Nueva Ley de Protección de Datos en Europa

Estamos a menos de 7 meses de la entrada en vigencia de la nueva ley de protección de datos Europea, conocida por su acrónimo GDPR, la cual entrará en vigencia el 25 de mayo de 2018.

 Las empresas a las cuales aplicará esta ley son organizaciones con presencia física en al menos un país miembro de la Unión Europea, Organizaciones que procesan o almacenan datos sobre individuos que residen en la unión europea y organizaciones que utilizan servicios de terceros que procesan o almacenan información sobre individuos que residen en la Unión Europea.

 Por lo tanto, si usted reside en la Unión Europea o trabaja con una organización que posee empleados o clientes en la Unión Europea, es muy probable que se vea alcanzado por la GDPR.

 

La GDPR – General Data Protection Regulation. es un nuevo marco legal en la Unión europea que reemplazará la actual Directiva de Protección de Datos. Mientras que la actual Directiva son solo recomendaciones o mejores prácticas a tener en consideración sobre el tratamiento de los datos personales y/o sensibles, la GDPR es una ley que responsabilizará legalmente a las empresas.

 

La GDPR busca proteger los datos personales de los ciudadanos y la manera de cómo las empresas los procesan, almacenan y destruyen cuando estos datos ya no son necesarios para las empresas. La ley otorga autoridad a los ciudadanos por el procesamiento de sus datos personales, estableciendo  8 derechos específicos, siendo estos:

 

§  Derecho a estar informado: Proporciona transparencia sobre cómo son utilizados sus datos personales.

§  Derecho al acceso: Provee acceso a sus datos, a cómo son utilizados, y a cualquier información suplementaria que pueda ser utilizada juntos con sus datos.

§  Derecho a la rectificación: Otorga el derecho a que sus datos personales sean rectificados en caso de ser incorrectos o incompletos.

§  Derecho a ser borrado (o derecho a ser olvidado): Es el derecho a que sus datos personales sean removidos de cualquier lugar si no existe una razón convincente para que estén almacenados.

§  Derecho a restringir el procesamiento: Permite que sus datos sean almacenados, pero no procesados. Por ejemplo, puede recurrir a este derecho si siente que datos erróneos acerca de usted son almacenados a la espera de ser rectificados.

§  Derecho a la portabilidad de datos: Puede solicitar copias de la información almacenada sobre usted, para utilizar en cualquier otro lugar. Tal es el caso de si aplicara para productos financieros entre distintas entidades.

§  Derecho a objetar: Otorga el derecho a objetar acerca del procesamiento de sus datos. Un ejemplo podría ser la objeción de que sus datos sean utilizados por organizaciones de marketing directo.

§  Derecho sobre la toma de decisiones y creación de perfiles automáticos: Permite objetar sobre la toma de decisiones automáticas que se hagan sobre sus datos personales. “Automáticas” se refiere a sin intervención humana. Por ejemplo, la definición de determinados hábitos de compra online, en función a comportamientos previos.

 La relevancia de los derechos mencionados, obligará a las empresas a evitar las posibles brechas de datos y a incrementar sus medidas de privacidad y seguridad. La propia ley define que se entiende por violación o filtración de datos siendo la siguiente: “una filtración en la seguridad que lleva a la destrucción, pérdida, alteración, divulgación no autorizada, o acceso -accidental o ilegal-, a datos personales transmitidos, almacenados, o procesados de alguna forma”. “Datos personales” es “cualquier información relacionada a una persona identificable o no identificable” – no se trata solo de datos que puedan ser usados para fraude o robo de identidad.

Esas definiciones son importantes porque significa que muchos eventos o actividades diferentes pueden calificar como violaciones según la GDPR.

Dentro de los aspectos relevantes que incluye la regulación, son las multas por incumplimiento que esto puede ocasionar, siendo estas 20 millones de euros o el 4% de la ventas anuales de la empresa, la que sea más alta.

El Gran Desafío – Cómo avanzar

En base a la entrada en vigencia de esta nueva ley en Europa, recomiendo tener en consideración los siguientes aspectos:

·       Asigne un liderazgo claro con apoyo del directorio, probablemente necesitará nombrar a un Chief Privacy Officer o asignar esta función a alguien dentro de la organización, puede ser el área de compliance o al CISO de su empresa.

·       Aumente la concientización acerca de la regulación y los impactos que puede tener el no cumplimiento

·       Identifique que datos de información personal o sensible almacena en sus aplicativos, a su vez entender de dónde provienen, porqué se almacenan y si requiere conservar la información y el tiempo necesario. Por experiencia personal, les comento que esta parte del proceso es la más laboriosa, documentado la información en un PIA (Privacy Impact Analysis).

·       Considere tomar decisiones de anonimización o seudoanonimización en relación a los datos

·       Evalúe la proporcional de la información que recoleta, si puede dejar de alimentar datos que no utiliza, elimínela, ya sea por temas regulatorios o históricos. Aplique la típica frase, menos es más, recolecte lo realmente necesario, mientras menos sea la información personal almacenada, menos será el esfuerzo de cumplimiento de la GDPR.

·       Actualice y revise sus políticas actuales de seguridad, ya que muchos aspectos de seguridad deberán aplicarse para proteger los datos personales, entre ellos evalue la información de soluciones orientadas a Data Loss Prevention, User Behavor, encriptación de información y Gestión de Vulnerabilidades, entre otras.

·       Prepárese para una brecha de datos, ya que las multas son importantes, si no tiene un plan de Cybercrisis, deberá desarrollar uno, en este aspecto la ley obliga a comunicar a los organismos reguladores una brecha de seguridad dentro de las 72 horas de ocurrido el incidente.

·       Apoye en consultores expertos en temas de seguridad y privacidad de datos, en Cybertrust tenemos la experiencia y la formación necesaria para apoyarlos en este tipo de requerimientos.

Por: José Lagos, Socio Principal de Cybertrust SpA

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

Create a website or blog at WordPress.com

Up ↑

%d bloggers like this: