GDPR Argentina: Una de las grandes preocupaciones de las empresas este año es la adaptación a las nuevas normativas relacionadas con la protección de datos de consumidores y clientes.
A partir del 25 de este mes, la Unión Europea actualizará las leyes que protegen los datos de los usuarios, a través del Reglamento General de Protección de Datos, conocido como GDPR, por sus siglas en inglés.
El Parlamento Europeo adoptó el GDPR en abril de 2016, sustituyendo a una directiva anticuada de protección de datos de 1995.
https://www.youtube.com/watch?v=xpRfPOFysuQ
¿Por qué existe el GDPR?
La respuesta corta a esta pregunta es la preocupación pública por la privacidad. Europa en general tiene desde hace tiempo normas más estrictas sobre la forma en que las empresas utilizan los datos personales de sus ciudadanos. El GDPR sustituye a la Directiva de Protección de Datos de la UE, que entró en vigor en 1995. Esto fue mucho antes de que Internet se convirtiera en el centro de negocios en línea que es hoy en día. En consecuencia, la Directiva ha quedado obsoleta y no aborda muchas de las formas en que se almacenan, recopilan y transfieren los datos en la actualidad.
¿Qué tan real es la preocupación pública por la privacidad?. Según el Informe de Privacidad y Seguridad de Datos de RSA, para el cual RSA encuestó a 7.500 consumidores en Francia, Alemania, Italia, el Reino Unido y los EE.UU., el 80 por ciento de los consumidores dijo que la pérdida de datos bancarios y financieros es una de las principales preocupaciones. La pérdida de información de seguridad (por ejemplo, contraseñas) e información de identidad (por ejemplo, pasaportes o licencias de conducir) fue citada como una preocupación del 76 por ciento de los encuestados.
El reglamento GDPR está vigente desde mayo de 2016 y pasará a ser de cumplimiento obligatorio en poco tiempo. Los usuarios, en teoría, tendrán acceso a los datos que las empresas tienen de ellos. Inclusive, podrán corregir la información que sea incorrecta. También, entre varios puntos, la GDPR convertirá en obligatorias las notificaciones sobre robo de información o violaciones de privacidad, con un límite de hasta 72 horas.
Pequeñas y grandes plataformas en internet (desde un hotel hasta los gigantes tecnológicos como Google, Microsoft, Amazon, Apple o Facebook) deberán modificar sus políticas de privacidad y términos de uso. Estos cambios comenzarán en los 28 países de la Unión Europea (Reino Unido incluido, ya que hasta marzo de 2019 sigue siendo miembro de pleno derecho) y afectará también a todos los usuarios del mundo que usen estos servicios.
El cumplimiento causará algunas preocupaciones y nuevas expectativas de los equipos de seguridad. Por ejemplo, el GDPR tiene una visión amplia de lo que constituye información de identificación personal. Las compañías necesitarán el mismo nivel de protección para cosas como la dirección IP de un individuo o los datos de cookies o el nombre, la dirección y el número de Seguro Social.
¿Qué tipos de datos de privacidad protege el GDPR?
- Información básica de identidad como nombre, dirección y números de identificación
- Datos web como ubicación, dirección IP, datos de cookies y etiquetas RFID
- Salud y datos genéticos
- Datos biométricos
- Datos raciales o étnicos
- Opiniones políticas
- Orientación sexual
Nivel «razonable» de protección de los datos personales
El GDPR deja mucho a la interpretación. Dice que las empresas deben proporcionar un nivel «razonable» de protección de los datos personales, por ejemplo, pero no define lo que constituye «razonable». Esto le da al órgano de gobierno de GDPR un gran margen de maniobra a la hora de evaluar las multas por violación e incumplimiento de los datos. Muchos de los requisitos no se relacionan directamente con la seguridad de la información, pero los procesos y cambios de sistema necesarios para cumplirlos podrían afectar a los sistemas y protocolos de seguridad existentes.
Desde la consultora Gartner, afirman que más de la mitad de las empresas no están totalmente capacitadas para cumplir con los procedimientos y obligaciones de la nueva legislación. Esto se debe, en gran parte, a un amplio desconocimiento por parte de las compañías acerca de los cambios que implica la nueva normativa. Por ello, OpenText, especializado en ofrecer soluciones de Gestión de la Información Empresarial (EIM), ha querido explicar algunas de las obligaciones que las organizaciones tendrán que cumplir con la llegada de GDPR:
- Legalidad, legitimidad y transparencia. Las empresas que gestionen datos personales tienen la obligación de informar a los usuarios acerca de cómo se procesará su información en cumplimiento con la normativa.
- Limitación de uso. La información personal sólo puede recogerse con un fin explícito y legítimo, y su uso no puede expandirse más allá del consentimiento del usuario.
- Minimización de los datos. Existe una clara tendencia por parte de la mayoría de organizaciones de maximizar los datos. Con la llegada del GDPR, los datos personales recogidos deben limitarse únicamente a lo que es necesario en relación con los objetivos para los cuales fueron recogidos y tratados.
- Precisión. La información personal debe ser precisa. Los usuarios deben tener derecho a solicitar correcciones que deben ser atendidas a la mayor brevedad posible.
- Limitación de almacenamiento. Las organizaciones están obligadas a no retener los datos personales más tiempo del necesario para el uso explícito y legítimo autorizado por el usuario.
- Integridad y confidencialidad. Las empresas que gestionen datos deben garantizar un nivel adecuado de seguridad que incluye la protección frente a tratamiento sin autorización o ilegal, y frente a pérdidas, destrucción o daños accidentales.
