CATEGORÍA ➝ REFUERZO DE SISTEMAS
Repasamos las claves del GDPR
Las empresas que utilicen datos personales de ciudadanos de la Unión Europea estarán reguladas por leyes más estrictas. El nuevo reglamento, pretende proteger a los ciudadanos frente al uso indebido o abusivo de sus datos.Aumenta la responsabilidad
para las empresas que trabajan
con datos personales
con la llegada del GDPR.
Se trata posiblemente de la mayor revisión de la privacidad online desde el nacimiento de Internet. El Reglamento General de Protección de Datos, en sus siglas GDPR, está diseñado para que los ciudadanos de la Unión Europea tengamos más derechos sobre los datos personales que las empresas nos solicitan.
Para las organizaciones, independientemente de su procedencia, este cambio en la normativa supone un aumento en su responsabilidad:
- Aumenta el deber de proteger los datos personales frente a los hackers.
- Obliga a almacenarlos dentro de la Unión Europea.
- Además, deberán ser más transparentes en su comunicación con el público y con las autoridades:
Frente al sujeto interesado:
– Preguntándole claramente si desea que sus datos se conserven e informándole de dónde se almacenarían y por qué.
– Señalando inequívocamente cómo puede modificar o borrar sus datos.
Frente a las autoridades pertinentes:
– Documentando dónde se almacenan los datos, quién tiene acceso a ellos y qué medidas se utilizan para protegerlos. Esta documentación ha de estar siempre actualizada.
Finalmente, si el sistema se corrompe o ha sido jaqueado, la empresa deberá comunicar públicamente la pérdida de los datos personales en un plazo máximo de 72 horas, tanto al sujeto interesado como a las autoridades.
Multas por incumplimiento
Las multas se imponen desde la primera infracción y son escalonadas. Rondan desde el 2 o el 4 % de los ingresos anuales hasta los 20 millones de euros en los casos más graves.
Prácticas recomendables para tu empresa
- Identificar qué datos personales tienes y dónde se almacenan.
- Administrar: decidir, de acuerdo con el nuevo reglamento, dónde se almacenan los datos personales, cómo, por qué y durante cuánto tiempo. No menos importante, controlar quién accede a ellos.
- Proteger: establecer controles de seguridad para prevenir, detectar y responder a vulnerabilidades e infracciones. Recuerda que DAIRA puede ayudarte en esta labor.
- Informar: comunicar debidamente a los sujetos interesados de vuestra intención de almacenar sus datos, responder las solicitudes y, si se da el caso, informarles a ellos y a las autoridades pertinentes de que esos datos han sido destruidos o jaqueados.
Prácticas razonables
Puedes simplificar la tarea si:
✓ Cuando solicitas información personal, solamente pides la que es estrictamente necesaria.
✓ Almacenas los datos el tiempo mínimo necesario.
✓ Los encriptas y ocultas las direcciones IP.
✓ Reduces al mínimo el número de personas con acceso a ellos.
Glosario de términos
- Datos personales
En inglés es conocido con las siglas PII (Personal Identifiable Information). Se trata de cualquier tipo de información que identifique directa o indirectamente a una persona. Algunos ejemplos: una dirección de IP, un nombre, una foto, un correo electrónico personal o datos bancarios y médicos. El GDPR no regula los datos que vinculan personas con empresas (ej. dgonzalez@dairaps.com no es un dato personal, dgonzalez@gmail.com, sí). - Sujeto interesado
Aquél del que se recopila información personal (tú y yo, como individuos, que hemos registrado nuestros datos en Amazon, o que tenemos nuestro historial médico en la mutua). - Controlador
Entidad que determina qué hacer con la información. En algunos casos, también la procesa. - Procesador
Entidad que procesa la información en nombre del controlador. Si tienes la información personal almacenada en la nube (con Azure, por ejemplo), el proveedor del espacio en la nube sería tu procesador (Microsoft, en el caso citado). En cualquier caso, el controlador es el responsable ante las autoridades. - DPO
Significa Data Protection Officer en inglés, o Delegado de Protección de Datos. Es la persona designada por la empresa que se encarga de cumplir con el GDPR. Esta figura no es obligatoria pero se recomienda dentro de las empresas con un volumen de datos personales ingente.