento de datos es a gran escala. Desafortunadamente, como con gran parte del RGPD, el contexto es crucial para determinar si una empresa cumple o no. En caso de duda, puede valer la pena considerar contratar a un Oficial de Protecci√≥n de Datos dedicado.

El almacenamiento basado en la nube NO est√° exento del GDPR

Si bien se trat√≥ el tema de si necesita contratar a un Oficial de Protecci√≥n de Datos para cumplir con el GDPR, vale la pena mencionar que las empresas que dependen de proveedores de almacenamiento basados ‚Äč‚Äčen la nube no estar√°n exentas del GDPR. Esto significa que si su empresa utiliza Amazon Web Services, Google Cloud o Microsoft Azure, usted NO poder culpar a Amazon, Google o Microsoft por no cumplir con el GDPR.

6. ¬ŅQu√© sucede con las empresas que no cumplen con el GDPR?

El incumplimiento de la GDPR conlleva fuertes sanciones.

El primer paso del proceso es una advertencia formal por escrito, que puede emitirse a una empresa incluso en casos de violaciones involuntarias; La ignorancia de la ley no es una excusa v√°lida para violarla. La siguiente etapa de acciones punitivas puede obligar a las compa√Ī√≠as que violen el GDPR a someterse a auditor√≠as peri√≥dicas peri√≥dicas de integridad de datos para garantizar el cumplimiento, lo que tambi√©n significa ceder el acceso a un auditor a informaci√≥n potencialmente confidencial, confidencial o privada.

Para las empresas que a√ļn no han entendido, las empresas que han violado o violado cualquier parte del paquete legislativo despu√©s de las sanciones iniciales puede ser multado hasta 20 millones (aproximadamente $ 23.5 millones de d√≥lares) o 4% de la facturaci√≥n mundial de una empresa, lo que sea mayor.

10 cosas que debe saber sobre el impacto potencial de multas en el GDPR de la UE en grandes empresas tecnológicas

Imagen vía EE.UU. Hoy en día

7. ¬ŅQu√© espera la UE de las empresas extranjeras con respecto al cumplimiento del RGPD?

Será responsabilidad de los responsables de protección de datos o controladores de datos de la empresa asegurarse de que los datos de los usuarios europeos estén suficientemente protegidos y / o anónimos, y serán los controladores de datos quienes estarán entre los primeros en rendir cuentas en caso de incumplimiento o Se reportan violaciones.

Bajo el RGPD, Se espera que los controladores de datos informen cualquier posible violación de datos a las autoridades pertinentes de la UE dentro de las 72 horas posteriores a la detección. Además, los usuarios afectados por violaciones de datos también deben ser notificados por los controladores de datos de una empresa, con la excepción de los datos seudonimizados comprometidos, que no están sujetos a los mismos requisitos de informe que los datos no anonimizados.

Algo m√°s con lo que tendr√°n que tener en cuenta las empresas que se ocupan del GDPR es el almacenamiento de registros de consentimiento del usuario. Aunque es dif√≠cil decirlo con certeza, apuesto a que la mayor√≠a de las compa√Ī√≠as mantienen registros m√≠nimos (si los hay) sobre el consentimiento de los usuarios para que sus datos sean almacenados o procesados, pero esto ser√° un requisito legal y expectativa bajo el GDPR. Las empresas deben poder demostrar que un usuario espec√≠fico no solo dio su consentimiento expreso inicial para almacenar sus datos, sino tambi√©n que los registros de consentimiento de los usuarios son precisos y actualizados.

8. ¬ŅQu√© cuenta como datos con seud√≥nimo bajo el RGPD?

He mencionado datos seudonimizados varias veces, pero qué es exactamente es datos seudónimos?

10 cosas que debes saber sobre el GDPR de la UE

Imagen vía Tom Marketoonist Fishburne

De acuerdo con el considerando 26 del RGPD, los datos seudonimizados son datos an√≥nimos de tal manera que el sujeto de los datos ya no es identificable. Esencialmente, esto significa que toda la informaci√≥n de identificaci√≥n con respecto a un usuario individual debe eliminarse por completo de todos los datos almacenados o procesados ‚Äč‚Äčpara que no se pueda revelar la identidad de un usuario espec√≠fico incluso a la empresa o autoridad responsable de anonimizar los datos en s√≠.

¬ŅRecuerdas antes cuando revisamos los tipos de informaci√≥n de identificaci√≥n protegida por el GDPR? Bueno, no termina con fechas de nacimiento, n√ļmeros de Seguro Social o informaci√≥n financiera. El RGPD tambi√©n protege informaci√≥n como las creencias religiosas, filos√≥ficas o pol√≠ticas de una persona, informaci√≥n sobre su sexualidad u orientaci√≥n sexual, registros de membres√≠a en organizaciones como sindicatos y datos gen√©ticos o biom√©tricos, como huellas dactilares y ADN. Dado que todos estos datos est√°n protegidos por el GDPR, las medidas que una empresa toma para seudonimizar sus datos deben garantizar que estos puntos de datos tambi√©n se eliminen por completo.

La razón principal por la que el texto y los considerandos del RGPD utilizan el término datos seudonimizados en lugar de datos anonimizados es en gran parte uno de pragmatismo. Sus muy Es difícil eliminar por completo toda la información de identificación de un usuario. Los datos verdaderamente anonimizados quedan fuera de la jurisdicción del GDPR, pero dado que es muy poco probable que muchos controladores de datos puedan o estén dispuestos a anonimizar verdaderamente y completamente los datos de sus usuarios, el GDPR utiliza la definición de datos seudónimos.

Tambi√©n vale la pena se√Īalar que, seg√ļn un estudio particularmente bien citado, aproximadamente El 87% de los adultos estadounidenses podr√≠an identificarse de manera precisa y √ļnica utilizando solo tres puntos de datos fecha de nacimiento, sexo y un c√≥digo postal de cinco d√≠gitos que utiliza datos del censo disponibles al p√ļblico, una estad√≠stica aleccionadora que destaca por qu√© se necesitan medidas de seudonimizaci√≥n tan s√≥lidas, particularmente a la luz de las violaciones de datos a gran escala, como el incidente de seguridad Equifax.

9. ¬ŅQu√© es el consentimiento afirmativo en el contexto del GDPR?

Muchos especialistas en marketing ya estarán familiarizados con el concepto de consentimiento afirmativo, un principio que establece que las personas deben, por ejemplo, dar su permiso expreso a una empresa antes de que pueda agregar a esa persona a una lista de correo. Este es el enfoque de aceptación.

10 cosas que debe saber sobre el concepto de marketing de aceptación de la GDPR de la UE

Imagen vía Mailchimp

Bajo el GDPR, se fortalecer√°n las leyes de consentimiento afirmativo. Esto significa que las empresas que realizan negocios con ciudadanos de la UE ya no podr√°n enterrar cl√°usulas ocultas en largos y detallados acuerdos de t√©rminos de servicio u ocultar sus intenciones mediante enga√Īos legales. El RGPD establece que los ciudadanos de la UE no solo deben dar su permiso expreso antes de que una empresa pueda procesar o almacenar sus datos, sino que tambi√©n deben proporcionar a los ciudadanos de la UE procesos de suscripci√≥n claros y f√°ciles de entender que expresen expresamente c√≥mo se almacenar√°n los datos de los usuarios, procesado o usado.

¬ŅQu√© pasa con el consentimiento afirmativo para menores?

Muchas compa√Ī√≠as tratan con menores durante el curso de sus operaciones comerciales. Los desarrolladores de aplicaciones, sitios web de entretenimiento y otros tipos de empresas manejan de manera rutinaria los datos relacionados con menores, y el RGPD tiene pautas espec√≠ficas sobre c√≥mo se deben manejar estos datos.

El consentimiento parental afirmativo es vital para recopilar, almacenar o procesar los datos personales de los ciudadanos de la UE menores de 13 a√Īos. Los controladores de datos deben poder demostrar que el consentimiento parental afirmativo se otorg√≥ a pedido, y es importante tener en cuenta que este consentimiento puede ser retirado en cualquier momento como es el caso con el consentimiento para permitir que se procese la informaci√≥n personal de los adultos.

10. ¬ŅCu√°n estrictamente se aplicar√° el GDPR?

Solo tengo un pu√Īado de suscriptores de boletines electr√≥nicos en Europa, puedo o√≠rte decir. ¬ŅSeguramente no necesito preocuparme por todo esto por un pu√Īado de usuarios?

Incorrecto.

Cuando el GDPR entre en vigencia en 2018, se convertir√° en una de las iniciativas de protecci√≥n de datos del consumidor m√°s s√≥lidas del mundo, si no la m√°s. Como resultado, las compa√Ī√≠as deben esperar que la regulaci√≥n se aplique de manera r√≠gida.

Si bien es posible que no se le exija legalmente contratar a un Oficial de Protección de Datos dedicado, DEBE cumplir con la normativa GDPR si recopila, almacena o procesa datos de CUALQUIER ciudadano de la UE, independientemente de cuántos. No hacerlo puede resultar en el tipo de sanciones financieras deslumbrantes que detallé anteriormente.

Derechos del usuario> Experiencia del usuario

El GDPR promete ser uno de los programas de protecci√≥n al consumidor m√°s ambiciosos y de mayor alcance jam√°s dise√Īado. Sin embargo, aunque es probable que la implementaci√≥n del GDPR cause m√°s dificultades a algunas empresas que a otras (como las empresas que ofrecen productos de big data), es importante recordar que esta legislaci√≥n se est√° introduciendo para proteger los derechos de los usuarios en un momento en que casi Cada aspecto concebible de nuestras vidas se almacena en l√≠nea y es altamente vulnerable a la exposici√≥n y la explotaci√≥n.

Al igual que cuando Canadá implementó su legislación CASL, ya ha habido una gran cantidad de dudas sobre la nueva regulación, así como la oposición previsible de muchas empresas estadounidenses que ven las protecciones al consumidor como poco más que obstáculos inconvenientes para incluso mayores ganancias

Para m√≠, la verdadera pregunta no es si el RGPD ser√° bueno o malo para las empresas estadounidenses, sino m√°s bien por qu√© los EE. UU. No est√°n desarrollando sus propias leyes de protecci√≥n al consumidor. Como una de las 143 millones de personas que se vieron afectadas por la violaci√≥n de Equifax reciente y completamente prevenible, s√© Id amor para ver una legislaci√≥n como esta aprobada (o incluso discutida) en los Estados Unidos. ¬ŅQu√© hay de t√≠?

La guía definitiva para el GDPR para anunciantes

Si quieres a√ļn m√°s consejos sobre …

  • Qu√© es el RGPD
  • C√≥mo se ver√° afectado Google AdWords por el GDPR
  • C√≥mo se ver√° afectado Facebook por el GDPR
  • C√≥mo obtener el consentimiento del tr√°fico pagado

Ynuestra hoja de trucos GDPR de una página, descargue nuestra nueva guía hoy!

. GDPR