mayo 25, 2018

Hoy entra en vigor el GDPR. Siguientes Pasos.

Gabriela Espinosa Cantú

Probablemente haya recibido varios correos electrónicos que indican la actualización de las políticas de privacidad o que preguntan si desea mantenerse suscrito a una lista de correos. Esto se debe a que el Reglamento General de Protección de Datos de la Unión Europea (GDPR, por sus siglas en inglés) entra en vigor hoy.

El GDPR es más estricto con las obligaciones de los responsables de los datos personales (quien recopila, administra y procesa la información personal) y tiene un ámbito de aplicación más amplio que cualquier ley europea anterior, otorgando a las personas el derecho a estar informadas y tener control sobre su información personal.

A. Ámbito de aplicación. El GDPR se aplica a cualquier organización, independientemente de su ubicación si: (i) ofrece bienes o servicios a, (ii) supervisa el comportamiento de, o (iii) procesa o resguarda datos personales de individuos de la Unión Europea (UE) (ciudadanos o residentes).

B. Algunos consejos sobre cómo cumplir:

  1. Consentimiento. Las empresas pueden recopilar datos personales solo si tienen una base legal para hacerlo: si tienen un contrato u obligación legal que les permite hacerlo o si obtienen el consentimiento de la persona. El consentimiento debe ser claro y expreso, y debe ser tan fácil de dar como de retirarse.
  2. Transferencias de información. Una transferencia de información personal solo puede hacerse con el consentimiento del individuo y por razones justificadas.
  3.  Oficial de Protección de Datos (DPO) y/o representante ante la UE. Solo si su empresa: (i) realiza una supervisión sistemática a gran escala de los interesados; o (ii) procesar una gran escala de datos confidenciales (con respecto a la salud, el origen religioso o étnico, por ejemplo), debe tener un DPO designado. En algunos casos, puede incluso necesitar designar por escrito a un representante en la UE.
  4. Derechos para los titulares. El GDPR les permite a las personas acceder, corregir o borrar sus datos personales, así como también recibirlos y transmitirlos a otro controlador de datos (portabilidad de datos). Por lo tanto, todas las empresas deben tener un empleado responsable y capaz de atender tales solicitudes.
  5. Notificación de incumplimientos de datos. El GDPR exige que cualquier organización que tenga conocimiento de una violación de datos que comprometa y pueda resultar en un riesgo para la información del individuo, debe notificar tal incumplimiento a las autoridades europeas y a los clientes cuya información se ha visto comprometida.
  6. Medidas de seguridad. La protección de datos en la organización, como medida administrativa, y el establecimiento de sistemas tecnológicos de seguridad deben incorporarse por especificación y diseño. Esto significa que antes de diseñar cualquier proceso, aplicación u operación comercial, la seguridad de los datos debe tomarse en cuenta desde el principio, y no como una rama accesoria. Para definir qué medidas de seguridad se necesitan, debe tener en cuenta el tipo de información personal recopilada, el número de personas en su base de datos y el riesgo de una violación o ciberataque.

C. Sanciones. Las sanciones por incumplimiento al GDPR pueden ser de hasta el 4% de la facturación global anual o €20 millones de euros, el que sea mayor, por cualquier infracción grave.

D. Siguientes pasos. Le recomendamos que evalúe qué debe hacerse en los procesos o políticas de su empresa para asegurar el cumplimiento al GDPR. Dado que la regulación mexicana de protección de datos ha estado en vigencia durante casi 8 años, la mayoría de los requisitos, como las medidas de seguridad de datos y un empleado designado responsable de atender las solicitudes individuales, deberían estar ya atendidas y cumplidas.
Derivado de lo anterior, es posible que sea necesario realizar algunos cambios y ajustes, como por ejemplo, registrar la obtención del consentimiento (bajo la regulación mexicana, el consentimiento en algunos casos puede ser tácito, pero no bajo GDPR), la política de privacidad o la actualización del aviso de privacidad para garantizar el cumplimiento de GDPR.

•••

 

 

 

  • Compartir publicación en: