Saltar al contenido

10 cosas que debe saber sobre el Reglamento general de protección de datos de la UE

En algún momento durante mayo de 2017, los sistemas de seguridad de la agencia estadounidense de monitoreo de crédito Equifax se vieron comprometidos.

10 cosas que debes saber sobre el GDPR de la UE

Durante el ataque, casi la mitad de la población estadounidense accedió a los nombres, las direcciones, los números de la Seguridad Social y, en algunos casos, los detalles de la tarjeta de crédito de aproximadamente 143 millones de estadounidenses. Los informes de las noticias revelarían más tarde que los autores del ataque lograron obtener acceso a los sistemas Equifaxs explotando una vulnerabilidad que de hecho se había identificado en marzo, una falla que Equifax podría haber asegurado fácilmente.

El verdadero alcance del daño aún no se ha determinado por completo a partir de este escrito, y según el experto en monitoreo de crédito y ex empleado de Equifax, John Ulzheimer, puede que nunca haya una forma de saberlo.

En este punto, no está claro si Equifax enfrentará alguna consecuencia significativa por su fracaso total para proteger las identidades digitales de la mitad de la población estadounidense. (Para agregar insulto a la lesión, parece que Equifax no solo esperó seis semanas informar el incumplimiento, pero que retrasó aún más la información al público hasta que adquirió con éxito una firma de protección de identidad para que luego pudiera beneficiarse del incumplimiento).

Si esta situación se desarrollara en Europa, las cosas probablemente serían muy diferentes.

Los europeos (y la Unión Europea en particular) se preocupan mucho por la privacidad en línea y la protección de datos. Desde leyes controvertidas que protegen el derecho de los europeos a ser olvidados hasta actitudes culturales más amplias sobre la protección del consumidor, es mucho más fácil y seguro ser un consumidor en Europa que en los Estados Unidos. Sin embargo, para las empresas estadounidenses que comercializan a los consumidores europeos, la vida pronto podría convertirse en un mucho más difícil gracias al Reglamento general de protección de datos de los sindicatos europeos, o GDPR (PDF de texto completo)

En esta publicación, analicemos en profundidad el RGPD y cómo podría afectar a su negocio. Bien, responda preguntas comunes acerca de esta legislación única, así como identifique posibles dificultades para evitar y acciones urgentes que debe considerar tomar antes de que las reglas entren en vigencia.

En aras de la simplicidad, la mayoría de los puntos a continuación se enmarcan en el contexto de lo que significarán los cambios para las empresas estadounidenses, canadienses y británicas (ya que allí es donde está la gran mayoría de nuestros lectores), pero El Reglamento general de protección de datos se aplicará por igual a todas las empresas que comercializan o hacen negocios con los Estados miembros de la Unión Europea, independientemente de en qué parte del mundo se encuentre la empresa..

1. ¿Qué es el Reglamento general de protección de datos?

El GDPR es un paquete de nuevas normas legislativas que está introduciendo la Unión Europea para facilitar a los residentes de los países de la UE proteger sus datos personales en línea. El reglamento se aprobó oficialmente el 27 de abril de 2016 y entrará en vigor formalmente en toda la UE el 25 de mayo de 2018.

A diferencia de las directivas de la UE, que requieren una acción adicional en nombre de los gobiernos de las naciones miembros para promulgar, el GDPR es (como su nombre lo indica) una regulación, lo que significa que las reglas serán legalmente vinculantes de inmediato el 25 de mayo de 2018, sin ninguna otra acción o medidas requeridas de los estados miembros de la UE.

2. ¿Qué datos están cubiertos por el Reglamento general de protección de datos?

Prácticamente todos los datos pertenecientes a personas que residen en la Unión Europea estarán protegidos por el GDPR. Esto incluye no solo información de identificación única, como documentos de identidad oficiales similares a los números de Seguro Social en los EE. UU. Y Números de Seguro Social en Canadá, sino también información solicitada habitualmente por sitios web, incluidas las direcciones IP y de correo electrónico, la información del dispositivo físico, como la dirección MAC de una computadora, las direcciones particulares de los individuos, las fechas de nacimiento y la información financiera en línea, incluidos los historiales de transacciones en línea.

