¿Cuáles son los cambios clave con RGPD?
Definición expandida de lo que es la información personal
Cualquier información que contribuya o pueda estar relacionado con la identificación de un individuo será incluido dentro de la nueva definición de “datos personales” del Reglamento General de Protección de Datos (RGPD o GDPR, por sus siglas en inglés), ya esté ligado a su vida privada, personal o pública.
Puede ser cualquier cosa: desde un nombre, una dirección de casa, una foto, una dirección de email, detalles bancarios, publicaciones en redes sociales, información médica, la dirección IP de un ordenador, e incluso datos biométricos y genéticos.
Derechos individuales y condiciones para el consentimiento nuevas y fortalecidas
Entre las novedades y las medidas fortalecidas se incluyen los derechos de acceso, el derecho al olvido, y a la portabilidad de los datos. Los controladores y los procesadores de datos tienen la obligación de comunicar de forma clara estos derechos a los individuos de los que toman los datos:
Cuánto tiempo se guardará la información;
Si la información será transferida a otros países;
Información sobre el derecho a acceder a sus datos personales;
Información sobre el derecho a que su información sea borrada o rectificada en determinadas circunstancias;
Condiciones de control reforzadas. Las empresas ya no podrán utilizar Términos y Condiciones largos y llenos de jerga legal, puesto que el consentimiento deberá ser concedido a través de un formulario fácil de entender y de acceder, en el que se indique la finalidad de los datos. El consentimiento debe ser claro y fácil de distinguir, y debe ser proporcionado usando un lenguaje claro y llano. Además, debe ser tan fácil de revocar como de dar.
Más información sobre el RGPD y el consentimiento.
Mayores responsabilidades para quienes tratan y procesan la información
De acuerdo con el nuevo Reglamento General de Protección de Datos (RGPD o GDPR, en inglés), aquellos que controlan los datos personales (las empresas) y especialmente los que los procesan (terceros proveedores de servicios) son ahora considerados responsables y contra ellos pueden emprenderse acciones legales.
Quienes controlan los datos personales tendrán también el derecho a hacer una auditoría a aquellos que los procesan. Además, se pueden imponer multas más altas por incumplimiento: hasta el 4 % de los beneficios globales o 20 millones de euros, cualquiera que sea la cifra más alta.
Más información sobre cómo trabajar con un proveedor de servicios externo.
Efecto extraterritorial
El RGPD se aplicará a todos aquellos que procesen los datos personales de ciudadanos de la Unión Europea, independientemente del país en el que estén localizados.
Obligación de poner medidas preventivas de protección de datos
Aunque ya no es obligatorio notificar a la autoridad correspondiente sobre el tratamiento de los datos personales, ahora es imprescindible poner en marcha todas las medidas técnicas y organizativas necesarias con el fin de prevenir todo riesgo. Esto incluirá, entre otros, los contratos, las políticas de confidencialidad, la gestión de riesgos, la conservación de los datos, etc.
Deber de informar sobre brechas de seguridad
Con el nuevo RGPD (o GDPR, en inglés), en caso de brecha de seguridad, ya sea por accidente la empresa responsable de los datos deberá notificar a la autoridad nacional de protección en las 72 horas después del incidente, para que los usuarios puedan tomar las medidas apropiadas.
Si la fuga presenta un riesgo mayor para los derechos y las libertades de los individuos implicados, estos últimos deben ser informados. La empresa deberá conservar un registro interno de los diferentes incidentes. El incumplimiento de esta cláusula podría suponer una multa de 10 millones de euros o un 2% de los beneficios anuales, cualquiera que sea mayor.
La figura del Delegado de Protección de Datos
El requerimiento de contar con un delegado de protección de datos es aplicable tanto a las empresas que controlan como a las que procesan los datos, independientemente de su tamaño. El Reglamento General de Protección de Datos exige que haya un delegado de protección de datos en tres casos (más información disponible en la sección ¿Cómo me preparo para el RGPD?).
El incumplimiento de este requerimiento puede suponer una multa del 2% de los beneficios anuales o de 10 millones de euros, cualquiera que sea mayor. Si una empresa decide no nombrar un delegado de protección de datos, deberá mantener un registro de los motivos por los que tomaron esta decisión, que demuestren que se han tenido en cuenta todos los elementos que pudieran ser relevantes.
Medidas técnicas y organizativas más estrictas
Para prepararse para el RGPD (o GDPR, en inglés), las empresas deberían echar un vistazo a las recomendaciones y mejores prácticas más recientes. Puedes encontrar algunas medidas recomendadas aquí:
Medidas organizativas :
Contratar, formar y nombrar un delegado de protección de datos (ver “La figura del delegado de protección de datos”) o nombrar un representante de protección de datos externo a la organización;
Integrar un Sistema del Control del Riesgo adecuado;
Apostar por la formación y los programas de concienciación y educación de los usuarios;
Desarrollar un plan de trabajo a distancia y formar a los empleados.
Medidas técnicas :
Configuración segura de todos los sistemas (parches de seguridad, sistemas de inventario y construcción de base en todos los dispositivos);
Seguridad de red (hacer seguimiento y pruebas en los controles de seguridad);
Gestión de los privilegios de usuarios (menos privilegios y control de la actividad del usuario);
Seguimiento y control continuo de todos los sistemas y redes;
Encriptado;
Tokenización;
Anonimación;
Suedonimazión (separación de datos de su identificación directa para que no puedan vincularse a una identidad sin información adicional que es almacenada de forma separada);
Resiliencia del procesado de sistemas y servicios;
Permitir a las empresas restaurar la disponibilidad y el acceso a la información en el caso de una brecha de seguridad;
Pruebas frecuentes de la efectividad de las medidas de seguridad;
Implementar la privacidad por diseño en todos los nuevos programas técnicos y proyectos.