10 cosas que debes saber sobre la descripción general del GDPR de la UE

Imagen vía Consejo de la Unión Europea

Sin embargo, eso no es todo el GDPR está destinado a salvaguardar. La legislación también protege los datos generados por los usuarios, como las publicaciones en las redes sociales (incluidos los tweets individuales y las actualizaciones de Facebook), así como las imágenes personales cargadas en cualquier sitio web, incluidas las que no muestran la imagen de la persona que cargó la imagen. El RGPD también cubre registros médicos y otra información personal única que se transmite en línea.

Esencialmente, el RGPD protege todos y cada uno de los datos personales de los usuarios en prácticamente todas las plataformas en línea concebibles.

3. ¿Por qué es necesario el Reglamento general de protección de datos?

Muchos países europeos ya tienen sus propias leyes robustas de recopilación y almacenamiento de datos, pero el objetivo de GDPR es hacer que la protección de los datos de los usuarios sea más fuerte, más fácil y más uniforme en toda la Unión Europea, unificando las regulaciones de protección de datos existentes en sus 28 estados miembros.

10 cosas que debe saber sobre las leyes de privacidad GDPR de la UE en los EE. UU. Frente a la UE

Imagen vía UR

Esto facilita que los consumidores europeos tengan un papel más proactivo en la forma en que las empresas privadas comparten y retienen los datos sobre sí mismos, y también ofrece a las empresas en el extranjero un marco regulatorio único al que deben adherirse, en lugar del mosaico de varias leyes y protecciones actualmente en derecho en toda la UE. Esto podría ser un beneficio considerable para las empresas que comercializan a varios estados miembros de la UE, como El RGPD sustituirá a todas y cada una de las leyes de privacidad y protección de datos existentes que los Estados miembros de la UE mantienen actualmente.

4. ¿Qué significa el RGPD para las empresas en el extranjero?

El RGPD significa que las empresas de todo el mundo, independientemente de dónde se encuentren, deberán cumplir con las leyes de legislación sobre cómo se procesan, recopilan y almacenan los datos de los usuarios sobre los ciudadanos de la UE.

El cumplimiento con el GDPR significa que las empresas esencialmente tienen que cambiar de un enfoque de exclusión voluntaria a un enfoque de inclusión voluntaria; en lugar de obligar a los usuarios a optar por que no se recopilen y almacenen sus datos personales, los usuarios deben otorgar a las empresas su permiso expreso con respecto a prácticamente todos los aspectos de la seguridad de los datos individuales. Esto se aplica a todo, desde algo tan aparentemente inocuo como suscribir automáticamente a los usuarios a un boletín de correo electrónico a esfuerzos más amplios, como la seudonimización de los datos de los usuarios.

Uno de los elementos más polémicos del GDPR es una sección del paquete legislativo conocido como Artículo 22, que se refiere a algoritmos y perfiles automatizados de usuarios. Según el GDPR, los usuarios europeos tienen el derecho legal de cuestionar o apelar cómo se presenta su información personal mediante algoritmos como los utilizados por Google en su negocio de búsqueda. Esta es una extensión de las leyes del derecho al olvido que llegaron a los titulares cuando las medidas se introdujeron por primera vez en la UE y Argentina en 2006.

Varios expertos legales y académicos han tomado la excepción de la redacción actual y la base legal del Artículo 22, pero incluso si el lenguaje actual se revisa para que sea menos ambiguo legalmente, podemos esperar de manera realista que haya algún elemento de supervisión legislativa cuando se trata algorítmicamente datos generados

¿Qué efecto tendrá Brexit en el cumplimiento de GDPR?

La próxima salida de Gran Bretaña de la Unión Europea no tendrá absolutamente ningún impacto en las expectativas de la UE para el cumplimiento del RGPD. Irónicamente, si Gran Bretaña hubiera decidido permanecer en la UE, los consumidores británicos también podrían haber esperado disfrutar de los tipos de protecciones robustas que ofrece el GDPR junto con sus contrapartes en el Continente, en lugar de tratar con lo que podría describirse con precisión como uno de los más Programas de vigilancia doméstica orwelliana en el mundo.

Independientemente de lo que Gran Bretaña decida hacer con sus propias leyes de privacidad y protección de datos (como son), Las compañías británicas tendrán que cumplir exactamente las mismas reglas y regulaciones que las compañías ubicadas en cualquier parte del mundo. Dado el caos total que ha definido en gran medida la "estrategia" británica sobre el Brexit, que algunos podrían decir que es un término extraordinariamente generoso para lo que realmente está sucediendo, es poco probable que las cláusulas de cumplimiento del RGPD se negocien como parte de términos de salida más amplios.

Sin embargo, una cosa que está prácticamente garantizada es que las empresas británicas no pueden (o no deben) esperar un tratamiento especial cuando se trata del GDPR, y como tal deben prepararse en consecuencia.

5. ¿Necesito contratar a un oficial de protección de datos para cumplir con el GDPR?

Es posible que tenga la obligación legal de contratar a un Oficial de Protección de Datos (DPO) para garantizar el cumplimiento del GDPR. Sin embargo, hay excepciones. Solo tiene que contratar un DPO si:

  • Su organización es una autoridad pública (es decir, una empresa que ejerce control sobre el mantenimiento de la infraestructura pública o tiene amplios poderes para regular la propiedad pública)
  • Su organización se dedica a la supervisión sistemática a gran escala de los datos del usuario.
  • Su organización procesa grandes volúmenes de datos personales del usuario.

Desafortunadamente, el texto oficial del GDPR tal como está hoy no está claro con respecto a la definición del procesamiento de datos a gran escala. Sin embargo, hay algunos orientación, aunque algo limitada en su alcance.

Muchas de las disposiciones del paquete legislativo GDPR no se pudieron acordar de inmediato. Algunas de estas cláusulas fueron diferidas a los considerandos GDPR, que son textos legales que establecen el razonamiento detrás de ciertos actos dentro de un elemento de la legislación. Uno de esos considerandos considera que el procesamiento de datos personales no debe considerarse a gran escala si el procesamiento se refiere a datos personales de pacientes o clientes por un médico individual, otro profesional de la salud o un abogado.

Entonces, ¿qué podemos inferir del enloquecedor ambiguo considerando 91? Básicamente, si el procesamiento de datos que realiza su empresa como parte de sus operaciones diarias está más allá de la carga de trabajo manejable de manera realista de dos profesionales, se podría argumentar que este procesamiento de datos es a gran escala. Desafortunadamente, como con gran parte del RGPD, el contexto es crucial para determinar si una empresa cumple o no. En caso de duda, puede valer la pena considerar contratar a un Oficial de Protección de Datos dedicado.

El almacenamiento basado en la nube NO está exento del GDPR

Si bien se trató el tema de si necesita contratar a un Oficial de Protección de Datos para cumplir con el GDPR, vale la pena mencionar que las empresas que dependen de proveedores de almacenamiento basados ??en la nube no estarán exentas del GDPR. Esto significa que si su empresa utiliza Amazon Web Services, Google Cloud o Microsoft Azure, usted NO poder culpar a Amazon, Google o Microsoft por no cumplir con el GDPR.

6. ¿Qué sucede con las empresas que no cumplen con el GDPR?

El incumplimiento de la GDPR conlleva fuertes sanciones.

El primer paso del proceso es una advertencia formal por escrito, que puede emitirse a una empresa incluso en casos de violaciones involuntarias; La ignorancia de la ley no es una excusa válida para violarla. La siguiente etapa de acciones punitivas puede obligar a las compañías que violen el GDPR a someterse a auditorías periódicas periódicas de integridad de datos para garantizar el cumplimiento, lo que también significa ceder el acceso a un auditor a información potencialmente confidencial, confidencial o privada.

Para las empresas que aún no han entendido, las empresas que han violado o violado cualquier parte del paquete legislativo después de las sanciones iniciales puede ser multado hasta 20 millones (aproximadamente $ 23.5 millones de dólares) o 4% de la facturación mundial de una empresa, lo que sea mayor.

10 cosas que debe saber sobre el impacto potencial de multas en el GDPR de la UE en grandes empresas tecnológicas

Imagen vía EE.UU. Hoy en día

7. ¿Qué espera la UE de las empresas extranjeras con respecto al cumplimiento del RGPD?

Será responsabilidad de los responsables de protección de datos o controladores de datos de la empresa asegurarse de que los datos de los usuarios europeos estén suficientemente protegidos y / o anónimos, y serán los controladores de datos quienes estarán entre los primeros en rendir cuentas en caso de incumplimiento o Se reportan violaciones.

Bajo el RGPD, Se espera que los controladores de datos informen cualquier posible violación de datos a las autoridades pertinentes de la UE dentro de las 72 horas posteriores a la detección. Además, los usuarios afectados por violaciones de datos también deben ser notificados por los controladores de datos de una empresa, con la excepción de los datos seudonimizados comprometidos, que no están sujetos a los mismos requisitos de informe que los datos no anonimizados.

Algo más con lo que tendrán que tener en cuenta las empresas que se ocupan del GDPR es el almacenamiento de registros de consentimiento del usuario. Aunque es difícil decirlo con certeza, apuesto a que la mayoría de las compañías mantienen registros mínimos (si los hay) sobre el consentimiento de los usuarios para que sus datos sean almacenados o procesados, pero esto será un requisito legal y expectativa bajo el GDPR. Las empresas deben poder demostrar que un usuario específico no solo dio su consentimiento expreso inicial para almacenar sus datos, sino también que los registros de consentimiento de los usuarios son precisos y actualizados.

8. ¿Qué cuenta como datos con seudónimo bajo el RGPD?

He mencionado datos seudonimizados varias veces, pero qué es exactamente es datos seudónimos?

10 cosas que debes saber sobre el GDPR de la UE

Imagen vía Tom Marketoonist Fishburne

De acuerdo con el considerando 26 del RGPD, los datos seudonimizados son datos anónimos de tal manera que el sujeto de los datos ya no es identificable. Esencialmente, esto significa que toda la información de identificación con respecto a un usuario individual debe eliminarse por completo de todos los datos almacenados o procesados ??para que no se pueda revelar la identidad de un usuario específico incluso a la empresa o autoridad responsable de anonimizar los datos en sí.

¿Recuerdas antes cuando revisamos los tipos de información de identificación protegida por el GDPR? Bueno, no termina con fechas de nacimiento, números de Seguro Social o información financiera. El RGPD también protege información como las creencias religiosas, filosóficas o políticas de una persona, información sobre su sexualidad u orientación sexual, registros de membresía en organizaciones como sindicatos y datos genéticos o biométricos, como huellas dactilares y ADN. Dado que todos estos datos están protegidos por el GDPR, las medidas que una empresa toma para seudonimizar sus datos deben garantizar que estos puntos de datos también se eliminen por completo.

La razón principal por la que el texto y los considerandos del RGPD utilizan el término datos seudonimizados en lugar de datos anonimizados es en gran parte uno de pragmatismo. Sus muy Es difícil eliminar por completo toda la información de identificación de un usuario. Los datos verdaderamente anonimizados quedan fuera de la jurisdicción del GDPR, pero dado que es muy poco probable que muchos controladores de datos puedan o estén dispuestos a anonimizar verdaderamente y completamente los datos de sus usuarios, el GDPR utiliza la definición de datos seudónimos.

También vale la pena señalar que, según un estudio particularmente bien citado, aproximadamente El 87% de los adultos estadounidenses podrían identificarse de manera precisa y única utilizando solo tres puntos de datos fecha de nacimiento, sexo y un código postal de cinco dígitos que utiliza datos del censo disponibles al público, una estadística aleccionadora que destaca por qué se necesitan medidas de seudonimización tan sólidas, particularmente a la luz de las violaciones de datos a gran escala, como el incidente de seguridad Equifax.

9. ¿Qué es el consentimiento afirmativo en el contexto del GDPR?

Muchos especialistas en marketing ya estarán familiarizados con el concepto de consentimiento afirmativo, un principio que establece que las personas deben, por ejemplo, dar su permiso expreso a una empresa antes de que pueda agregar a esa persona a una lista de correo. Este es el enfoque de aceptación.

10 cosas que debe saber sobre el concepto de marketing de aceptación de la GDPR de la UE

Imagen vía Mailchimp

Bajo el GDPR, se fortalecerán las leyes de consentimiento afirmativo. Esto significa que las empresas que realizan negocios con ciudadanos de la UE ya no podrán enterrar cláusulas ocultas en largos y detallados acuerdos de términos de servicio u ocultar sus intenciones mediante engaños legales. El RGPD establece que los ciudadanos de la UE no solo deben dar su permiso expreso antes de que una empresa pueda procesar o almacenar sus datos, sino que también deben proporcionar a los ciudadanos de la UE procesos de suscripción claros y fáciles de entender que expresen expresamente cómo se almacenarán los datos de los usuarios, procesado o usado.

¿Qué pasa con el consentimiento afirmativo para menores?

Muchas compañías tratan con menores durante el curso de sus operaciones comerciales. Los desarrolladores de aplicaciones, sitios web de entretenimiento y otros tipos de empresas manejan de manera rutinaria los datos relacionados con menores, y el RGPD tiene pautas específicas sobre cómo se deben manejar estos datos.

El consentimiento parental afirmativo es vital para recopilar, almacenar o procesar los datos personales de los ciudadanos de la UE menores de 13 años. Los controladores de datos deben poder demostrar que el consentimiento parental afirmativo se otorgó a pedido, y es importante tener en cuenta que este consentimiento puede ser retirado en cualquier momento como es el caso con el consentimiento para permitir que se procese la información personal de los adultos.

10. ¿Cuán estrictamente se aplicará el GDPR?

Solo tengo un puñado de suscriptores de boletines electrónicos en Europa, puedo oírte decir. ¿Seguramente no necesito preocuparme por todo esto por un puñado de usuarios?

Incorrecto.

Cuando el GDPR entre en vigencia en 2018, se convertirá en una de las iniciativas de protección de datos del consumidor más sólidas del mundo, si no la más. Como resultado, las compañías deben esperar que la regulación se aplique de manera rígida.

Si bien es posible que no se le exija legalmente contratar a un Oficial de Protección de Datos dedicado, DEBE cumplir con la normativa GDPR si recopila, almacena o procesa datos de CUALQUIER ciudadano de la UE, independientemente de cuántos. No hacerlo puede resultar en el tipo de sanciones financieras deslumbrantes que detallé anteriormente.

Derechos del usuario> Experiencia del usuario

El GDPR promete ser uno de los programas de protección al consumidor más ambiciosos y de mayor alcance jamás diseñado. Sin embargo, aunque es probable que la implementación del GDPR cause más dificultades a algunas empresas que a otras (como las empresas que ofrecen productos de big data), es importante recordar que esta legislación se está introduciendo para proteger los derechos de los usuarios en un momento en que casi Cada aspecto concebible de nuestras vidas se almacena en línea y es altamente vulnerable a la exposición y la explotación.

Al igual que cuando Canadá implementó su legislación CASL, ya ha habido una gran cantidad de dudas sobre la nueva regulación, así como la oposición previsible de muchas empresas estadounidenses que ven las protecciones al consumidor como poco más que obstáculos inconvenientes para incluso mayores ganancias

Para mí, la verdadera pregunta no es si el RGPD será bueno o malo para las empresas estadounidenses, sino más bien por qué los EE. UU. No están desarrollando sus propias leyes de protección al consumidor. Como una de las 143 millones de personas que se vieron afectadas por la violación de Equifax reciente y completamente prevenible, sé Id amor para ver una legislación como esta aprobada (o incluso discutida) en los Estados Unidos. ¿Qué hay de tí?

La guía definitiva para el GDPR para anunciantes

Si quieres aún más consejos sobre …

  • Qué es el RGPD
  • Cómo se verá afectado Google AdWords por el GDPR
  • Cómo se verá afectado Facebook por el GDPR
  • Cómo obtener el consentimiento del tráfico pagado

Ynuestra hoja de trucos GDPR de una página, descargue nuestra nueva guía hoy!

. (tagsToTranslate) GDPR

10 cosas que debe saber sobre el Reglamento general de protección de datos de la UE
4.7 (94.29%) 7 votes